conformis
DORA in der Praxis: Warum kaum eine Bank zum Stichtag compliant war – und was jetzt zu tun ist

DORA in der Praxis: Warum kaum eine Bank zum Stichtag compliant war – und was jetzt zu tun ist

conformis

conformis

@conformis

Der Stichtag kam – und die meisten waren nicht bereit

Am 17. Januar 2025 trat der Digital Operational Resilience Act (DORA) in vollem Umfang in Kraft. Die Vorbereitungszeit betrug mehr als zwei Jahre. Trotzdem: Keine der befragten deutschen Banken hatte die Anforderungen zu diesem Datum vollständig erfüllt. Das ist kein Nischenphänomen – es ist der Normalzustand im deutschen Finanzsektor.

Woran liegt das? DORA ist kein klassisches IT-Sicherheitsgesetz. Es verlangt eine umfassende Neudefinition der operationellen Resilienz – von der Risikoarchitektur über das Drittparteienmanagement bis hin zur lückenlosen Dokumentation jedes IKT-Vorfalls. Viele Institute haben die Tragweite des Regelwerks unterschätzt.

Dieser Artikel erklärt, wo die größten Umsetzungslücken liegen, was die BaFin in den nächsten Monaten prüfen wird – und wie Ihr Institut jetzt gezielt handeln kann.

Was DORA wirklich verlangt: Die fünf Kernbereiche

1. IKT-Risikomanagement

DORA verlangt ein vollständig dokumentiertes IKT-Risikomanagement-Framework. Das bedeutet: nicht nur eine Risikoliste in Excel, sondern ein nachvollziehbarer Prozess mit definierten Rollen, Eskalationswegen, Testplänen und Governance-Verankerung auf Vorstandsebene.

Konkret müssen Institute dokumentieren:

  • Alle kritischen IKT-Systeme und ihre Abhängigkeiten
  • Szenarien für den Ausfall dieser Systeme
  • Wiederherstellungsziele (RTO, RPO) je System
  • Regelmäßige Tests der Resilienzmaßnahmen

Viele Banken haben einzelne dieser Elemente – aber nicht als kohärentes, prüffähiges Framework. Das ist die erste große Lücke.

2. Informationsregister (ICT Third-Party Register)

DORA verpflichtet alle Finanzinstitute, ein vollständiges Register aller IKT-Drittanbieter zu führen. Dieses Register muss an die zuständige Aufsichtsbehörde übermittelt werden – in Deutschland an die BaFin.

Das Register muss unter anderem enthalten:

  • Name und Kontaktdaten des Dienstleisters
  • Art der bezogenen Dienstleistung
  • Bewertung der Kritikalität (kritisch/wichtig oder nicht)
  • Vertragsstatus und Laufzeiten
  • Subauftragnehmer des Dienstleisters

Die BaFin hat für 2026 erneut Workshops angekündigt, um Institute bei der korrekten Einreichung der Informationsregister zu unterstützen. Das allein zeigt: Die Qualität der bisher eingereichten Daten ist ausbaufähig.

3. Drittparteienmanagement

DORA geht deutlich über bisherige Auslagerungsanforderungen (z. B. aus BAIT oder MaRisk) hinaus. Für kritische und wichtige Drittanbieter müssen Institute:

  • Vertraglich spezifische Resilienzanforderungen verankern
  • Exit-Strategien definieren und testen
  • Regelmäßige Dienstleister-Audits durchführen
  • Konzentrationsrisiken bewerten (z. B. wenn mehrere kritische Systeme beim gleichen Cloud-Anbieter liegen)

Besonders die Konzentrationsrisiken werden von der BaFin als kritischer Prüfungsschwerpunkt eingestuft. Wer seine Infrastruktur stark auf einen einzigen Hyperscaler konzentriert hat, muss das dokumentieren und begründen können.

4. IKT-Vorfallsmanagement und Meldepflichten

DORA führt ein dreistufiges Meldesystem für IKT-bezogene Vorfälle ein:

  • Erstmeldung innerhalb von 4 Stunden nach Klassifizierung als schwerwiegender Vorfall
  • Zwischenbericht innerhalb von 72 Stunden
  • Abschlussbericht innerhalb von 1 Monat

Die Klassifizierungskriterien sind präzise definiert – Institute müssen intern sicherstellen, dass jeder Vorfall zeitnah bewertet und dokumentiert wird. Fehlende oder verspätete Meldungen sind direktes Aufsichtsrisiko.

5. Resilienztests (DORA-TLPT)

Für systemrelevante Institute schreibt DORA Threat Led Penetration Tests (TLPT) vor – realistische Angriffssimulationen durch externe Spezialisten, die auf Basis echter Bedrohungsszenarien durchgeführt werden. Kleinere Institute sind von dieser Anforderung ausgenommen, müssen aber dennoch regelmäßige IKT-Tests durchführen und dokumentieren.

Wo deutsche Banken am häufigsten scheitern

Die Praxis zeigt ein klares Muster bei den häufigsten Umsetzungsschwächen:

Ressourcenengpässe in der IT. DORA erzeugt erheblichen Mehraufwand bei der Identifikation kritischer und wichtiger Funktionen. Viele Häuser haben diese Kapazitäten nicht intern und verlassen sich auf externe Berater – ein teurer und langfristig nicht skalierbarer Ansatz.

Fragmentierte Dokumentation. Informationen zu IKT-Systemen, Verträgen und Risiken liegen in verschiedenen Abteilungen und Systemen verteilt. Ein konsistentes, prüffähiges Register existiert nicht.

Fehlende Governance-Verankerung. DORA ist kein IT-Thema – es ist ein Vorstandsthema. In vielen Instituten ist das Bewusstsein auf der Managementebene noch nicht ausreichend vorhanden.

Unvollständige Drittanbieter-Inventare. Viele Institute wissen nicht vollständig, welche externen Dienstleister kritische Funktionen erbringen – insbesondere bei indirekten Abhängigkeiten über Subauftragnehmer.

Was die BaFin jetzt prüft

Die BaFin hat klargemacht, dass sie DORA aktiv durchsetzen wird. In der laufenden Aufsichtspraxis konzentriert sie sich auf:

  • Vollständigkeit und Qualität der Informationsregister
  • Nachvollziehbarkeit des IKT-Risikomanagement-Frameworks
  • Konzentrationsrisiken bei Cloud- und Rechenzentrumsdienstleistern
  • Angemessenheit der internen Vorfallklassifizierungsprozesse

Institute, die in diesen Bereichen keine belastbaren Nachweise vorhalten können, müssen mit Nachfragen, Auskunftsersuchen und im Wiederholungsfall mit aufsichtsrechtlichen Maßnahmen rechnen.

Der pragmatische Weg zur DORA-Compliance

Vollständige DORA-Compliance ist erreichbar – aber nicht über Nacht und nicht über Excel-Tabellen. Der strukturierte Ansatz umfasst drei Phasen:

Phase 1: Bestandsaufnahme und Gap-Analyse Identifizieren Sie systematisch, welche DORA-Anforderungen Sie bereits erfüllen und wo Lücken bestehen. Das Informationsregister ist der erste konkrete Schritt – es zwingt zur Vollständigkeit beim Drittanbieter-Inventar.

Phase 2: Framework-Aufbau Schaffen Sie ein dokumentiertes IKT-Risikomanagement-Framework, das alle DORA-Kapitel abdeckt. Verankern Sie Verantwortlichkeiten, definieren Sie Eskalationswege, legen Sie Testzyklen fest.

Phase 3: Kontinuierliche Überwachung DORA ist kein Einmalprojekt. Regulatorische Anforderungen ändern sich, Drittanbieter-Landschaften verändern sich, neue Systeme kommen hinzu. Die Überwachung muss dauerhaft und automatisiert erfolgen.

Fazit

DORA hat die operationelle Resilienz von Finanzinstituten grundlegend neu definiert. Die gute Nachricht: Deutsche Institute bringen durch BAIT und MaRisk eine solide Ausgangsbasis mit. Die schlechte Nachricht: Die zusätzlichen Anforderungen – insbesondere beim Drittparteienmanagement und den Informationsregistern – sind substanziell.

Institute, die jetzt strukturiert handeln, werden nicht nur compliant – sie bauen eine Resilienz auf, die im Ernstfall schützt. Wer wartet, riskiert nicht nur Aufsichtsmaßnahmen, sondern echte operative Verluste bei IKT-Vorfällen.

conformis bildet alle DORA-Artikel direkt auf Ihre bestehenden Policies und Kontrollen ab – und zeigt exakt, wo Lücken bestehen. Die Gap-Analyse dauert Minuten, nicht Monate.

Hören Sie auf, in Regulatorik zu ertrinken.

Sehen Sie in 15 Minuten live, welche BaFin-Anforderungen Sie erfüllen – und welche nicht. Ohne Verpflichtung.

Demo buchenKostenlose Gap-Analyse starten →