DORA im Finanzsektor und was sich bei IT-Risiken wirklich ändert
Im Januar 2025 tratt DORA in Kraft — und die Hälfte der betroffenen Institute ist nicht bereit. Laut Deloitte-Erhebung rechnete nur jedes zweite Finanzinstitut zum Stichtag mit vollständiger Umsetzung. Der durchschnittliche Implementierungsgrad lag zum Anwendungsbeginn bei rund zwei Dritteln der Anforderungen — mit einer Spanne von 30 bis 90 Prozent je nach Institut.
Seitdem ist ein Jahr vergangen. Die Frage ist nicht mehr, ob DORA gilt. Die Frage ist, ob die Institute tatsächlich resilient sind — oder nur compliant auf dem Papier. Und 2026 ist das Jahr, in dem Aufseher diese Unterscheidung aktiv prüfen.
Was DORA grundlegend neu regelt
Anders als die früheren nationalen Regelwerke BAIT, VAIT und KAIT ist DORA keine Richtlinie, die erst in deutsches Recht umgewandelt werden muss. Die Verordnung gilt seit dem 17. Januar 2025 in allen EU-Mitgliedstaaten unmittelbar — kein nationaler Interpretationsspielraum, keine Abschwächung durch lokale Gesetzgebung. Was das in der Praxis bedeutet: Aufsichtsbehörden wie die BaFin setzen DORA direkt durch, ohne Umweg über nationales Recht — und ohne Geduld für Institutionen, die noch auf Schonfrist hoffen.
Der Kreis der Verpflichteten ist erheblich größer als unter den Vorgängerregelungen: Über 22.000 Finanzunternehmen sind betroffen — Banken, Versicherungen, Wertpapierfirmen, Zahlungsdienstleister und Krypto-Asset-Anbieter. Hinzu kommen deren IKT-Drittdienstleister, die ebenfalls unter die Regulierung fallen.
Ein Jahr nach Inkrafttreten zeigt sich, wo Institute stehen:
|
DORA-Bereich |
Kernanforderung |
Umsetzungsstand |
|
IKT-Risikomanagement |
Vollständiges Framework, Vorstandsverantwortung |
Strukturen vorhanden, Operationalisierung lückenhaft |
|
Vorfallmeldung |
Erstmeldung 4h, Zwischenbericht 72h |
Klassifizierungsprozesse vielerorts unvollständig |
|
Resilienz-Testing |
TLPT für systemrelevante Institute |
Wenige betroffen, viele trotzdem unvorbereitet |
|
Drittparteienrisiko |
Vollständiges Vertragsregister, laufendes Monitoring |
Größter Nachholbedarf |
|
Informationsaustausch |
Freiwilliger Bedrohungsaustausch |
Kaum genutzt |
Die Schwachstelle: externe Dienstleister
Das Drittparteienrisikomanagement steht mit Abstand an der Spitze der größten Umsetzungsherausforderungen. Die Konzentration ist dabei bemerkenswert: Die zehn wichtigsten IKT-Dienstleister halten mehr als 85 Prozent aller Verträge im Finanzsektor. Drei Viertel davon stammen aus Drittstaaten — überwiegend aus den USA.
Das schafft ein strukturelles Dilemma: Europäische Finanzinstitute sollen ihre digitale Widerstandsfähigkeit nachweisen, sind dabei aber mehrheitlich auf nicht-europäische Infrastruktur angewiesen. 46 Prozent der Institute nennen das Informationsregister über IKT-Drittverträge als ihre größte Compliance-Hürde — die zweite jährliche Einreichung war im März 2026 fällig.
Warum das Register so viele Probleme bereitet, liegt nicht an der Technik. Fachabteilungen setzen SaaS-Produkte, KI-Anwendungen und Cloud-Speicher ein, die nie den offiziellen Einkaufsprozess durchlaufen haben. Shadow IT macht ein vollständiges Vertragsregister zur organisatorischen Herausforderung, nicht zur technischen. Wer dieses Problem nicht aktiv angeht, liefert beim nächsten Audit zwangsläufig ein unvollständiges Register.
Was sich in der täglichen Praxis ändert
Wer bisher mit BAIT oder KAIT gearbeitet hat, erkennt viele Grundprinzipien wieder. Die BaFin hat in der Vergangenheit bereits Instrumente etabliert, die sich mit DORA-Anforderungen überschneiden — was den deutschen Finanzsektor in eine vergleichsweise gute Ausgangslage versetzt. Trotzdem setzt DORA deutlich schärfere Meldefristen als alle bisherigen nationalen Regelwerke.
Die konkreten Änderungen im Betrieb:
- Meldung binnen vier Stunden: Schwerwiegende IKT-Vorfälle müssen nach Klassifizierung innerhalb von vier Stunden gemeldet werden — rund um die Uhr, nicht nur zu Bürozeiten
- Keine Haftungsübertragung bei Auslagerung: Wer IT-Leistungen auslagert, überträgt damit keine Verantwortung. Das Finanzinstitut bleibt vollständig haftbar — auch wenn der Ausfall beim Dienstleister liegt.
- Leitungsorgane in der Pflicht: Vorstände müssen Sicherheitsmaßnahmen formal genehmigen und eigene Schulungen nachweisen können — Unwissenheit schützt weder vor Haftung noch vor Bußgeldern
- KI als neues Risikofeld: Die BaFin veröffentlichte im Dezember 2025 konkrete Hinweise zu IKT-Risiken beim KI-Einsatz — Sicherheit und Resilienz müssen entlang des gesamten KI-Lebenszyklus sichergestellt werden
- Penetrationstests als Pflicht: Bedrohungsbasierte Tests für systemrelevante Institute sind nicht mehr optional, sondern fester Bestandteil des Aufsichtsrahmens
Was Aufseher 2026 konkret einfordern
Die BaFin hat unmissverständlich klargestellt: Ab 2026 wird eine vollständige DORA-Umsetzung erwartet. Laufende Projekte wirken sich bei Prüfungen nicht strafmildernd aus.
Allein seit Inkrafttreten der Verordnung im Januar 2025 hat die BaFin mehr als 600 schwerwiegende IKT-Vorfälle registriert. Drittparteienrisikomanagement und Vorfallmeldung bleiben die Bereiche mit dem größten Nachholbedarf.
Die Bußgeldrahmen sind erheblich: Finanzinstitute riskieren Sanktionen von bis zu zwei Prozent des weltweiten Jahresumsatzes. Führungskräfte haften persönlich mit bis zu einer Million Euro. Kritische IKT-Drittanbieter können täglich mit einem Prozent ihres Weltumsatzes belegt werden — solange der Verstoß andauert.
Operative Resilienz jenseits des Banksektors
Das Kernprinzip von DORA — dass digitale Betriebssicherheit kein Projekt ist, sondern ein Dauerzustand — gilt längst über klassische Finanzinstitute hinaus. Überall wo Zahlungsdaten fließen, Systeme rund um die Uhr verfügbar sein müssen und Nutzer auf stabile digitale Infrastruktur angewiesen sind, gelten vergleichbare Anforderungen an Stabilität und Vorfallreaktion. Plattformen wie https://verdecasino.com/de/welcome-betting operieren unter regulatorischen Rahmenbedingungen, in denen Systemstabilität und Vorfallreaktion direkte Auswirkungen auf die Betriebslizenz haben — ein Muster, das DORA für Finanzinstitute formalisiert hat und das sich branchenübergreifend fortsetzt.
Papier oder Praxis
Der Fokus verschiebt sich 2026 grundlegend: Nicht mehr die Frage, ob Dokumentation vorhanden ist, sondern ob die Systeme im Ernstfall tatsächlich standhalten. Wer DORA als strategische Grundlage für Stabilität begreift und nicht als Pflichtübung, wird gestärkt aus der Prüfungsphase hervorgehen.
Institute, die das verstanden haben, bauen keine Compliance-Strukturen — sie bauen belastbare Organisationen. Das ist der Unterschied, den 2026 sichtbar macht. Und der Unterschied, der darüber entscheidet, welche Institute die nächste Prüfungsrunde ohne Bußgeld überstehen.

