29. Januar 2026 | Artikel drucken |

DORA und der Finanzstandort: Warum Security zur Bankenlizenz wird

7 Min. Lesezeit

3.600 Finanzunternehmen in Deutschland stehen unter einer neuen Regulierung die keine Übergangsfrist kennt. Der Digital Operational Resilience Act ist seit dem 17. Januar 2025 in Kraft und verlangt von Banken, Versicherern und Vermögensverwaltern ein Niveau an digitaler Widerstandsfähigkeit, das viele erst noch aufbauen müssen. 44 Prozent der deutschen Finanzunternehmen kämpfen laut Advisori mit erheblichen Umsetzungsproblemen. Die Implementierungskosten für große Institute liegen laut McKinsey bei 25 bis 150 Millionen Euro. Und die BaFin hat angekündigt, 2026 mit systematischen Prüfungen zu beginnen. Für den Finanzstandort Deutschland wird DORA zur Nagelprobe: Wer die Anforderungen erfüllt, beweist digitale Reife. Wer scheitert, riskiert nicht nur Bußgelder sondern Vertrauen.

Das Wichtigste in Kürze

  • 3.600 Finanzunternehmen in Deutschland betroffen: Von 22.000 EU-weit. DORA gilt seit 17. Januar 2025 ohne Übergangsfrist. Keine Ausnahmen.
  • 25 bis 150 Millionen Euro Implementierungskosten: Für große Institute. Das ist das 5- bis 10-Fache des initialen Programm-Budgets. 70 Prozent erwarten dauerhaft höhere Betriebskosten (McKinsey).
  • 44 Prozent mit erheblichen Umsetzungsproblemen: Der durchschnittliche Umsetzungsstand deutscher Finanzunternehmen liegt bei etwa zwei Dritteln der Anforderungen (Advisori).
  • 19 kritische IKT-Drittanbieter unter EU-Direktaufsicht: Darunter Deutsche Telekom und SAP. Erstmals prüfen ESAs Cloud-Provider direkt.
  • BaFin startet systematische Prüfungen 2026: Informationsregister-Meldefrist 9. bis 30. März 2026. BAIT wird zum 31.12.2026 vollständig aufgehoben.

Was DORA von Finanzunternehmen verlangt

DORA basiert auf fünf Säulen die zusammen ein umfassendes Framework für digitale operationelle Resilienz bilden. Es reicht nicht, einzelne Maßnahmen umzusetzen. Die BaFin erwartet ein integriertes System.

Säule 1: IKT-Risikomanagement. Ein umfassendes Framework das Asset-Identifikation, Risikoanalyse, Schutzmaßnahmen, Bedrohungserkennung, Incident Response und Disaster Recovery abdeckt. Kein Finanzunternehmen darf mehr ohne dokumentiertes IKT-Risikomanagement operieren. Das klingt selbstverständlich, ist es in der Praxis aber nicht: Viele kleinere Vermögensverwalter und Zahlungsdienstleister haben bisher mit informellen Prozessen gearbeitet.

Säule 2: Incident Management und Reporting. Meldepflicht für schwerwiegende IKT-Vorfälle. Die Fristen orientieren sich an NIS2 sind aber DORA-spezifisch: Early Warning, Incident Notification und Abschlussbericht. Wer keinen funktionierenden Meldeprozess hat, verstößt ab dem ersten Vorfall gegen geltendes Recht.

Säule 3: Digital Operational Resilience Testing. Regelmäßige Belastungstests und szenariobasierte Übungen. Für systemrelevante Institute kommt Threat-Led Penetration Testing (TLPT) hinzu: simulierte Angriffe durch externe Red Teams die reale Bedrohungsszenarien nachbilden. Das ist ein Quantensprung gegenüber den bisherigen jährlichen Penetrationstests.

Säule 4: Third-Party Risk Management. Alle IKT-Drittanbieterverträge müssen DORA-konforme Klauseln enthalten: SLAs, Prüfrechte, Kündigungsrechte, Exit-Strategien und Incident-Notification-Pflichten. Für eine Bank die hunderte von IT-Verträgen hat, bedeutet das eine vollständige Überprüfung und Neuverhandlung des Vertragsportfolios.

Säule 5: Cyber Threat Information Sharing. Austausch von Bedrohungsinformationen zwischen Finanzunternehmen. Freiwillig aber empfohlen. Die DCSO (getragen von Allianz, BASF, Bayer, VW) ist hier Vorreiter, aber der Finanzsektor braucht eigene Formate.

22.000
Finanzunternehmen unter DORA
Jan 2025
DORA vollständig anwendbar
TLPT
Pflicht-Penetrationstests für Banken

Quellen: EU DORA Verordnung 2022/2554, BaFin

3.600
Finanzunternehmen in Deutschland unter DORA-Regulierung
Quelle: Bankenverband / BaFin, 2025

Was die BaFin 2026 vorhat

Jens Obermoeller, Gruppenleiter IT-Aufsicht bei der BaFin, hat die Richtung klar vorgegeben. In einem Fachinterview formulierte er sinngemäß: Die Konzentration auf wenige Anbieter auf der einen Seite und eine fragmentierte Wertschöpfungskette auf der anderen Seite erschweren die Kontrolle über kritische Prozesse. Ein Vorfall bei einem systemrelevanten IT-Dienstleister kann einen Dominoeffekt auslösen der den gesamten Finanzmarkt betrifft.

Die BaFin hat im Februar 2026 Workshops für die zweite Melderunde der Informationsregister angeboten. Die Meldefrist läuft vom 9. bis 30. März 2026. Für 2026 und 2027 hat die BaFin systematische Prüfungen und Nachprüfungen angekündigt, mit Fokus auf Qualität und Vollständigkeit der Informationsregister. Das ist der Übergang von der Einführungsphase zur Durchsetzungsphase.

Besonders relevant für den Markt: Die BAIT (Bankaufsichtliche Anforderungen an die IT), seit 2017 das zentrale IT-Regelwerk für deutsche Banken, wird zum 31. Dezember 2026 vollständig aufgehoben. DORA ersetzt BAIT nicht nur inhaltlich sondern auch formell. Für Institute die sich bisher an BAIT orientiert haben, ändert sich der regulatorische Referenzrahmen komplett. BAIT-Compliance garantiert nicht DORA-Compliance, weil DORA in mehreren Bereichen deutlich weiter geht.

Die Kostenfrage: 25 bis 150 Millionen Euro

Die McKinsey-Analyse zu DORA-Implementierungskosten ist ernüchternd. Allein für Strategie, Planung und Orchestrierung rechnen die Berater mit 5 bis 15 Millionen Euro. Die Gesamtimplementierungskosten für große Institute liegen bei 25 bis 150 Millionen Euro, dem 5- bis 10-Fachen des initialen Programm-Budgets. 70 Prozent der Befragten erwarten dauerhaft höhere Betriebskosten für Technologie und Kontrolle.

40 Prozent der Finanzinstitute und IKT-Anbieter widmen mehr als sieben Vollzeitstellen ihren DORA-Compliance-Programmen. Nur ein Drittel war zuversichtlich, alle Anforderungen zum Januar-2025-Deadline zu erfüllen. 50 Prozent erwarteten volle Compliance bis Ende 2025, 38 Prozent erst 2026.

Für mittelgroße Finanzunternehmen (regionale Banken, spezialisierte Versicherer, Zahlungsdienstleister) schätzt Advisori den Aufwand auf 6 bis 12 Monate für substanzielle Compliance und 12 bis 18 Monate für volle Compliance. 44 Prozent der deutschen Finanzunternehmen haben laut der Analyse erhebliche Umsetzungsprobleme. Der durchschnittliche Umsetzungsstand liegt bei etwa zwei Dritteln der Anforderungen.

Die Strafen bei Verstößen sind empfindlich: bis zu 10 Prozent des Jahresumsatzes oder 10 Millionen Euro für schwere Verstöße. Für einzelne Führungskräfte drohen Bußgelder bis eine Million Euro. Das macht DORA-Compliance zu einer persönlichen Haftungsfrage auf Vorstandsebene.

25-150 Mio. EUR
DORA-Implementierungskosten für große Institute
Quelle: McKinsey, 2024/2025

19 kritische Drittanbieter unter EU-Direktaufsicht

Am 18. November 2025 veröffentlichten die europäischen Aufsichtsbehörden (EBA, ESMA, EIOPA) erstmals eine Liste von 19 kritischen IKT-Drittanbietern (CTPPs). Erstmals in der Geschichte der Finanzaufsicht stehen Cloud-Provider und IT-Dienstleister unter direkter EU-Aufsicht.

Auf der Liste stehen unter anderem: Amazon Web Services, Microsoft, Google Cloud, IBM, Oracle, Accenture, Capgemini und NTT DATA. Zwei deutsche Unternehmen sind vertreten: Deutsche Telekom AG und SAP SE. Die Designierungskriterien: systemische Auswirkung bei Ausfall, Bedeutung der abhängigen Finanzinstitute, Konzentrationsrisiko und Substituierbarkeit.

Für den Finanzstandort Deutschland hat das zwei Konsequenzen: Erstens werden Deutsche Telekom und SAP als Dienstleister für Banken und Versicherer direkt von den ESAs geprüft. Das erhöht die Anforderungen an deren Governance, Sicherheitsstandards und Incident-Reporting. Zweitens müssen deutsche Finanzinstitute, die diese Anbieter nutzen, ihre eigene Third-Party-Oversight nachweisen. Die EU-Aufsicht über CTPPs ersetzt nicht die Pflicht der Institute, selbst zu prüfen.

AWS hat die Designierung auf seinem Security Blog bestätigt und sich zur Zusammenarbeit mit den Aufsichtsbehörden bekannt. Die Prüfbereiche: Incident Reporting, Subcontracting, IKT-Sicherheit und Governance.

DORA vs. NIS2: Was gilt wann?

Die häufigste Frage in der Praxis: Müssen Finanzunternehmen sowohl DORA als auch NIS2 erfüllen? Die Antwort ist klarer als oft dargestellt.

DORA ist eine EU-Verordnung (direkt anwendbar), NIS2 eine Richtlinie (muss national umgesetzt werden). Es gilt das Lex-specialis-Prinzip: DORA hat Vorrang gegenüber NIS2 bei IKT-Risiken im Finanzsektor. Banken und Kreditinstitute fallen unter DORA und nicht unter NIS2. Finanzmarktinfrastrukturen (Handelsplätze, zentrale Gegenparteien) ebenfalls.

Die Unterschiede im Detail: NIS2 empfiehlt Vulnerability Assessments, DORA schreibt Threat-Led Penetration Testing vor (deutlich aufwändiger). Bei Drittanbietern führt DORA direkte Aufsicht über CTPPs ein, NIS2 verlangt nur Risikomanagement ohne Direktaufsicht. Und während NIS2 branchenübergreifend 18 Sektoren reguliert, fokussiert DORA ausschließlich auf den Finanzsektor mit spezifischeren und strengeren Anforderungen.

Für Unternehmen die sowohl Finanzdienstleistungen erbringen als auch kritische Infrastruktur betreiben (etwa eine Versicherung die eigene Rechenzentren betreibt), können beide Regulierungen greifen. In diesem Fall: DORA für die Finanzaktivitäten, NIS2 für die Infrastruktur.

Die Gegenposition: Überregulierung des Finanzsektors?

Die Kritik an DORA ist real und kommt aus der Branche selbst. 25 bis 150 Millionen Euro Implementierungskosten bei einem Regulierungswerk das keine Übergangsfrist kennt ist eine enorme Belastung, besonders für kleinere Institute. Regionale Sparkassen und Genossenschaftsbanken, die bisher mit BAIT gut gefahren sind, müssen jetzt EU-Standards erfüllen die für globale Großbanken konzipiert wurden.

Dazu kommt die Überlappung: DORA, NIS2 und der AI Act schaffen zusammen eine Regulierungsdichte die weltweit ihresgleichen sucht. Für einen Finanzdienstleister der KI-gestützte Kreditentscheidungen trifft, gelten potenziell alle drei gleichzeitig. Die Compliance-Abteilungen wachsen, aber die eigentliche Wertschöpfung nicht.

Und die CTPP-Aufsicht birgt ein Paradox: Wenn die EU die großen Cloud-Provider direkt beaufsichtigt, könnte das zu einer Konsolidierung führen. Kleinere Cloud-Anbieter, die den Aufsichtsaufwand nicht stemmen können, ziehen sich aus dem Finanzsektor zurück. Die Abhängigkeit von den Großen wird größer statt kleiner.

Warum DORA trotzdem ein Standortvorteil ist

Die Gegenrechnung spricht für DORA: Ein einzelner schwerwiegender Cybervorfall bei einer deutschen Bank kann Milliardenschäden verursachen, das Vertrauen in den Finanzplatz erschüttern und regulatorische Konsequenzen nach sich ziehen die weit über DORA-Bußgelder hinausgehen.

Der Finanzstandort Frankfurt konkurriert mit London, Paris und Amsterdam. In einem Umfeld, in dem internationale Investoren Cybersecurity-Reife als Qualitätsmerkmal bewerten, wird DORA-Compliance zum Standortargument. Ein Finanzplatz, der nachweislich resilient ist, zieht mehr Kapital an als einer der Resilienz nur behauptet.

Und die deutschen Institute haben einen Startvorteil: Die BAIT-Erfahrung seit 2017 hat ein Compliance-Fundament geschaffen, auf dem DORA aufbauen kann. Der Bankenverband betont, dass deutsche Finanzinstitute als „Pioniere in den Bereichen Sicherheit und Compliance“ gelten. DORA hebt die Anforderungen auf EU-Niveau, aber Deutschland startet nicht bei null.

Fünf Schritte zur DORA-Compliance

1. Informationsregister aufbauen und melden. Die BaFin-Meldefrist für die zweite Einreichung läuft vom 9. bis 30. März 2026. Das Register muss alle IKT-Drittanbieterverträge mit SLAs, Kritikalitätsbewertung und Exit-Strategien enthalten. Wer die erste Runde verpasst hat, muss jetzt nachholen.

2. IKT-Risikomanagement-Framework formalisieren. Dokumentierte Prozesse für Asset-Identifikation, Risikoanalyse, Schutzmaßnahmen und Incident Response. Das Framework muss vom Vorstand genehmigt und regelmäßig überprüft werden. BAIT-Dokumente können als Ausgangspunkt dienen aber müssen auf DORA-Anforderungen erweitert werden.

3. Verträge mit IKT-Drittanbietern überprüfen. Jeder Vertrag braucht DORA-konforme Klauseln: Audit-Rechte, SLAs mit messbaren KPIs, Kündigungsrechte, Exit-Strategien und Incident-Notification-Pflichten. Bei hunderten von Verträgen ist das ein Mehrmonatsprojekt.

4. Threat-Led Penetration Testing planen. Für systemrelevante Institute ist TLPT Pflicht. Das erfordert qualifizierte externe Red Teams die reale Bedrohungsszenarien simulieren. Die Tests müssen von der BaFin genehmigt und die Ergebnisse gemeldet werden. Frühzeitig planen, weil qualifizierte TLPT-Anbieter begrenzt verfügbar sind.

5. Board-Level-Reporting einrichten. DORA macht IKT-Risikomanagement zur Vorstandsaufgabe. Regelmäßige Berichte an Vorstand und Aufsichtsrat über IKT-Risikoprofil, Vorfälle und Compliance-Status. Wer das an die IT-Abteilung delegiert ohne Vorstandsbeteiligung, verstößt gegen den Geist und potenziell den Buchstaben der Verordnung.

Fazit

DORA ist die strengste IKT-Regulierung die der europäische Finanzsektor je gesehen hat. 3.600 Unternehmen in Deutschland müssen Implementierungskosten von bis zu 150 Millionen Euro stemmen. 44 Prozent kämpfen mit erheblichen Problemen. Die BaFin wechselt 2026 von der Einführungs- in die Durchsetzungsphase. Und 19 kritische IKT-Drittanbieter stehen erstmals unter direkter EU-Aufsicht. Für den Finanzstandort Deutschland ist das eine Herausforderung und eine Chance zugleich: Wer DORA-Compliance nachweist, beweist digitale Reife in einem Markt, in dem Vertrauen die härteste Währung ist.

Häufige Fragen

Gilt DORA auch für kleine Finanzunternehmen?

Ja, aber mit Proportionalität. Kleine Finanzunternehmen müssen die Kernpflichten erfüllen (IKT-Risikomanagement, Incident Reporting, Third-Party-Oversight), können aber vereinfachte Frameworks nutzen. Threat-Led Penetration Testing ist nur für systemrelevante Institute Pflicht. Die BaFin hat angekündigt, bei der Prüfung die Größe und Komplexität des Instituts zu berücksichtigen.

Was passiert mit der BAIT?

Die Bankaufsichtlichen Anforderungen an die IT werden zum 31. Dezember 2026 vollständig aufgehoben. DORA ersetzt BAIT als regulatorisches Referenzwerk. Institute die bisher BAIT-konform waren, haben ein gutes Fundament aber müssen in mehreren Bereichen nachbessern: TLPT, Third-Party-Oversight und formalisiertes Informationsregister gehen über BAIT hinaus.

Wie unterscheidet sich DORA von NIS2?

DORA gilt als Lex specialis für den Finanzsektor und hat Vorrang gegenüber NIS2 bei IKT-Risiken. DORA ist strenger: Threat-Led Penetration Testing statt einfacher Vulnerability Assessments, direkte Aufsicht über kritische Drittanbieter statt nur Risikomanagement und spezifischere Incident-Reporting-Anforderungen. Banken fallen unter DORA und nicht unter NIS2.

Was bedeutet die CTPP-Liste für Cloud-Kunden?

Finanzinstitute die AWS, Azure, Google Cloud, SAP oder Deutsche Telekom nutzen, profitieren von der zusätzlichen EU-Aufsicht über diese Anbieter. Aber: Die CTPP-Aufsicht ersetzt nicht die eigene Due Diligence. Jedes Institut muss weiterhin selbst prüfen und dokumentieren ob sein Cloud-Provider die DORA-Anforderungen erfüllt.

Was kostet DORA-Compliance für ein mittelgroßes Institut?

Laut Advisori: 6 bis 12 Monate für substanzielle Compliance, 12 bis 18 Monate für volle Compliance. Die direkten Kosten hängen von der Ausgangslage ab. Institute mit bestehender BAIT-Compliance starten besser als solche ohne. McKinsey schätzt die Gesamtkosten für große Institute auf 25 bis 150 Millionen Euro. Für mittelgroße Institute (regionale Bank, spezialisierter Versicherer) ist ein Bruchteil davon realistisch: 1 bis 5 Millionen Euro je nach Komplexität.

Weiterführende Lektüre

NIS2 in Deutschland: Was Unternehmen jetzt umsetzen müssen (SecurityToday)

Incident Response Made in Germany: BSI und DCSO (SecurityToday)

NIS2 als Standortvorteil (SecurityToday)

Reboot Germany: 735 Milliarden Investitionen (MyBusinessFuture)

Quelle Titelbild: Pexels / Pixabay (px:210574)

Artikel drucken

Hier schreibt Elias für Sie

Mehr Artikel vom Autor

Auch verfügbar in

FrançaisEspañolEnglish

Lesen Sie weiter

Ein Magazin der Evernine Media GmbH