29. Juni 2026 | Artikel drucken |

DORA im Betrieb: Was die Aufsicht sehen will

6 Min. Lesezeit

DORA gilt seit Januar 2025 unmittelbar in der ganzen EU, doch Ende 2025 hatte erst rund die Hälfte der Finanzinstitute die Vorgaben voll umgesetzt. 2026 wird der Druck operativ: Das ICT-Drittanbieter-Register ist fällig, bedrohungsgeführte Penetrationstests stehen an und kritische Cloud-Dienstleister geraten direkt unter EU-Aufsicht.

Das Wichtigste in Kürze

  • Die Frist ist da: Das ICT-Drittanbieter-Register war zum 30. März 2026 an die BaFin zu melden und muss laufend aktuell bleiben. Wer es als Einmal-Übung sieht, fällt beim nächsten Audit auf.
  • Tests werden ernst: Für systemrelevante Institute kommen bedrohungsgeführte Penetrationstests, die die gesamte ICT-Lieferkette einschließen. Die BaFin konkretisiert die Anforderungen im Lauf des Jahres.
  • Die Cloud steht mit drin: 19 IT-Dienstleister gelten als kritische Drittanbieter unter direkter EU-Aufsicht, darunter die großen Hyperscaler. Das verschiebt Verantwortung und Verhandlungsmacht.

Verwandt:Ab wann die Meldefrist-Uhr wirklich tickt  /  KRITIS-Dachgesetz: Wenn Resilienz zur CISO-Pflicht wird

DORA gilt, die Umsetzung hinkt

Was ist DORA? DORA steht für Digital Operational Resilience Act, eine EU-Verordnung für die digitale Betriebsstabilität des Finanzsektors. Sie gilt seit dem 17. Januar 2025 unmittelbar und verpflichtet Banken, Versicherer und ihre IT-Dienstleister zu nachweisbarem Risikomanagement, fristgerechter Vorfallmeldung und regelmäßigen Resilienztests.

Die Verordnung ist also längst geltendes Recht. Trotzdem war die Umsetzung Ende 2025 vielerorts unvollständig: Branchenerhebungen zufolge hatte erst rund die Hälfte der europäischen Finanzinstitute alle Anforderungen erfüllt, ein erheblicher Teil hat das Compliance-Ziel auf 2026 verschoben. Für Security-Teams heißt das: Der Nachweis zählt jetzt im laufenden Betrieb.

Das Risikomanagement muss nachweisbar sein

Der erste Baustein ist ein dokumentiertes ICT-Risikomanagement. DORA verlangt belastbare Substanz statt Hochglanz-Konzept: ein gepflegtes Asset-Inventar, klare Verantwortlichkeiten und Kontrollen, die im Ernstfall greifen. Wer seine kritischen Systeme nicht sauber inventarisiert hat, kann weder Risiken bewerten noch im Audit bestehen.

Aus der Praxis ist der häufigste Fehler, das Framework als Papier zu bauen und den Betrieb davon zu entkoppeln. Ein Risikoregister, das niemand nach dem Audit anfasst, ist wertlos. Die Aufsicht fragt nach gelebten Prozessen. Sie zeigen sich in Logs, Tickets und getesteten Notfallplänen.

rund 50 %
der europäischen Finanzinstitute hatten Ende 2025 die DORA-Vorgaben vollständig umgesetzt.
Quelle: Branchenerhebungen zur DORA-Compliance 2025.

Vorfälle melden, bevor die Uhr abläuft

Der zweite Baustein ist das Incident-Reporting. DORA schreibt vor, schwerwiegende ICT-Vorfälle zu klassifizieren und fristgerecht an die Aufsicht zu melden. Das klingt simpel, scheitert aber oft an der Vorarbeit. Wer im Ernstfall erst klären muss, wer meldet, an wen und in welcher Frist, hat die kritischen Stunden schon verloren.

Hier zahlt sich geübte Routine aus. Ein Meldeprozess gehört getestet wie ein Backup: einmal im Quartal durchgespielt, mit klaren Rollen und Eskalationswegen. Die Meldefristen unterscheiden sich je nach Regelwerk, weshalb der Startpunkt der Uhr sauber definiert sein muss.

Tests, die die ganze Lieferkette treffen

Der dritte Baustein ist das bedrohungsgeführte Penetrationstesten, kurz TLPT. Über den klassischen Pentest hinaus verlangt DORA für bestimmte Institute realitätsnahe Angriffssimulationen, die sich an echten Angreifern orientieren und die ICT-Lieferkette einschließen. Welche Institute in welchem Rhythmus testen, hängt von Größe und Systemrelevanz ab. Die BaFin dürfte die Detailanforderungen noch konkretisieren.

Die Bausteine lassen sich auf konkrete Aufgaben für das Security-Team herunterbrechen.

DORA-Baustein Was das Security-Team konkret liefert
ICT-Risikomanagement Asset-Inventar, Kontrollen, gelebtes Risikoregister
Vorfallmeldung klassifizieren, fristgerecht melden, Prozess testen
Resilienztests (TLPT) bedrohungsgeführte Pentests samt Lieferkette
Drittanbieter Register pflegen, Audit-Rechte sichern, Exit-Plan halten

Wenn der Cloud-Anbieter selbst unter Aufsicht steht

Der vierte Baustein betrifft die Drittanbieter. 19 IT-Dienstleister gelten als kritische Drittanbieter und unterliegen direkt der europäischen Aufsicht, darunter die großen Hyperscaler. Für Finanzinstitute ändert das die Ausgangslage: Die Verantwortung für die Resilienz bleibt beim Institut, auch wenn der Dienst aus der Cloud kommt.

Praktisch heißt das, jeden kritischen Dienst im Register zu führen, Verträge mit Audit- und Kündigungsrechten auszustatten und für jeden wichtigen Anbieter einen Exit-Plan zu haben. Ein Ausfall beim Cloud-Provider entbindet niemanden von der Meldepflicht.

Lagebild

Wer DORA als reine Dokumentations-Übung behandelt, merkt es spätestens beim ersten echten Incident. Die Verordnung fragt nach gelebter Resilienz.

Häufige Fragen

Seit wann gilt DORA und für wen?

DORA gilt seit dem 17. Januar 2025 unmittelbar in allen EU-Staaten. Betroffen sind Banken, Versicherer, Wertpapierfirmen, Zahlungs- und Krypto-Dienstleister sowie ihre wichtigen IT-Dienstleister. Als Verordnung braucht sie keine nationale Umsetzung, sie ist direkt anwendbar.

Was ist beim ICT-Drittanbieter-Register zu beachten?

Das Register listet alle vertraglichen Vereinbarungen über IT-Dienstleistungen und war zum 30. März 2026 an die BaFin zu melden. Es muss laufend gepflegt werden, denn die Aufsicht erwartet einen aktuellen Stand, nicht eine einmalige Momentaufnahme.

Was bedeutet TLPT konkret?

TLPT steht für Threat-Led Penetration Testing, also bedrohungsgeführte Angriffssimulationen. Sie orientieren sich an realen Angreifern und schließen die ICT-Lieferkette ein. Gefordert sind sie vor allem für systemrelevante Institute, die genauen Vorgaben legt die Aufsicht im Lauf des Jahres fest.

Wer haftet, wenn ein Cloud-Anbieter ausfällt?

Die Verantwortung für die operationale Resilienz bleibt beim Finanzinstitut. Auch wenn ein kritischer Drittanbieter direkt der EU-Aufsicht unterliegt, muss das Institut Vorfälle melden, Risiken steuern und einen Exit-Plan vorhalten. Auslagerung verschiebt die Pflicht nicht.

Was droht bei Verstößen?

Die Aufsicht kann empfindliche Sanktionen verhängen, bei kritischen Drittanbietern sogar tägliche Zwangsgelder bis zu einem Prozent des weltweiten Tagesumsatzes über einen längeren Zeitraum. Wichtiger als die Strafhöhe ist meist der Reputations- und Vertrauensschaden nach einem gemeldeten Vorfall.

Lesetipps der Redaktion

SecurityTodayWenn HCI das Backup zur Angriffsfläche machtSecurityTodayZombie-Accounts: der IAM-Blindfleck im OffboardingSecurityTodayProtective DNS: der Layer, den viele übersehen

Mehr aus dem MBF Media Netzwerk

cloudmagazin

KRITIS in die Cloud: Was die Migration absichert

Digital Chiefs

Managed Security Services: CISO haftet nicht allein

MyBusinessFuture

Open Banking für den Mittelstand: Was vor PSD3 schon geht

Bildquelle: KI-generiert (Juni 2026)

Artikel drucken
Alec Chizhik

Hier schreibt Alec Chizhik für Sie

Mehr Artikel vom Autor

Auch verfügbar in

English
Ein Magazin der Evernine Media GmbH