arrow pointing left

zurück

Legal

Die wichtigsten DORA Klauseln erklärt: Anforderungen und Umsetzung

Tony Dang

|

Mar 30, 2025

·

10
MIN READ

Inhaltsverzeichnis

Die Digitalisierung bringt nicht nur Effizienz, sondern auch neue Risiken – DORA soll die Resilienz der Finanzbranche stärken.

Einleitung

Die Finanzbranche wird immer digitaler, doch mit der steigenden Vernetzung nehmen auch IT-Risiken zu. Genau hier setzt der Digital Operational Resilience Act (DORA) an – eine neue EU-Verordnung, die „DORA Klauseln“ mit umfangreichen Vorgaben für die digitale Betriebsresilienz von Finanzdienstleistern einführt. Für Banken, Versicherer und andere Finanzunternehmen sind die DORA Klauseln hochrelevant, da sie dabei helfen sollen, IT-Ausfälle, Cyberangriffe und andere Betriebsstörungen besser zu bewältigen. Dieser praxisnahe Leitfaden erklärt verständlich, was hinter den DORA Klauseln steckt, welche Anforderungen sie stellen und wie Finanzdienstleister diese in der Praxis umsetzen können. Das Ziel: Leserinnen und Leser erhalten einen klaren Überblick über die neuen Vorgaben und konkrete Tipps, um die Compliance zu gewährleisten. Dabei wird das Keyword „DORA Klauseln“ regelmäßig und organisch im Text verwendet, um auch in puncto SEO gut aufgestellt zu sein.

Hintergrund: Der Digital Operational Resilience Act (DORA)

DORA ist eine EU-Verordnung aus dem Jahr 2022, die die digitale operationelle Resilienz im Finanzsektor stärken soll. Sie wurde im Dezember 2022 beschlossen und ist am 16. Januar 2023 in Kraft getreten. Nach einer Übergangszeit wird DORA ab dem 17. Januar 2025 verbindlich gelten. Diese lange Vorbereitungsfrist wurde gewählt, weil die Umsetzung für viele Finanzunternehmen aufwendig ist. DORA richtet sich an einen breiten Kreis von Unternehmen: Banken, Versicherungen, Wertpapierfirmen, Zahlungsdienstleister und sogar Krypto-Anbieter fallen unter den Begriff der Finanzunternehmen. Gleichzeitig bezieht DORA auch externe IT-Dienstleister mit ein – insbesondere sogenannte IKT-Drittdienstleister (z.B. Cloud-Provider, Softwareanbieter, Rechenzentren), die kritische IT-Services für Finanzfirmen erbringen.

Die Zielsetzung von DORA ist klar definiert: Finanzinstitute in Europa sollen auch bei schweren IT-Störungen widerstandsfähig (resilient) bleiben. Cyberangriffe, Systemausfälle oder Ausfälle von Dienstleistern dürfen nicht mehr so leicht zu Finanzkrisen oder großen Dienstleistungsunterbrechungen führen. DORA harmonisiert die Regeln für die IT-Sicherheit und Betriebsstabilität in der EU, sodass für alle Mitgliedstaaten ein einheitlicher Rahmen gilt (Digital Operational Resilience Act (DORA) - EIOPA). Im Kern geht es darum, IKT-Risiken (Informations- und Kommunikationstechnologie-Risiken) besser zu managen und digitale Betriebsabläufe zu schützen. Angesichts der Tatsache, dass Cyberattacken im Finanzsektor zuletzt stark zugenommen haben und Institute länderübergreifend vernetzt sind (Operational resilience in the digital age), schließt DORA eine wichtige Lücke im bisherigen Regulierungsrahmen.

Was sind DORA Klauseln?

Der Begriff „DORA Klauseln“ bezieht sich auf die spezifischen Bestimmungen und Anforderungen, die in der DORA-Verordnung festgeschrieben sind. Man kann sich diese Klauseln als verbindliche Regeln vorstellen, die Finanzunternehmen einhalten müssen, um digital resilient zu sein. Dazu gehören zum einen organisatorische und technische Vorgaben (z.B. wie ein Unternehmen sein IT-Risikomanagement aufstellen muss) und zum anderen vertragliche Klauseln, die bei der Zusammenarbeit mit IT-Dienstleistern vereinbart werden müssen. Mit anderen Worten: DORA-Klauseln sind Pflichtprogramm für Compliance und Risikomanagement im digitalen Zeitalter der Finanzbranche.

Ein zentrales Element der DORA Klauseln ist die Vorgabe konkreter Regelungen und Maßnahmen in mehreren Bereichen. DORA schreibt vor, dass Finanzunternehmen über robuste Prozesse verfügen, um IT-Risiken zu identifizieren, zu überwachen und zu kontrollieren. Außerdem müssen IT-Drittanbieter vertraglich verpflichtet werden, bestimmte Sicherheitsstandards und Meldewege einzuhalten. Insgesamt lassen sich die DORA Klauseln in fünf Hauptthemen gliedern:

  • IKT-Risikomanagement (interne Richtlinien, Kontrollen und Verantwortlichkeiten zur Steuerung von IT-Risiken),
  • IKT-bezogene Zwischenfälle (Management und Meldung von Cybervorfällen),
    Digitale Resilienztests (regelmäßige Tests der Notfallpläne und Sicherheitsmaßnahmen, z.B. Penetrationstests),
  • IKT-Drittparteimanagement (Umgang mit ausgelagerten IT-Diensten und Lieferanten, inkl. Mindestinhalte für Verträge) und
  • Informationsaustausch (Möglichkeiten zum Teilen von Cyber-Bedrohungsinformationen innerhalb der Branche).

Für Unternehmen bedeuten die DORA Klauseln vor allem eines: Handlungsbedarf. Wer im Finanzsektor aktiv ist, muss seine Compliance- und Risikomanagement-Strukturen an die neuen Vorgaben anpassen. Dabei geht es nicht nur darum, regulatorische Pflichten zu erfüllen, sondern auch darum, eigene Geschäftsrisiken zu minimieren. Ein Cyberangriff oder längerfristiger IT-Ausfall kann enorme finanzielle Schäden und Reputationsverluste verursachen. Die DORA Klauseln helfen, solche Risiken proaktiv anzugehen – vom Abschluss sicherer Verträge bis hin zum Notfallplan für den Ernstfall.

Anforderungen der DORA Klauseln im Detail

Im Folgenden beleuchten wir die wichtigsten Anforderungen der DORA Klauseln im Detail. Diese lassen sich drei Kernbereichen zuordnen: Erstens Risikomanagement und IT-Sicherheitsstandards innerhalb des Unternehmens, zweitens Drittanbietermanagement und Outsourcing und drittens Berichtswesen sowie Compliance-Monitoring. Jeder dieser Bereiche enthält konkrete Pflichten, die Finanzdienstleister umsetzen müssen.

Risikomanagement und Sicherheitsstandards

Ein solides IKT-Risikomanagement bildet das Fundament der DORA-Anforderungen. Jedes Finanzunternehmen muss ein internes Rahmenwerk etablieren, um IT-Risiken systematisch zu steuern. Das bedeutet in der Praxis: Es müssen klare Verantwortlichkeiten und Prozesse definiert sein, um Risiken zu identifizieren, zu bewerten und geeignete Gegenmaßnahmen zu ergreifen. Typische IT-Sicherheitsmaßnahmen wie Firewalls, Verschlüsselung, Zugriffsbeschränkungen und regelmäßige Software-Updates sind Grundvoraussetzung – DORA verlangt aber auch darüber hinausgehende organisatorische Schritte. So sollte z.B. eine unabhängige Kontrollfunktion (etwa ein IT-Risiko-Manager oder eine entsprechende Abteilung) vorhanden sein, die das Risikomanagement überwacht. Außerdem erwartet DORA, dass das Management (Vorstand) in das Thema eingebunden ist: Die Geschäftsleitung muss die Risikoappetit und -toleranz festlegen und regelmäßig Berichte zur IT-Risikolage erhalten.

Ein wichtiger Bestandteil ist das Incident- und Notfallmanagement. DORA schreibt vor, dass Finanzinstitute einen klaren Prozess zur Meldung, Behandlung und Nachverfolgung von IT-Zwischenfällen haben. Konkret heißt das: Es muss intern bekannt sein, wer was zu tun hat, wenn ein Cyberangriff oder Systemausfall passiert. Unternehmen sollten Incident-Response-Pläne vorbereiten – vergleichbar mit Feuerwehrübungen für IT-Notfälle. Ebenso werden Notfall- und Wiederanlaufpläne verlangt, um im Ernstfall den Geschäftsbetrieb möglichst schnell wieder aufnehmen zu können. Beispielsweise muss definiert sein, wie lange bestimmte kritische Systeme maximal ausfallen dürfen (sog. Recovery Time Objectives) und welche alternativen Lösungen es gibt, falls ein System nicht verfügbar ist. Regelmäßige Tests dieser Notfallpläne sind ebenfalls Teil der DORA Klauseln: Dazu zählen technische Resilienztests (z.B. Fallback-Tests, ob Backups funktionieren) und auch Penetrationstests, bei denen gezielt Schwachstellen aufgespürt werden. Große Institute müssen sogar alle drei Jahre einen umfassenden Threat-Led Penetration Test (TLPT) durchführen, der einen gezielten Hackerangriff simuliert. Auch kleinere Finanzdienstleister sollten in angemessenen Abständen ihre Systeme überprüfen, um Schwachstellen frühzeitig zu erkennen.

Zusammengefasst verlangt DORA in Sachen Risikomanagement: Proaktive Vorsorge statt reaktivem Reparieren. Jedes Finanzunternehmen soll vorhersehen und planen, was bei IT-Pannen zu tun ist. Dazu gehört auch, dass Mitarbeiter geschult sind, Bedrohungen zu erkennen (z.B. Phishing-E-Mails) und im Ernstfall richtig zu reagieren. Durch solche Sicherheitsstandards und Prozesse schaffen DORA Klauseln eine Kultur der Achtsamkeit gegenüber digitalen Risiken – ein wesentlicher Schritt, um Ausfälle gar nicht erst entstehen zu lassen oder deren Auswirkungen zu begrenzen.

Drittanbietermanagement und Outsourcing

Ein großer Teil der DORA Klauseln befasst sich mit dem Risikomanagement bei IT-Drittanbietern. Finanzunternehmen arbeiten oft mit externen IT-Dienstleistern zusammen – sei es für Cloud-Services, Software, Datenanalyse oder andere digitale Dienste. Diese Auslagerungen bergen Risiken, weil Probleme beim Dienstleister das Finanzunternehmen direkt treffen können. Daher fordert DORA ein systematisches Drittanbietermanagement und strenge Vorgaben für Outsourcing-Verträge.

Zunächst müssen Finanzunternehmen eine Übersicht aller IKT-Dienstleister führen, die für sie tätig sind (ein Drittanbieter-Register). Für jeden wichtigen Anbieter ist eine Risikobewertung durchzuführen: Welche Dienstleistungen erbringt er? Wie kritisch sind sie für unser Geschäft? Welche Sicherheitsmaßnahmen hat der Anbieter selbst? Auf Basis dieser Analysen sind Maßnahmen abzuleiten, um die Risiken zu beherrschen. DORA verlangt außerdem, Konzentrationsrisiken zu betrachten – also zu prüfen, ob man vielleicht zu viele kritische Services bei einem einzigen Anbieter hat (Stichwort: „Alle Eier in einem Korb“). Im Idealfall sollten kritische Funktionen auf mehrere Schultern verteilt sein, damit der Ausfall eines einzelnen Dienstleisters nicht das ganze Institut lahmlegt.

Besonders verträge mit IT-Drittanbietern rücken in den Fokus – hier kommen die eigentlichen DORA Klauseln im engeren Sinne ins Spiel. Artikel 30 DORA definiert detaillierte Mindestanforderungen an Verträge über IKT-Dienstleistungen. Bestehende Auslagerungsverträge müssen überprüft und gegebenenfalls angepasst werden, damit sie all diese Punkte erfüllen. 

Neu abgeschlossene Verträge müssen von vornherein die DORA-Vorgaben berücksichtigen. Aber was genau muss nun in so einem Vertrag stehen? Hier ein Überblick der wichtigsten vertraglichen DORA-Klauseln:

  • Schriftform und Klarheit: Verträge über IKT-Dienstleistungen müssen schriftlich festgehalten werden (Papier oder elektronisch). Sie sollen klar umreißen, welche Leistungen der Dienstleister erbringt und welche Funktionen damit unterstützt werden. Unklarheiten gilt es zu vermeiden, damit im Ernstfall jeder weiß, wer wofür zuständig ist.

  • Service Level Agreements (SLAs): Die Dienstleistungsqualität muss messbar vereinbart sein. Konkret heißt das, es sollten Leistungskennzahlen (KPIs) und Mindeststandards definiert werden – z.B. maximale Reaktionszeiten bei Störungen oder Verfügbarkeitszeiten der Systeme.

  • Datensicherheit und Datenschutz: Es müssen klare Vereinbarungen zur IT-Sicherheit getroffen werden. Dazu gehört der Schutz sensibler Daten gemäß DSGVO (Datenschutz-Grundverordnung) und weiteren Sicherheitsstandards. Der Anbieter muss beispielsweise garantieren, angemessene Sicherheitsvorkehrungen zu treffen, um Daten vor unbefugtem Zugriff oder Cyberangriffen zu schützen.

  • Umgang mit Sicherheitsvorfällen: Der Vertrag soll regeln, wie bei IT-Zwischenfällen vorzugehen ist). Das beinhaltet Meldewege: Der Dienstleister muss das Finanzunternehmen unverzüglich informieren, wenn bei ihm ein sicherheitsrelevantes Ereignis eintritt (z.B. ein Hackerangriff auf das Rechenzentrum). Außerdem sollte festgelegt sein, wie man gemeinsam reagiert – etwa durch Notfallpläne oder Unterstützung des Dienstleisters bei der Problembehebung.

  • Prüf- und Zugriffsrechte: Sehr wichtig ist, dass Finanzunternehmen Audit-Rechte gegenüber dem IT-Dienstleister haben. DORA verlangt, dass vertraglich vereinbart wird, wie der Auftraggeber (und die Aufsichtsbehörden) die Dienstleistungen überprüfen können. Praktisch bedeutet das: Das Finanzinstitut und ggf. die Aufsicht (z.B. BaFin oder EZB) dürfen beim Dienstleister Prüfungen durchführen oder Nachweise einfordern, um sicherzustellen, dass alle Regeln eingehalten werden. Der Anbieter muss also Audit-Besuche, Sicherheitsüberprüfungen oder Einsicht in relevante Unterlagen zulassen.

  • Ort der Leistungserbringung: Verträge müssen angeben, in welchen Regionen oder Ländern der Dienstleister seine Leistungen erbringt (. Besonders heikel sind Leistungen außerhalb der EU/EWR (Drittländer). DORA schränkt den Einsatz von Dienstleistern in Drittländern stark ein, da dort oft andere Rechtslagen gelten. Wenn also Daten in einem Nicht-EU-Rechenzentrum verarbeitet würden, ist besondere Vorsicht geboten – hier können die Aufseher sogar fordern, dass solche Auslagerungen beendet werden.

  • Kündigungsrechte und Ausstiegsstrategien: Es müssen vertragliche Kündigungsrechte vereinbart werden, die es dem Finanzunternehmen ermöglichen, den Vertrag zu beenden, wenn der Dienstleister die Vorgaben nicht einhält oder die Aufsicht es verlangt). DORA spricht davon, dass die Kündigungsrechte den Erwartungen der Aufsichtsbehörden genügen müssen. Praktisch heißt das: Im Vertrag sollte z.B. ein Sonderkündigungsrecht festgeschrieben sein für den Fall, dass der Dienstleister gravierende Sicherheitsmängel hat oder die Stabilität des Instituts gefährdet. Zudem braucht das Finanzunternehmen einen Ausstiegsplan – also eine Strategie, wie es im Falle einer Vertragsbeendigung die Dienstleistungen anderweitig beziehen oder selbst übernehmen kann, ohne den Geschäftsbetrieb zu gefährden.

  • Weitergabe an Unterauftragnehmer: Setzt der IT-Dienstleister seinerseits Subunternehmer ein, muss vertraglich geregelt sein, dass alle DORA-Anforderungen an diese Unterauftragnehmer weitergegeben werden. Der Hauptanbieter muss also sicherstellen und nachweisen, dass auch seine Zulieferer z.B. dieselben Sicherheitsstandards einhalten. Außerdem sollte festgelegt werden, ob der Finanzdienstleister zustimmen muss, bevor der IT-Anbieter einen Subunternehmer beauftragt (um Kontrolle über die Lieferkette zu behalten).

  • Beteiligung an Resilienz-Übungen: In manchen Fällen (insbesondere wenn der Dienstleister kritische Funktionen unterstützt) verlangt DORA sogar, dass Anbieter an Sicherheitstests und Schulungen teilnehmen. So müssen wichtige IT-Drittanbieter sich etwa an Sensibilisierungsprogrammen zum Thema IT-Sicherheit beteiligen und bei den bedrohungsorientierten Penetrationstests (TLPT) des Finanzunternehmens mitwirken. Das heißt, wenn die Bank einen großen Sicherheitstest durchführt, muss der Cloud-Provider mitspielen und z.B. an gemeinsamen Notfallübungen teilnehmen.

Diese Vorgaben zeigen: Auslagerungsverträge werden durch DORA deutlich umfangreicher und spezifischer. Viele Finanzunternehmen müssen daher bestehende Verträge anpassen und nachverhandeln. Das ist eine Herausforderung, vor allem wenn man Dutzende oder gar Hunderte von IT-Verträgen hat. Artikel 30 DORA deckt nahezu alle Aspekte ab, die ein guter Vertrag enthalten muss – es gibt kaum Spielraum, diese Punkte zu ignorieren. Die Aufsichtsbehörden (wie die BaFin in Deutschland) haben zudem betont, dass sie erwarten, dass alle relevanten Verträge bis zum Stichtag angepasst sind. Für große Banken mit z.B. 1000 ausgelagerten IT-Services ist das ein Mammutprojekt. Viele Institute verfolgen daher einen risikobasierten Ansatz: zuerst die wichtigsten Verträge (mit den kritischsten Dienstleistern) aktualisieren, um die größten Risiken abzusichern, und dann nach und nach die restlichen Verträge überarbeiten.

Zusammenfassend sorgen die DORA Klauseln im Bereich Drittanbietermanagement dafür, dass kein blinder Fleck mehr in der IT-Lieferkette bleibt. Alle externen Partner müssen eingebunden und vertraglich verpflichtet werden, damit im Krisenfall Verantwortlichkeiten klar sind und Finanzunternehmen nicht im Regen stehen. Durch diese engmaschigen Vorgaben reduziert DORA das Outsourcing-Risiko erheblich – Auslagerung bleibt möglich, aber nur mit doppeltem Boden und Sicherungsnetz.

Berichtswesen und Compliance-Monitoring

Neben Risikomanagement und Vertragsgestaltung verlangt DORA auch ein umfassendes Berichtswesen und fortlaufendes Compliance-Monitoring. Finanzinstitute müssen also nicht nur all die genannten Maßnahmen umsetzen, sondern deren Einhaltung auch laufend überwachen und dokumentieren.

Ein zentrales Element ist die Meldepflicht von schweren IT-Zwischenfällen. Wenn ein Finanzdienstleister einen größeren ICT-Vorfall erleidet – etwa ein Cyberangriff, der wichtige Systeme lahmlegt, oder ein technischer Ausfall, der Kunden betrifft – muss er dies der zuständigen Aufsichtsbehörde zeitnah anzeigen. DORA definiert, was als „major incident“ gilt und schreibt genaue Meldewege vor. In der Praxis bedeutet das: Ein Institut braucht interne Prozesse, um Vorfälle zu klassifizieren (wann ist ein Ausfall so gravierend, dass gemeldet werden muss?) und innerhalb bestimmter Fristen einen Incident-Report an die Aufsicht zu senden. Typischerweise erwarten die Behörden zunächst eine Sofortmeldung (innerhalb von 24 oder 72 Stunden nach Entdeckung) mit ersten Infos und später einen ausführlichen Bericht mit Ursachenanalyse und ergriffenen Gegenmaßnahmen. Einheitliche Formate und Schnittstellen für diese Meldungen werden EU-weit vorgegeben, damit die Aufsichten schnell einen Überblick über die Lage bekommen. Dieses Meldewesen verbessert die Transparenz: Aufsichtsbehörden können trends erkennen (z.B. eine Welle von Attacken auf Banken) und ggf. Warnungen oder Anforderungen an alle Institute ausgeben.

Doch Berichtswesen unter DORA beschränkt sich nicht nur auf Störfallmeldungen. Regelmäßige Berichte und Audits sind ebenso wichtig. Unternehmen müssen intern und extern nachweisen, dass sie die DORA Klauseln einhalten. Dazu gehört etwa, dass ein jährlicher Bericht an die Geschäftsführung erstellt wird über die IT-Risikolage und Resilienzmaßnahmen. Auch können die Aufsichtsbehörden anfordern, dass ein Institut seine Risikoanalysen, Testberichte oder Vertragsregister vorlegt, um die Konformität zu prüfen. Einige Institute unterliegen bereits heute ähnlichen Pflichten (z.B. nach MaRisk/BAIT in Deutschland), aber DORA vereinheitlicht das und verschärft es teils. Dokumentation ist somit das A und O: Alle relevanten Policies, Prozesse, Verträge, Vorfallsprotokolle und Testergebnisse sollten vollständig und aktuell vorhanden sein. Bei einer Prüfung (sei es durch interne Revision oder externe Aufsicht) muss ein Finanzunternehmen belegen können, dass es alle DORA-Vorgaben erfüllt und kontinuierlich überwacht.

Zum Compliance-Monitoring zählt auch, dass Abweichungen oder Schwachstellen erkannt und behoben werden. Beispielsweise sollte ein Finanzdienstleister intern Kennzahlen verfolgen: Wie viele sicherheitsrelevante Zwischenfälle gab es? Wurden alle innerhalb der vorgegebenen Zeit gemeldet? Gibt es offene Maßnahmen aus Risikoassessments, die noch nicht umgesetzt sind? Durch solche Kontrollmechanismen behält das Management einen Überblick und kann nachsteuern. Manche größere Institute richten spezielle DORA-Taskforces oder Projektgruppen ein, die die Umsetzung koordinieren und den Fortschritt überwachen. Kleinere Unternehmen integrieren das Monitoring vielleicht in bestehende Compliance- oder IT-Governance-Gremien.

Nicht zuletzt werden die Aufsichtsbehörden selbst ein wachsames Auge auf die DORA-Compliance haben. Zwar ist noch nicht in allen Details klar, wie streng die ersten Monate gehandhabt werden – aber es gibt keine offizielle Übergangsfrist. Die EU-Kommission hat klargestellt, dass der Stichtag Januar 2025 fix ist und bekannt war. Sollte ein Institut die DORA Klauseln dann nicht erfüllen, könnten die nationalen Aufseher eingreifen. Denkbar sind Maßnahmen wie Auflagen, Sanktionen oder Bußgelder, ähnlich wie man es von anderen Regulierungen kennt. Daher ist es im ureigenen Interesse der Finanzunternehmen, ein effektives Compliance-Monitoring aufzusetzen. So stellt man sicher, dass alle Vorgaben eingehalten werden – und kann gegenüber der Aufsicht jederzeit Rechenschaft ablegen, dass man „DORA-fit“ ist.

Umsetzung der DORA Klauseln in Unternehmen

Vor der Theorie haben viele Unternehmen Respekt – doch wie setzt man die umfangreichen DORA-Anforderungen nun praktisch um? Im Folgenden skizzieren wir einen möglichen Fahrplan zur Umsetzung der DORA Klauseln in einem Finanzunternehmen. Dieser gliedert sich grob in drei Phasen: Vorbereitung und Analyse, Implementierung von Maßnahmen sowie Schulung und laufende Verankerung. Jedes Unternehmen ist anders, aber die folgenden Schritte haben sich als Best Practices herauskristallisiert.

Vorbereitung und Analyse

Am Anfang steht die Bestandsaufnahme: Unternehmen sollten zunächst ermitteln, wo sie aktuell stehen in Bezug auf die DORA-Themen. Eine Gap-Analyse ist hierfür das Mittel der Wahl. Dabei werden die bestehenden Prozesse, Richtlinien und Verträge den DORA-Anforderungen gegenübergestellt. Zum Beispiel: Gibt es schon ein IT-Risikomanagement-Handbuch und deckt es alle geforderten Punkte ab? Wie ist das Incident-Management organisiert und entspricht es den neuen Meldepflichten? Welche IT-Auslagerungsverträge bestehen und enthalten diese schon Klauseln zu Sicherheitsvorfällen, Audit-Rechten etc., oder gibt es hier Lücken?

Ein praktischer Ansatz ist, Checklisten zu nutzen. Manche Branchenverbände und Beratungen haben bereits DORA-Checklisten veröffentlicht, anhand derer man systematisch prüfen kann, welche Anforderungen erfüllt sind und welche nicht. Auch die deutschen Aufseher (BaFin) haben Hinweise gegeben, worauf zu achten ist. Wichtig ist in dieser Phase auch, alle Beteiligten ins Boot zu holen: typischerweise sollten IT-Abteilung, Risk Management, Compliance/Revision, Recht und gegebenenfalls der Einkauf (für Verträge) zusammenarbeiten. Gemeinsam kann man eine Prioritätenliste erstellen: Welche Lücken sind kritisch und müssen sofort geschlossen werden? Welche Punkte sind weniger relevant oder haben wir schon im Griff?

Teil der Vorbereitung ist außerdem, die kritischen Funktionen und Assets des Unternehmens zu identifizieren. DORA fordert ja insbesondere für kritische oder wichtige Funktionen besondere Vorkehrungen. Daher sollte jedes Institut festlegen: Was sind unsere wichtigsten Geschäftsprozesse und welche IT-Systeme sowie Dienstleister hängen daran? Beispiel: Zahlungsverkehrssysteme oder Online-Banking könnten als kritisch eingestuft werden. Diese Analyse stellt sicher, dass man später die größten Risiken zuerst adressiert. Ebenso sollte man eine Liste aller IKT-Drittanbieter erstellen, wie im vorherigen Abschnitt beschrieben. Viele Unternehmen waren überrascht, wie lang diese Liste sein kann – praktisch jeder Softwarelieferant zählt dazu. Hier kann es sinnvoll sein, zu kategorisieren (kritisch/wichtig vs. weniger wichtig), um den Fokus nicht zu verlieren.

Zusammengefasst: In der Phase Analyse schafft man die Informationsgrundlage. Man erkennt die Lücken (Gaps) zwischen Soll (DORA Klauseln) und Ist (aktueller Zustand). Das Ergebnis sollte ein Maßnahmenplan sein, der priorisiert, was zu tun ist. Diese Vorbereitung zahlt sich aus, da man so zielgerichtet in die Umsetzung gehen kann, statt blindlings Maßnahmen zu ergreifen.

Implementierung von Maßnahmen

Auf Basis der Analyse geht es nun an die konkrete Umsetzung der erforderlichen Maßnahmen. Hier kommt viel Projektarbeit auf Finanzunternehmen zu, da unterschiedliche Bereiche parallel arbeiten müssen. Einige zentrale Handlungsfelder bei der Implementierung:

  • Richtlinien und Prozesse aktualisieren: Viele Institute werden ihre internen Policies (z.B. IT-Sicherheitsrichtlinie, Notfallhandbuch, Auslagerungsrichtlinie) überarbeiten müssen. Jetzt ist die Gelegenheit, DORA-konforme Regeln schriftlich festzuhalten. Zum Beispiel kann man eine Incident-Management-Prozedur definieren, die genau die in DORA geforderten Klassifizierungen und Meldewege enthält. Oder eine Drittanbieter-Policy, die festlegt, wie neue IT-Dienstleister bewertet und genehmigt werden (inkl. der Pflicht, DORA-Klauseln im Vertrag zu haben).

  • Technische Maßnahmen umsetzen: Wo die Analyse Sicherheitslücken gezeigt hat, müssen technische Upgrades erfolgen. Das könnte heißen: Einführung einer besseren Logging- und Monitoring-Lösung, um Cyberangriffe schneller zu erkennen, Verstärkung der Netzwerksicherheit (z.B. Segmentierung, zusätzliche Firewalls) oder Implementierung von Verschlüsselungstechnologien für sensible Daten. Auch Backup- und Wiederanlaufstrukturen gilt es zu prüfen: Sind die Backup-Systeme robust? Wurden Restore-Vorgänge getestet? Falls nicht, jetzt nachholen.

  • Vertragsmanagement und Outsourcing anpassen: Wahrscheinlich die aufwendigste Aufgabe ist das Überarbeiten aller relevanten Auslagerungsverträge. Hier sollten Rechtsabteilung und Fachbereiche eng kooperieren. In vielen Fällen bietet es sich an, Standardvertragsklauseln oder Nachtragsdokumente zu erstellen, die man allen IT-Dienstleistern zukommen lässt. Branchenverbände wie der GDV (Versicherungsverband) haben hierfür sogar Musterklauseln bereitgestellt. Damit kann man effizient sicherstellen, dass z.B. Audit-Rechte, Incident-Meldungen und Co. in jedem Vertrag geregelt sind. Große Unternehmen setzen teils auch auf digitale Contract-Management-Systeme, um das Durchsehen hunderter Verträge zu beschleunigen. Hierbei werden Verträge per Software analysiert, um fehlende Klauseln aufzuspüren.

  • Integration in bestehende Prozesse: DORA-Umsetzung sollte nicht losgelöst als einmaliges Projekt betrachtet werden, sondern man integriert die Anforderungen in die laufenden Geschäftsprozesse. Beispiel: Bei neuen IT-Projekten sollte ab sofort immer geprüft werden, ob externe Anbieter involviert sind und falls ja, müssen gleich DORA-konforme Verträge aufgesetzt werden. Oder: Änderungsmanagement in der IT (Change Management) sollte berücksichtigen, dass bei Änderungen an kritischen Systemen evtl. ein neuer Risiko-Check nötig ist. Durch solche Anpassungen stellt man sicher, dass DORA nicht nur auf dem Papier existiert, sondern im Alltag gelebt wird.

  • Best Practices nutzen: Unternehmen können von bereits etablierten Rahmenwerken profitieren. Viele Anforderungen von DORA decken sich z.B. mit ISO-27001 (Informationssicherheits-Standard) oder dem NIST Cybersecurity Framework. Wer solche Standards schon implementiert hat, hat einen Vorsprung. Auch der Austausch mit Branchenkollegen kann wertvoll sein – etwa im Rahmen von Arbeitsgruppen oder Verbänden, wo man erfährt, wie andere bestimmte Probleme lösen.

Bei der Implementierung sollte man die Schritt-für-Schritt-Vorgehensweise nicht vergessen: Lieber kleine Erfolge schnell umsetzen (Quick Wins), als alles auf einen Schlag verändern zu wollen. Beispielsweise könnte man zunächst einen kritischen Geschäftsprozess pilotieren: Man testet hier alle neuen Verfahren (Incident-Drills, Anbieter-Checks, etc.) und lernt daraus, bevor man es auf das ganze Unternehmen ausrollt. So bleibt das Projekt manageable. Wichtig ist auch das Timing: Da der Stichtag feststeht, sollten Maßnahmen mit langer Vorlaufzeit (etwa Vertragsverhandlungen mit großen IT-Konzernen) früh gestartet werden. Manche Finanzhäuser haben bereits 2023 damit begonnen, erste Vertragsanpassungen zu verhandeln, weil große Anbieter erfahrungsgemäß viel Abstimmungszeit brauchen. Schließlich will kein Unternehmen kurz vor knapp ohne unterschriebene DORA-konforme Verträge dastehen.

Schulung und Sensibilisierung

Die beste Richtlinie nützt wenig, wenn die Mitarbeitenden sie nicht kennen oder verstehen. Daher ist Schulung und Sensibilisierung ein essenzieller Bestandteil der DORA-Umsetzung. Alle relevanten Mitarbeiter – vom IT-Administrator bis zum Vorstand – sollten über die neuen Prozesse und Pflichten informiert werden. Dies kann durch Schulungen, Workshops oder E-Learning-Module geschehen. Besonders im Bereich IT-Sicherheit empfiehlt es sich, regelmäßige Awareness-Trainings anzubieten: Mitarbeiter lernen, Phishing-Mails zu erkennen, Sicherheitsvorfälle richtig zu melden und allgemein sicher mit IT-Systemen umzugehen. DORA fordert auch, dass IKT-Dienstleister in gewissem Rahmen an Sensibilisierungsprogrammen teilnehmen. Ein Finanzunternehmen könnte also seine kritischen Lieferanten z.B. einmal im Jahr zu einem gemeinsamen Security-Webinar einladen oder ihnen Infomaterial zur Verfügung stellen, damit auch dort die Awareness steigt.

Die Einbindung des Managements ist ebenfalls wichtig. Führungskräfte sollten verstehen, warum DORA Klauseln eingeführt wurden und welchen Nutzen die Maßnahmen haben. Wenn das Top-Management DORA zur Priorität macht, ist die Wahrscheinlichkeit größer, dass alle Abteilungen mitziehen. Zudem müssen Vorstände und Aufsichtsräte im Zweifel haftungsrechtlich geradestehen, wenn regulatorische Pflichten verletzt werden – auch das erhöht natürlich die Motivation. Durch gezielte Management-Briefings kann man sicherstellen, dass die Leitungsebene ihre Aufgaben (z.B. regelmäßige Beschäftigung mit ICT-Risiken, Freigabe von Ressourcen für Verbesserungen) wahrnimmt.

Ein weiterer Aspekt der Verankerung ist das Monitoring: Hier schließt sich der Kreis zum Berichtswesen. Es sollte laufend überwacht werden, ob die neuen Prozesse funktionieren. Zum Beispiel kann man interne Audits durchführen: Testet mal unangekündigt die Incident Response, ob alle Beteiligten wissen, was zu tun ist. Oder prüft stichprobenartig, ob neue Verträge tatsächlich die erforderlichen DORA-Klauseln beinhalten. Diese Feedback-Schleifen helfen, Schwachstellen in der Umsetzung schnell zu entdecken und nachzusteuern.

Letztlich geht es darum, eine Kultur der digitalen Resilienz im Unternehmen zu etablieren. Jeder soll verstehen, dass IT-Risikomanagement nicht nur Aufgabe der IT-Abteilung ist, sondern ein gemeinsames Thema. Wenn alle sensibilisiert sind – vom Sachbearbeiter, der einen Vorfall meldet, bis zum Partnerunternehmen, das an Sicherheitsübungen teilnimmt – dann sind die DORA Klauseln nicht mehr bloß „Pflicht“, sondern gelebte Praxis. Und genau das ist das Ziel: Risikobewusstsein und vorsorgendes Handeln als fester Bestandteil der Unternehmens-DNA.

Herausforderungen und Lösungsansätze

Die Umsetzung der DORA Klauseln ist kein Selbstläufer – Finanzunternehmen sehen sich mit verschiedenen Herausforderungen konfrontiert. Hier fassen wir typische Hürden zusammen und zeigen Lösungsansätze, wie man ihnen begegnen kann. 

Wichtig ist dabei zu erkennen: DORA-Compliance ist kein einmaliges Projekt, sondern ein kontinuierlicher Verbesserungsprozess.

Herausforderungen:

  • Umfang und Komplexität: DORA bringt über 1000 Einzelanforderungen mit sich, verteilt auf knapp 600 Seiten Regulierungstext und technische Standards. Alleine schon den Überblick zu behalten, welche Vorgabe wo steht, ist anspruchsvoll. Viele Unternehmen empfinden DORA als sehr komplex und detailreich, was am Anfang Überforderung auslösen kann.

  • Zeitdruck: Auch wenn der Stichtag bekannt war, drängt nun die Zeit. Es gibt keine Übergangsfrist nach dem 17. Januar 2025. Viele Institute stehen Ende 2024 unter Druck, noch offene Punkte abzuarbeiten. Gerade größere Unternehmen mit vielen Baustellen (z.B. tausende Verträge) schaffen wohl nicht alles bis zum Tag X. Man muss also priorisieren, was bis zum Stichtag erledigt sein muss.

  • Unklare Details: Einige Punkte waren lange unklar, weil Ausführungsbestimmungen (sog. Regulatory Technical Standards) erst spät finalisiert wurden. So herrschte Unsicherheit bei Definitionen wie „kritische Funktionen“ oder „kritische Drittdienstleister“. Unternehmen wussten teils nicht genau, wen sie alles als kritisch einstufen sollen und worauf genau sich vorbereiten. Diese begrifflichen Unklarheiten erschweren die Planung.

  • Technische Hürden: Nicht jedes Institut hat bereits die nötige technische Infrastruktur. Beispielsweise erfordert DORA ein zentralisiertes Reporting von Incidents – dafür braucht man geeignete Ticketing-Systeme oder Monitoring-Tools. Auch fortgeschrittene Sicherheitsmaßnahmen (Stichwort SIEM-System, Security Information and Event Management) sind bei kleineren Häusern nicht unbedingt vorhanden und müssen erst angeschafft und implementiert werden. Dazu kommen aufwendige Aufgaben wie Penetrationstests oder Notfallübungen, die Expertise erfordern.

  • Organisatorische Änderungen: DORA kann bedeuten, dass interne Strukturen angepasst werden müssen. Ein Beispiel: DORA verlangt eine unabhängige Risiko-Kontrollfunktion – kleinere Institute müssen ggf. erst jemanden benennen oder einstellen, der sich dediziert um ICT-Risiken kümmert. Auch die Zusammenarbeit zwischen Abteilungen (IT, Risiko, Recht, Beschaffung) muss reibungslos funktionieren; Silodenken wird zur Hürde. Solche kulturellen und organisatorischen Veränderungen passieren nicht über Nacht.

  • Ressourcen und Kosten: Mehr Anforderungen bedeuten meist auch mehr Aufwand und Kosten. Neue Sicherheitssysteme, Berater für Pen-Tests, Personal für Vertragsprüfung – all das muss finanziert und personell gestemmt werden. Für kleinere Finanzdienstleister oder Start-ups im Fintech-Bereich kann dies eine finanzielle Belastung darstellen. Sie müssen abwägen, wie sie mit begrenzten Ressourcen die Kernforderungen erfüllen.

  • Drittanbieter-abhängigkeit: Einer der größten praktischen Stolpersteine ist die Abhängigkeit von externen IT-Anbietern. Die schönste Vertragsklausel hilft nichts, wenn der Partner nicht mitzieht. Manche großen IT-Provider (z.B. globale Cloud-Konzerne) zögern vielleicht, umfangreiche Änderungen zu akzeptieren oder reagieren langsam. Außerdem befinden sich auch die Anbieter selbst erst in der Anpassung – es gibt Berichte, dass viele IT-Zulieferer erst spät mit eigenen Dora-Vorbereitungen begonnen haben. Hier entsteht Zeitdruck in den Verhandlungen und ein mögliches Tauziehen um Vertragsbedingungen.

  • Ungewisse Reaktion der Aufsicht: Da DORA neu ist, wissen Unternehmen nicht genau, wie streng die Behörden in der Anfangsphase durchgreifen werden. Es besteht eine gewisse Unsicherheit, ob eventuell mildes Vorgehen erfolgt, weil man weiß, dass „alle hinterherhinken“, oder ob gleich bei ersten Verstößen Exempel statuiert werden. Diese Ungewissheit muss aber ausgehalten werden – sicher ist nur, dass langfristig kein Weg an voller Compliance vorbeiführt.

Lösungsansätze:

  • Priorisieren und phasenweise umsetzen: Angesichts der Fülle an Aufgaben ist es ratsam, einen risikobasierten Ansatz zu verfolgen. Konzentrieren Sie sich auf die wesentlichen Punkte zuerst: Welche Lücken würden bei einer Prüfung sofort negativ auffallen? Welche Risiken sind am gefährlichsten fürs Unternehmen? Beispielsweise sollten kritische Vertragsklauseln und Incident-Meldewege nicht warten, während vielleicht weniger dringliche Dokumentationen auch kurz nach dem Stichtag noch finalisiert werden können. Viele Unternehmen planen eine “verhältnismäßige Day-One-Compliance” – das Wichtigste ist am Stichtag erfüllt, weniger kritische Details folgen in den Monaten danach schrittweise. Dies birgt zwar ein gewisses Restrisiko, ist aber oft pragmatisch notwendig.

  • Externe Unterstützung nutzen: Kein Unternehmen muss DORA komplett allein bewältigen. Es gibt mittlerweile zahlreiche Berater, Anwaltskanzleien und Dienstleister, die auf DORA-Compliance spezialisiert sind. Sie können helfen, effizienter vorzugehen – sei es durch Standard-Dokumente, erprobte Vorgehensmodelle oder personelle Unterstützung. Natürlich kostet dies Geld, aber gerade bei knappen internen Ressourcen kann externes Know-how den Unterschied machen. Auch Lösungen wie Software-Tools (z.B. für Vertragsanalyse oder Risiko-Monitoring) können Investitionen sein, die sich schnell auszahlen, indem sie manuelle Arbeit abnehmen.

  • Branchen-Kooperation: Der Austausch mit anderen Finanzdienstleistern kann wertvolle Einblicke liefern. In der Praxis haben sich Arbeitskreise und Foren gebildet, wo Banken und Versicherer ihre Erfahrungen teilen – etwa welche Klauseln schwierig zu verhandeln waren oder wie man die Identifizierung kritischer Funktionen angegangen ist. Auch Verbände stellen oft Informationsmaterial bereit. Durch solche Kooperationen muss nicht jeder das Rad neu erfinden, und man kann evtl. auch mit gebündelter Stimme gegenüber großen IT-Anbietern auftreten („Wir als Branche erwarten diese Anpassungen...“).

  • Kommunikation mit Dienstleistern: Gehen Sie proaktiv auf Ihre wichtigsten IT-Provider zu. Viele große Banken haben ihren Lieferanten frühzeitig Fragebögen zur DORA-Readiness geschickt, um herauszufinden, wo der Anbieter steht und ob es Probleme geben könnte. Eine offene Kommunikation („DORA kommt, wir müssen unsere Zusammenarbeit entsprechend aufstellen“) hilft, Missverständnisse zu vermeiden. In Verhandlungen empfiehlt es sich, als Finanzunternehmen eigene Vertragsnachträge zuerst auf den Tisch zu legen – so prägt man die Diskussionsgrundlage. Idealerweise erreicht man eine Win-Win-Situation: Der Dienstleister versteht, dass auch er von klaren Prozessen profitiert, und das Finanzinstitut erfüllt seine Vorgaben.

  • Schulung und Kulturwandel: Investieren Sie in die Awareness aller Beteiligten (nicht nur intern, sondern auch extern). Je mehr alle verstehen, warum DORA wichtig ist – nämlich um das eigene Unternehmen zu schützen – desto leichter wird die Umsetzung. Erfolgversprechend ist es, DORA nicht nur als Pflicht darzustellen, sondern als Chance zur Verbesserung. Schließlich bedeuten viele Maßnahmen (bessere Backups, mehr Transparenz, etc.) auch ein geringeres Ausfallrisiko. Ein Kulturwandel hin zu proaktivem Risiko-Management wird gefördert, wenn Mitarbeiter die Erfolge sehen: z.B. eine erfolgreich gemeisterte Notfallübung gibt Vertrauen in die eigenen Fähigkeiten.

  • Flexibilität und kontinuierliche Anpassung: DORA-Compliance ist kein Zustand, den man einmal erreicht und dann abhaken kann. Die Bedrohungslage im Cyberraum ändert sich ständig, ebenso können Regulatoren in Zukunft weitere Anpassungen vornehmen. Daher sollte ein Finanzunternehmen einen Prozess etablieren, um Lessons Learned auszuwerten und kontinuierlich besser zu werden. Wenn z.B. ein echter IT-Zwischenfall passiert: Hat der Meldeprozess funktioniert? Was könnte verbessert werden? Oder wenn es neue Technologien gibt (etwa im Bereich Cloud oder KI), sollte man früh prüfen, ob dafür neue Risikokontrollen nötig sind. Agilität und Lernbereitschaft sind hier Schlüssel.

  • Positive Einstellung fördern: Last but not least – auch wenn die Anforderungen umfangreich sind, helfen sie dem Unternehmen letztlich selbst. Experten betonen, dass die mit DORA verbundenen Maßnahmen im eigenen Interesse der Firmen liegen, da sie das Risiko von Cybervorfällen reduzieren. Dieser positive Aspekt sollte in den Vordergrund gerückt werden, um Motivation statt Frust zu erzeugen.

Kurz gesagt: Die Umsetzung der DORA Klauseln mag schwierig sein, aber sie ist machbar. Mit kluger Priorisierung, Zusammenarbeit und dem richtigen Mindset wird aus der Herausforderung eine strategische Initiative, die das Unternehmen resilienter und zukunftsfähiger macht.

Praxisbeispiele und Fallstudien

Schauen wir zum Abschluss auf ein paar Praxisbeispiele, um die Umsetzung der DORA Klauseln greifbarer zu machen. Zwar steht die finale Deadline erst an, aber viele Organisationen haben bereits wertvolle Erfahrungen gesammelt.

Beispiel 1: Großbank mit komplexer Lieferkette – Eine internationale Großbank stellte bei der Bestandsaufnahme fest, dass sie über 1.500 aktive IT-Dienstleister-Verträge hatte, davon mehrere Dutzend als kritisch eingestuft. Um diese Herkulesaufgabe zu bewältigen, bildete die Bank ein DORA-Projektteam aus Juristen, IT-Sicherheitsexperten und Einkäufern. Zunächst priorisierte das Team die Top 100 Dienstleister nach Risikograd. Für diese Lieferanten wurden innerhalb weniger Monate Vertragsnachträge mit den wichtigsten DORA-Klauseln (z.B. Auditrecht, Notfallpläne, Ausstiegsoptionen) entworfen und in Verhandlung gegeben. Bei den restlichen Verträgen entschied man sich, zunächst Rahmenklauseln in neue Verträge einzubauen und bei Verlängerung die Updates vorzunehmen. Parallel führte die Bank ein neues Vertragsmanagement-System ein, das per Stichwortsuche fehlende Klauseln erkennen kann – so behielt man den Überblick, welche Verträge noch zu bearbeiten sind. Durch diesen fokussierten Ansatz schaffte es die Bank, bis Ende 2024 alle wichtigsten Verträge anzupassen und konnte gegenüber der Aufsicht glaubhaft darlegen, dass für die übrigen ein Fahrplan existiert. Eine wichtige Lesson Learned aus diesem Projekt war: Frühzeitig mit Dienstleistern reden. Einige große IT-Provider präsentierten der Bank nämlich eigene „DORA-konforme“ Vertragsanhänge – in manchen Fällen waren diese akzeptabel, in anderen musste die Bank nachbessern. Der frühzeitige Austausch verhinderte, dass es kurz vor der Deadline zu Überraschungen kam.

Beispiel 2: Mittelständischer Zahlungsdienstleister – Ein kleinerer Zahlungsdienstleister sah sich der Herausforderung gegenüber, mit begrenztem Personal DORA umzusetzen. Das Unternehmen hatte keine dedizierte Risikoabteilung; IT und Compliance waren klein besetzt. Man entschied sich, externe Hilfe zu holen: Eine Beratung führte einen Workshop durch, um die wichtigsten Gaps zu identifizieren, und lieferte Templates für Policies und Vertragsklauseln. Mit diesem Baukasten konnte der Zahlungsdienstleister in Eigenregie seine Unterlagen überarbeiten. Parallel wurde ein Mitarbeiter zum „DORA-Beauftragten“ ernannt, der sich in das Thema einarbeitete und als interner Ansprechpartner fungierte. Im Sommer 2024 organisierte das Unternehmen eine Notfallübung: Simuliert wurde ein Totalausfall des Hauptrechenzentrums. Dabei spielten alle Mitarbeiter ihren Teil des Incident Response Plans durch – vom Kundensupport, der vorbereitete Infos an Kunden schicken sollte, bis zum Management, das Entscheidungen traf. Das Ergebnis war aufschlussreich: Einige Abläufe klappten gut, andere hakte es (z.B. war unklar, wer die Kommunikation mit einem betroffenen Dienstleister übernimmt). Diese Erkenntnisse nutzte man, um den Notfallplan zu verbessern. Die Übung schärfte auch das Bewusstsein im Team dafür, warum die DORA-Maßnahmen wichtig sind. Ein Mitarbeiter bemerkte: „Früher dachte ich, so ein Ausfall passiert uns nicht – nach der Übung sehe ich, dass wir ohne Plan ziemlich alt ausgesehen hätten.“ Dieses Praxisbeispiel zeigt, wie auch ein kleineres Unternehmen mit Kreativität (und etwas externer Starthilfe) die DORA-Resilienz aufbauen kann.

Ausblick: Zukünftige Entwicklungen und Trends

Mit dem Start von DORA im Jahr 2025 beginnt eine neue Ära der digitalen Resilienz im Finanzsektor. Doch wie geht es weiter? Ein Ausblick zeigt, dass DORA kein statisches Regelwerk bleiben wird, sondern sich im Zuge neuer Technologien und Erkenntnisse weiterentwickeln könnte.

Kurzfristig stehen zunächst die Feinjustierungen und Ergänzungen im Vordergrund. Einige technische Regulierungsstandards (RTS/ITS) zu DORA waren bis Ende 2024 noch nicht final verabschiedet (DORA-Anforderungen für IKT-Dienstleistungsverträge - BDO). Diese werden voraussichtlich 2025 konkretisiert, was den Instituten weitere Details an die Hand gibt – aber ggf. auch neue Anforderungen (z.B. genaue Formate für Berichte oder Kriterien für die Einstufung von „kritischen“ Dienstleistern). Unternehmen müssen also auch nach dem Stichtag die Regulatory Updates verfolgen und einarbeiten. Es ist denkbar, dass die Aufsicht basierend auf frühen Erfahrungen Leitlinien oder FAQs herausgibt, um Auslegungsschwierigkeiten (etwa Definition kritischer Funktionen) aufzulösen.

Mittelfristig könnte DORA durch die dynamische Bedrohungslage angepasst werden. Cyberkriminelle entwickeln ständig neue Angriffsmethoden, und auch die IT-Landschaft wandelt sich rasant. Denken wir an Themen wie Künstliche Intelligenz, Cloud-Konfigurationen, Internet of Things in Banken oder sogar Quantencomputer – all das kann in den nächsten Jahren die Anforderungen an Resilienz verändern. DORA bietet einen Rahmen, der viele Grundlagen abdeckt, aber es könnte nötig werden, neue Klauseln oder Schwerpunkte zu setzen, sobald neue Risiken identifiziert werden. Beispielsweise könnte in Zukunft stärker geregelt werden, wie AI-Systeme in Banken robust und sicher betrieben werden (ein Thema, das teilweise der AI Act adressiert, aber auch für Betriebsrisiken relevant ist).

Ein weiterer Trend ist die Internationalisierung. DORA gilt direkt in der EU – aber Finanzwesen ist global. Andere Jurisdiktionen schauen genau hin. In Großbritannien etwa gibt es bereits Operational Resilience-Regeln, die aber nicht so umfassend wie DORA sind. Es ist gut möglich, dass andere Länder nachziehen und ähnliche Vorschriften einführen, um im Gleichschritt zu bleiben. Für global agierende Finanzkonzerne heißt das: Sie müssen verschiedene Regime parallel beachten. In der Zukunft könnte man sich eine Annäherung oder gegenseitige Anerkennung dieser Regeln wünschen.

Die EU hat mit DORA einen gewissen Standard gesetzt, an dem sich andere orientieren könnten. Vielleicht wird es auch Abkommen geben, um Überschneidungen zu managen – damit z.B. ein US-Cloudanbieter nicht völlig unterschiedliche Verträge für EU und US aufsetzen muss, sondern gewisse Standards global gelten. Für die Unternehmen wird es jedenfalls wichtig sein, Flexibilität zu bewahren, um auf regulatorische Änderungen international reagieren zu können.

Technologisch zeichnet sich ab, dass Resilienz selbst digitaler wird. Viele Firmen werden vermehrt auf Automation und intelligente Tools setzen, um DORA-Vorgaben zu erfüllen. Man denke an KI-gestützte Überwachungssysteme, die Anomalien erkennen und sofort Alarm schlagen, oder an digitale Assistenten, die helfen, Compliance-Reports zu erstellen. Auch Cyber Threat Intelligence Netzwerke könnten ausgebaut werden – hier greift der Informationsaustausch-Teil von DORA. Man wird sehen, ob Finanzinstitute in Zukunft mehr Bedrohungsinformationen teilen, um kollektiv sicherer zu werden. Sollte das gut funktionieren, könnte es zum Standard werden, dass Banken z.B. in Echtzeit Warnungen austauschen, wenn eine neue Malware aufkommt – eine Entwicklung, die DORA zumindest erleichtert (da es solche Kooperationen zulässt und fördert).

Aus strategischer Sicht sollten Finanzunternehmen DORA als Teil einer größeren digitalen Transformationsstrategie begreifen. Digitale Innovation und Resilienz dürfen kein Widerspruch sein – im Gegenteil, sie müssen Hand in Hand gehen. Neue digitale Produkte oder Services sollten von Anfang an „resilience by design“ beinhalten. Ein Ausblick in diese Richtung ist, dass Unternehmen ihre IT-Architektur überdenken: Weg von hochkomplexen monolithischen Systemen, hin zu modularen, robusten Strukturen mit Redundanzen. Cloud-Technologien z.B. bieten Chancen für Resilienz (Georedundanz, elastische Skalierung), aber nur wenn man sie richtig einsetzt und die Risiken managt. Hier wird es in Zukunft Innovationen geben, wie man Geschäftsprozesse ausfallsicher gestaltet, ohne an Agilität zu verlieren. DORA wirkt dabei als Katalysator: Indem es Resilienz zur Pflicht macht, stößt es Innovationen an, die vielleicht längst überfällig waren.

Insgesamt zeichnet sich ab: DORA ist der Anfang, nicht das Ende einer Entwicklung. Die kommenden Jahre werden zeigen, wie gut die Finanzbranche die neuen Regeln umsetzt und wo nachgebessert werden muss. Sicher ist, dass digitale Resilienz ein Dauerbrenner-Thema bleibt – Geschäftsmodelle sind zunehmend digital, also muss auch die Widerstandsfähigkeit ständig mitwachsen. Wer frühzeitig in robuste Systeme und Prozesse investiert, wird langfristig wettbewerbsfähiger und vertrauenswürdiger am Markt sein. DORA gibt hierfür den Rahmen vor; die Unternehmen selbst füllen ihn mit Leben. Der Trend geht klar in Richtung „no resilience, no business“ – ein Finanzdienstleister, der auf Dauer unzureichende IT-Sicherheit hat, wird im Markt und bei den Kunden kaum bestehen können.

Fazit

Die DORA Klauseln läuten eine neue Ära der IT- und Betriebsstabilität im Finanzsektor ein. Als EU-weit geltende Verordnung setzt DORA einheitliche Maßstäbe für die digitale Resilienz von Banken, Versicherern und anderen Finanzdienstleistern. Der umfassende Blick auf Risikomanagement, Sicherheit, Drittanbieter-Verträge und Meldepflichten sorgt dafür, dass keine Lücke im Schutzschild bleibt. Für die Unternehmen bedeutet dies zwar erheblichen Aufwand in der Umsetzung, doch die wichtigste Erkenntnis ist: Diese Investition lohnt sich. Eine robuste digitale Infrastruktur und klar geregelte Prozesse schützen nicht nur vor regulatorischem Ärger, sondern vor allem vor realen Gefahren wie Cyberattacken und IT-Pannen.

In der Praxis haben wir gesehen, dass die Branche bereits aktiv an der Umsetzung der DORA Klauseln arbeitet. Von der Lückenanalyse über Vertragsnachträge bis zu Notfallübungen – überall werden Schritte unternommen, um den neuen Anforderungen gerecht zu werden. Die wichtigsten Erfolgsfaktoren dabei sind Frühzeitigkeit, Priorisierung und Mitarbeiterengagement. Unternehmen, die DORA als Chance begreifen, ihre eigenen Abläufe zu verbessern, sind klar im Vorteil. Letztlich sind die DORA Klauseln nicht bloß ein Compliance-Check, sondern ein Risikomanagement-Tool, das die Widerstandskraft stärkt.

Zusammenfassend lässt sich sagen: DORA macht den Finanzsektor sicherer und stabiler. Compliance und Risikomanagement werden dadurch zu zentralen Bausteinen des Unternehmenserfolgs. Jedes Finanzunternehmen tut gut daran, sich jetzt – falls noch nicht geschehen – final auf die DORA-Pflichten einzustellen und eine resiliente digitale Strategie umzusetzen. Die digitale Zukunft der Finanzbranche wird zweifellos von denjenigen mitgestaltet, die Sicherheit und Innovation in Einklang bringen. In diesem Sinne: Packen Sie es an – stärken Sie Ihr Unternehmen mit den DORA Klauseln für die Herausforderungen von morgen!

Ausgewählte Artikel

Auf DORA-Kurs: Wie Sie Ihre Verträge rechtzeitig anpassen

Mit DORA kommen konkrete regulatorische Anforderungen auf Unternehmen zu, die viele bestehende Verträge nicht vollständig erfüllen. Insbesondere Auslagerungsverträge – etwa mit Cloud-Providern, Hosting-Firmen oder Software-Dienstleistern – müssen nun bestimmte Klauseln enthalten.

Tony Dang

|

Mar 31

·

6
MIN READ
LESEN >

Die wichtigsten DORA Klauseln erklärt: Anforderungen und Umsetzung

DORA ist eine EU-Verordnung aus dem Jahr 2022, die die digitale operationelle Resilienz im Finanzsektor stärken soll. Sie wurde im Dezember 2022 beschlossen und ist am 16. Januar 2023 in Kraft getreten

Tony Dang

|

Mar 30

·

10
MIN READ
LESEN >

Mehr zum Thema effizientere Vertragsprozesse

Rahmenvertrag: Definition, Vorteile und Einsatz im Unternehmen

Ein Rahmenvertrag ist ein langfristiger Vertrag zwischen zwei oder mehr Parteien, der die grundlegenden Bedingungen für eine Reihe zukünftiger Einzelverträge festlegt​. Er steht meist am Beginn einer auf Dauer angelegten Geschäftsverbindung und enthält die Konditionen für erst zukünftig abzuschließende Verträge​. Anstatt jeden Auftrag in einem eige

Tony Dang

|

Mar 17

·

7
MIN READ
LESEN >

‍Digitale Word-Signatur: Wie man eine elektronische Signatur in Microsoft Word einfügt

Unterschreiben Sie Dokumente in Microsoft Word ganz einfach mit digitalen Signaturen. Sicher, legal und effizient - lernen Sie noch heute, wie Sie Ihre Unterschrift hinzufügen können!

Andrea Carvajal

|

Mar 20

·

3
MIN READ
LESEN >

Vollmacht für Unternehmen: Was sie ist und wie man sie einrichtet

Entdecken Sie, wie eine Vollmacht Ihrem Unternehmen helfen kann, Befugnisse zu delegieren, Abläufe zu rationalisieren und rechtliche Risiken zu vermeiden.

Andrea Carvajal

|

Mar 18

·

3
MIN READ
LESEN >

Bereit anzufangen?

Finden Sie heraus, wie top.legal die Effizienz Ihres Unternehmens steigert.

Demo vereinbarenKostenlos testen
Illustrated pencil strokesillustrated pattern of dots.