Was ist der Digital Operational Resilience Act (DORA)?

Seit dem Inkrafttreten im Januar 2025 verpflichtet DORA Banken dazu, eine Reihe neuer regulatorischer Anforderungen zu erfüllen, was zu erheblichen Herausforderungen geführt hat. Tatsächlich gaben 43 % der Organisationen zu, dass sie bis zur Frist nicht vollständig konform sein würden.

Banken, die die Anforderungen von DORA nicht erfüllen, drohen hohe Geldstrafen. Daher ist es entscheidend, die Regelung zu verstehen und zu wissen, wie sie die eigenen Geschäftsprozesse beeinflussen kann.

In diesem Artikel erklären wir, was DORA ist, warum es existiert und welche Auswirkungen es auf Ihre Bank hat.

Der Digital Operational Resilience Act (DORA) ist eine EU-Verordnung, die die digitale Resilienz des europäischen Finanzsektors stärken soll. Sie trat am 17. Januar 2025 in Kraft.

Ziel ist es, sicherzustellen, dass Banken und andere Finanzinstitute digitale Störungen bewältigen, darauf reagieren und sich davon erholen können – etwa Cyberangriffe, Systemausfälle oder Probleme bei Drittanbietern von Technologien.

DORA ist Teil eines größeren Pakets von EU-Regulierungen im Finanzbereich, darunter PSD3 (Sicherheit im Zahlungsverkehr), FIDA (Open Finance) und SEPA Instant Credit Transfer (pan-europäische Sofortzahlungen).

Die Verordnung basiert auf fünf zentralen Säulen des „Technologierisikos“:

• ICT-Risikomanagement und Governance - Aufbau eines umfassenden ICT-Rahmenwerks mit klarer Managementverantwortung
• Vorfallberichterstattung - Wesentliche ICT-Vorfälle müssen innerhalb bestimmter Fristen gemeldet werden
• Tests der digitalen Resilienz - Regelmäßige Tests, einschließlich Penetrationstests, sind vorgeschrieben
• Drittparteien-Risikomanagement - Alle ICT-Dienstleistungsverträge müssen laufend bewertet und überwacht werden
• Informationsaustausch - Erkenntnisse zu Cyberbedrohungen sollen mit anderen Finanzinstituten und Behörden geteilt werden
   

DORA verlangt, dass bestimmte Klauseln in Verträge mit Technologieanbietern aufgenommen werden:

• Leistungsanforderungen: Vollständige SLAs, klare Angaben zu Standort der Funktionen und Datenverarbeitung, sowie international anerkannte Sicherheitszertifikate
• Sicherheits- und Prüfungsanforderungen: Notfallpläne, Auditzyklen und Zugangsrechte für Aufsichtsbehörden
• Datenschutz: Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit der Daten inkl. Zugriff im Insolvenzfall des Anbieters
• Kooperationspflichten: Unterstützung bei ICT-Vorfällen, Sicherheitsprogramme, Zusammenarbeit bei Untersuchungen
• Ausstiegsklauseln: Kündigungsrechte bei Gesetzesverstößen, Leistungsverschlechterung oder erhöhtem Risiko durch den Anbieter

Vor DORA mussten Banken in verschiedenen Ländern unterschiedliche Cybersecurity-Vorgaben einhalten – das war teuer, kompliziert und führte zu Sicherheitslücken.

Banken in streng regulierten Ländern mussten mehr investieren als solche in locker regulierten – ein Wettbewerbsnachteil. Mit dem Anstieg des digitalen Bankings wurden Banken zu attraktiven Zielen für Cyberangriffe – ohne einheitliche Standards war Europa anfällig.

Ein weiteres Problem war die starke Abhängigkeit von Drittanbietern wie Cloud-Anbietern oder Zahlungsdienstleistern. Der Crowdstrike-Ausfall im Juli 2024 zeigte, wie anfällig das globale Finanzsystem bei Problemen eines einzelnen Technologieanbieters ist.

Außerdem erschwerte fehlende Standardisierung die Vorfallberichterstattung und hinderte Aufsichtsbehörden an koordiniertem Handeln. DORA begegnet all diesen Problemen mit einem einheitlichen, EU-weiten Regelwerk.

Die Erfüllung der DORA-Anforderungen erfordert erhebliche Investitionen sowohl in Technologie als auch in Fachwissen. Und die Nichteinhaltung dieser Anforderungen kann teuer werden. Banken, die die DORA-Anforderungen nicht erfüllen, können mit Geldstrafen von bis zu 2 % ihres gesamten weltweiten Jahresumsatzes belegt werden. Für eine mittelgroße Bank mit einem Jahresumsatz von 5 Milliarden Euro könnte dies eine Strafe von 100 Millionen Euro bedeuten. Auch Führungskräfte sind nicht ausgenommen und müssen mit persönlichen Geldstrafen von bis zu 1 Million Euro rechnen.

Die Einhaltung der DORA-Vorgaben zum Drittparteien-Risikomanagement gilt weithin als die größte Herausforderung für europäische Banken. Fast die Hälfte der Finanzinstitute hat damit zu kämpfen, weil sie Dutzende oder sogar Hunderte bestehender Verträge mit Technologieanbietern überprüfen müssen, um sicherzustellen, dass sie die von DORA geforderten Klauseln enthalten – etwa zur Servicekontinuität, zur Vorfallberichterstattung und zu Auditrechten. Viele dieser Verträge wurden vor dem Inkrafttreten von DORA abgeschlossen und enthalten keinerlei entsprechende Regelungen. Darüber hinaus fällt es den Banken schwer, klare Strategien für das ICT-Risikomanagement bei Drittanbietern zu entwickeln; viele empfinden ihre aktuelle Vorgehensweise als vage oder nicht ausreichend dokumentiert.

Banken haben häufig Schwierigkeiten, sich einen vollständigen Überblick über ihre kritischen Dienstleistungen zu verschaffen undder Umgang mit solchen Themen je nach Region variiert.. Das macht es schwer, DORAs einheitliche regulatorische Anforderungen für das ICT-Risikomanagement zu erfüllen. ICT-bezogene Risiken wie Abhängigkeiten von Drittanbietern und Informationssicherheit werden oft von verschiedenen Teams verwaltet, die nicht effektiv miteinander kommunizieren. Dadurch entsteht ein fragmentierter Ansatz, der eine umfassende Aufsicht erschwert. Und wenn das obere Management oder der Vorstand sich nicht ausreichend mit diesen technischen Themen befasst, wird es umso schwieriger, die nötigen Ressourcen und die Unterstützung für die Einhaltung der Vorschriften zu erhalten.

Bankmitarbeitende sind sich oft nicht sicher, wer für die Einrichtung von Vereinbarungen zum Informationsaustausch zwischen verschiedenen Einheiten verantwortlich ist, was die Teilnahme am von DORA geförderten Austausch von Informationen über Cyberbedrohungen verzögern oder verhindern kann. Hinzu kommen Compliance-Risiken beim grenzüberschreitenden Informationsaustausch, da verschiedene Länder unterschiedliche Vorschriften haben und viele Banken nicht über die richtigen Tools verfügen, um Informationen effektiv zu teilen – was die kollektiven Vorteile schmälert.

Auch die laufenden Sorgfaltspflichten haben sich als Herausforderung erwiesen. DORA verlangt eine kontinuierliche Überwachung aller Technologieanbieter, nicht nur bei der ersten Zusammenarbeit. Das bedeutet, dass die finanzielle Stabilität, Sicherheitspraktiken und betriebliche Resilienz der Anbieter laufend beobachtet werden müssen. Banken müssen dafür in neue Überwachungssysteme investieren und Personal abstellen, das fortlaufend Hunderte von Anbietern bewertet.

Die Kosten für die Einhaltung der Vorschriften können sehr hoch sein. Branchenschätzungen zufolge könnten Banken jährlich bis zu 10.000 US-Dollar pro Mitarbeiter:in ausgeben, um DORA-konform zu sein. Für eine Bank mit 5.000 Beschäftigten entspricht das etwa 50 Millionen Dollar pro Jahr. Diese Kosten können alles umfassen – von der Einstellung von Cybersicherheitsexperten über die Aufrüstung von Überwachungssystemen bis hin zu regelmäßigen Penetrationstests und der Einführung neuer Reporting-Tools.

Aber es gibt einen Lichtblick für Banken, die sich diesen Herausforderungen stellen. Banken, die DORA strategisch angehen, werden feststellen, dass sie dadurch ein robusteres Geschäftsmodell aufbauen können. Eine verbesserte Cybersicherheit und betriebliche Resilienz stärken das Vertrauen der Kund:innen  und verringern betriebliche Risiken. Möglicherweise können sie sogar ihre Versicherungsprämien senken.

DORA ist mehr als nur eine weitere Compliance-Pflicht. Wer es als Chance zur Modernisierung seines Risikomanagements begreift, wird langfristig erfolgreicher sein.

Banken, die in belastbare ICT-Strukturen und enge Partnerschaften mit Lieferanten investieren, sichern sich Vorteile in einer zunehmend digitalen Finanzwelt.

Möchten Sie erfahren, wie G+D Netcetera Ihre Bank bei der DORA-Konformität unterstützen kann Kontaktieren Sie unsere Expert:innen.