Zum Hauptinhalt springen

DORA Compliance 2026: Die neue Ära des IKT-Risikomanagements

Die digitale Widerstandsfähigkeit des Finanzsektors ist nicht mehr nur ein IT-Thema – sie ist zur zentralen Compliance-Aufgabe geworden. Mit dem Digital Operational Resilience Act (DORA), der 2025 in Kraft getreten ist und 2026 seine volle Durchschlagskraft entfaltet, verschiebt sich der Fokus der Aufsicht radikal: Weg von der reinen IT-Sicherheit, hin zum Management systemischer Abhängigkeiten von kritischen IKT-Drittanbietern (CTPPs).

Für Compliance Officer und Auslagerungsbeauftragte bedeutet dies: Die Überwachung externer Dienstleister wird komplexer, strenger und sanktionsbewehrter.

DORA Compliance 2026: Die neue Ära des IKT-Risikomanagements

Vom klassischen Outsourcing zu DORA – Der Direktvergleich

Kriterium Bisher (MaRisk / BAIT) Neu mit DORA
Fokus der Analyse Schutz vertraulicher Daten (DSGVO, Bankgeheimnis). Verfügbarkeit & Integrität der Systeme (digitale Resilienz).
Betrachtungsebene Bilaterale Beziehung (Institut ↔ Dienstleister). Komplette Lieferkette inkl. Sub-Dienstleister.
Vertragsregister Internes Auslagerungsregister. EU-weites Informationsregister mit Standard-Templates.
Prüfung & Tests Jährliche Risikoanalyse & Audit-Berichte. Verpflichtende TLPT (Threat-Led Penetration Testing) für kritische Systeme.
Meldewesen Meldung nur bei gravierenden Ausfällen. Harmonisiertes EU-Meldewesen für IKT-Vorfälle mit festen Fristen.
Exit-Strategie Vertraglich geregelt, oft theoretisch. Muss getestet & praktisch durchführbar sein (Real-Check).

Warum DORA das Drittparteien-Management revolutioniert

Bisher lag der Fokus der MaRisk und EBA-Guidelines auf dem einzelnen Institut. DORA hebt den Blick auf die Lieferkette. Da Banken, Versicherer und Zahlungsdienstleister zunehmend kritische Funktionen an wenige große Tech-Giganten (Hyperscaler, Cloud-Provider) auslagern, entstehen Klumpenrisiken, die das gesamte Finanzsystem gefährden könnten.

Die Reaktion der EU ist ein Novum: Erstmals werden Technologieanbieter direkt beaufsichtigt. Doch Vorsicht: Dies entlastet Sie nicht. Im Gegenteil – Ihre Pflicht zur Steuerung und Überwachung (Vendor Risk Management) steigt.

Die „Schwarze Liste“: 19 kritische IKT-Drittanbieter im Fokus

Am 18. November 2025 haben die europäischen Aufsichtsbehörden (ESAs) erstmals 19 Unternehmen als kritische IKT-Drittdienstleister (CTPPs) eingestuft. Diese Liste ist für Ihr Risikomanagement essenziell. Prüfen Sie sofort, ob einer dieser Anbieter in Ihrem Auslagerungsregister steht.

Cluster 1: Cloud & Hyperscaler (Die Basis-Infrastruktur)

Hier liegen die größten Konzentrationsrisiken. Wenn einer dieser Anbieter ausfällt, steht bei vielen Banken der Betrieb still.

  • Amazon Web Services (AWS) EMEA

  • Google Cloud EMEA

  • Microsoft Ireland Operations (Azure/365)

  • Oracle Nederland

  • IBM Corporation

Cluster 2: Kritische Software & Datenanbieter

Ohne diese Spezialisten funktionieren weder Handel noch Reporting.

  • SAP SE (Kernbankensysteme, ERP)

  • Bloomberg L.P. (Marktdaten)

  • LSEG Data and Risk (Refinitiv)

  • Fidelity National Information Services (FIS)

Cluster 3: IT-Services & Infrastruktur

Die Betreiber der physischen und logistischen Netze.

  • Deutsche Telekom AG

  • Equinix (Rechenzentren)

  • Accenture / Capgemini / Tata (Consulting & Operations)

Ihre Checkliste: 5 DORA-Pflichten für das Jahr 2026

Compliance 2026 bedeutet, DORA nicht nur auf dem Papier, sondern in den Prozessen zu leben.

1. Registerpflege & Mapping

Haben Sie eine vollständige Übersicht? DORA fordert ein detailliertes Informationsregister aller IKT-Verträge.

  • To-Do: Identifizieren Sie alle Dienstleister, die „kritische oder wichtige Funktionen“ unterstützen.

  • Neu: Mappen Sie auch die Sub-Dienstleister (4th Party Risk), um die gesamte Kette zu verstehen.

2. Verschärfte Risikoanalyse (Pre-Outsourcing)

Bevor ein neuer Vertrag unterschrieben wird, muss eine tiefgehende Due Diligence erfolgen.

  • Fokus: Nicht nur Datenschutz, sondern Substituierbarkeit. Wie schnell können Sie den Anbieter wechseln, wenn er ausfällt?

  • Konzentration: Nutzen Sie bereits zu viele Dienste desselben Anbieters (Vendor Lock-in)?

3. Exit-Strategien, die funktionieren

Papier ist geduldig, DORA nicht. Sie müssen nachweisen, dass Ihre Exit-Pläne realistisch und getestet sind.

  • Szenario: Was passiert, wenn Microsoft oder AWS für 48 Stunden offline sind?

  • Test: Führen Sie regelmäßige „Tabletop Exercises“ (Planspiele) durch.

4. Incident Reporting (Meldewesen)

DORA harmonisiert die Meldepflichten für IKT-Vorfälle.

  • Prozess: Klassifizierung schwerwiegender Vorfälle nach EU-Kriterien.

  • Speed: Meldung an die Behörden innerhalb strikter Fristen. Ihre Compliance-Abteilung muss hier eng mit der IT-Security verzahnt sein.

5. Threat-Led Penetration Testing (TLPT)

Für bedeutende Finanzunternehmen werden alle 3 Jahre groß angelegte Hacking-Simulationen (Red Teaming) zur Pflicht.

  • Herausforderung: Diese Tests müssen Live-Systeme umfassen – oft auch die der Drittanbieter. Das erfordert vertragliche Regelungen, die dies zulassen.

Die neue Macht der Aufsicht (Oversight Framework)

Mit DORA erhält die EU Zähne. Die ESAs können direkt bei den kritischen Dienstleistern prüfen und Strafgelder verhängen (bis zu 1 % des weltweiten Tagesumsatzes).

Was bedeutet das für Ihr Institut? Sie profitieren indirekt von den Prüfungsergebnissen der Aufsicht, müssen diese aber aktiv in Ihr eigenes Risikomanagement einfließen lassen. Ignorieren Sie Warnungen der ESAs zu einem Ihrer Dienstleister, handeln Sie grob fahrlässig.

Mit S+P DORA Compliance sicherstellen

Die Umsetzung von DORA bindet enorme Ressourcen. Nutzen Sie unsere Expertise, um Ihre digitale Resilienz effizient zu managen.

  • Outsourcing ISB: Wir stellen den Informationssicherheitsbeauftragten.

  • Auslagerungsmanagement: Wir prüfen Ihre IKT-Dienstleister und pflegen das Register.

  • Gap-Analyse: Wir checken Ihren Status Quo gegen die DORA-Vorgaben.

Zu unseren Outsourcing-Services

FAQ: DORA in der Praxis

  • Gilt DORA auch für kleine Finanzunternehmen?

    Ja, DORA gilt für alle regulierten Finanzunternehmen – vom großen CRR-Institut bis zum kleinen Wertpapierinstitut. Allerdings greift das Proportionalitätsprinzip.

    Kleinere Institute haben:

    • Erleichterungen bei komplexen Resilienztests (z. B. TLPT),
    • reduzierte Anforderungen an Governance-Strukturen.

    Die Kernanforderungen des IKT-Risikomanagements müssen jedoch vollständig erfüllt werden.

  • Muss ich meine Verträge anpassen?

    In den meisten Fällen: Ja. DORA schreibt zwingende Vertragsbestandteile vor, unter anderem:

    • Zugangs- und Prüfungsrechte (für Aufsicht, interne Revision, Prüfer),
    • Service Levels und klare Leistungsbeschreibungen,
    • Kündigungsrechte und Exit-Regelungen,
    • Pflichten des Dienstleisters bei IKT-Vorfällen (Incident Support).

    Bisherige Verträge sollten daher vollständig auf DORA-Konformität geprüft werden.

  • Was ist der Unterschied zur MaRisk / BAIT?

    Die BAIT waren bisher die deutsche Vorgabe zur IT-Aufsicht. DORA hingegen ist eine europäische Verordnung und gilt unmittelbar in allen EU-Mitgliedstaaten.

    DORA ist wesentlich detaillierter, insbesondere:

    • beim Management von IKT-Drittdienstleistern und Sub-Dienstleistern,
    • bei der Risikoklassifikation und Dokumentation,
    • bei den Meldepflichten für IKT-Vorfälle,
    • bei Resilienztests inkl. TLPT (Threat-Led Penetration Testing).

    Nationale Regeln wie BAIT/MaRisk werden dadurch teilweise überlagert („Lex specialis“).

  • Wie hilft mir S+P bei DORA?

    Mit dem S+P Compliance Package unterstützen wir Sie vollumfänglich bei der Umsetzung der DORA-Anforderungen.

    Wir übernehmen u. a.:

    • die Rolle des externen Auslagerungsbeauftragten,
    • die Funktion des Informationssicherheitsbeauftragten (ISB),
    • die Steuerung und Überwachung aller IKT-Dienstleister,
    • die Durchführung detaillierter IKT-Risikoanalysen,
    • die Erstellung DORA-konformer Vertragsklauseln und vollständiger Exit-Strategien.

    Damit stellen Sie sicher, dass Ihre Organisation prüfungssicher, rechtskonform und digital resilient aufgestellt ist.

Weitere relevante Themen

  • DORA und das Auslagerungsmanagement Der umfassende Guide: Erfahren Sie, was Sie jetzt wissen müssen, um Ihr Fremdbezugsmanagement rechtssicher an die neuen EU-Vorgaben anzupassen.

  • Das DORA-Informationsregister Die Basis für die Aufsicht: Ohne vollständiges Register keine Compliance. Lesen Sie hier, wie Sie alle IKT-Verträge und Abhängigkeiten korrekt mappen und dokumentieren.

  • Klassifizierung & Berichterstattung von IKT-Vorfällen Meldepflichten im Ernstfall: Lernen Sie die Kriterien für schwerwiegende Vorfälle kennen und erfahren Sie, wie der standardisierte Meldeweg an die Aufsicht funktioniert.

  • BCM-Verzahnung: Insourcer und Outsourcer optimieren Schnittstellenmanagement im Notfall: So stimmen Sie Ihre Business Continuity Pläne (BCM) effektiv auf die Notfallkonzepte Ihrer Dienstleister ab.

  • DORA Anforderungen im Fokus Der kompakte Überblick: Frischen Sie Ihr Wissen zu den Kernsäulen der Verordnung auf – von IKT-Risikomanagement bis zu digitalen Resilienztests.