1 Jahr DORA – One year of DORA

Ab 2026 verschiebt sich der Fokus von der reinen Compliance zur gelebten operationalen Resilienz. Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) und die europäischen Aufsichtsbehörden erwarten keine statischen Konzepte mehr, sondern deren wirksame Umsetzung im Tagesgeschäft. DORA entwickelt sich damit von einem zeitlich begrenzten Projekt zu einem dauerhaften Bestandteil der Unternehmenssteuerung.

Kritische Drittanbieter: Verantwortung bleibt bei den Instituten

Mit der europäischen Benennung kritischer IKT-Drittanbieter (Critical Third Party Provider) hat sich die Aufsichtslandschaft verändert. Erstmals unterliegen auch externe Dienstleister einer direkten Aufsicht, sofern sie systemrelevante Funktionen für die Finanzbranche erbringen. Dies schafft Transparenz über Abhängigkeiten und ermöglicht Vergleichbarkeit zwischen Instituten.

Dennoch bedeutet diese neue Aufsichtsebene keine Entlastung für die Institute selbst. Die Verantwortung für Auslagerungsentscheidungen verbleibt bei den Banken und Versicherungen. Sie müssen weiterhin nachweisen können, warum sie bestimmte Anbieter für kritische Funktionen einsetzen, wie sie deren Substituierbarkeit bewerten und welche Exit-Strategien sie vorbereitet haben.

Die über 600 schwerwiegenden Vorfälle, die im ersten DORA-Jahr gemeldet wurden, verdeutlichen diese Problematik. Die hohe Zahl erklärt sich vor allem durch Cluster-Effekte: Ein Ausfall bei einem großen Dienstleister betrifft oft zahlreiche Institute gleichzeitig, was zu entsprechend vielen Einzelmeldungen führt. Das zentrale Problem liegt nicht in der Meldestatistik, sondern in den strukturellen Abhängigkeiten von wenigen Anbietern.

Diese Konzentrationsrisiken zeigen sich bereits heute bei Cloud-Diensten und Softwarelösungen. Mit der zunehmenden Verbreitung von Künstlicher Intelligenz in der Finanzbranche dürften ähnliche Abhängigkeiten entstehen.

Resilienz-Tests stellen Institute vor Belastungsprobe

Der zweite zentrale Bereich wird das Resilienz-Testing sein. Viele Institute haben zwar Testprogramme entwickelt und methodisch dokumentiert, doch die praktische Durchführung gestaltet sich deutlich anspruchsvoller. Die Regularik verlangt regelmäßige, realitätsnahe und wirksame Tests der IT-Systeme und Geschäftsprozesse.

Besonders aufwendig sind die bedrohungsorientierten Penetrationstests, die Institute im Rahmen des Drittparteienrisikomanagements mindestens alle drei Jahre durchführen müssen. Diese Tests bedeuten eine erhebliche organisatorische und finanzielle Belastung.

Der Maßstab hat sich grundlegend verändert: Nicht mehr die Frage nach der Systemsicherheit steht im Vordergrund, sondern die Fähigkeit, während eines Angriffs weiterzuarbeiten. Threat-Led-Penetrationstests im laufenden Betrieb, End-to-End-Szenarien und Purple Teaming – bei dem IT-Sicherheitsteams gleichzeitig Angriffs- und Verteidigungsrollen einnehmen – binden Sicherheits-, Betriebs- und Fachbereiche über Monate.

Diese Tests zeigen, ob definierte Rollen, Schwellenwerte und Eskalationswege tatsächlich funktionieren oder nur auf dem Papier existieren. Die Ergebnisse lassen sich nicht wegdokumentieren, sondern erfordern Priorisierung, Budget und Managemententscheidungen. Die Aufsicht wird in den kommenden Jahren genau darauf achten: nicht auf die Existenz von Konzepten, sondern auf deren nachweisbare Wirksamkeit.

Ausblick: Von der Struktur zur Substanz

Die Anfangsphase von DORA ist beendet. Institute, die dies erkannt haben, können die Verordnung als Chance nutzen, ihre operationale Widerstandsfähigkeit tatsächlich zu erhöhen. Die kommenden Jahre werden zeigen, welche Institutionen den Übergang von dokumentierten Prozessen zu gelebter Resilienz erfolgreich bewältigen.

From 2026, the focus will shift from pure compliance to operational resilience in practice. The German Federal Financial Supervisory Authority (BaFin) and the European supervisory authorities no longer expect static concepts, but rather their effective implementation in day-to-day business. DORA is thus evolving from a temporary project into a permanent part of corporate management.

Critical third-party providers: Responsibility remains with the institutions

The European designation of critical third-party ICT providers has changed the supervisory landscape. For the first time, external service providers are also subject to direct supervision if they perform systemically important functions for the financial sector. This creates transparency about dependencies and enables comparability between institutions.

Nevertheless, this new level of supervision does not relieve the institutions themselves. Responsibility for outsourcing decisions remains with the banks and insurance companies. They must continue to be able to demonstrate why they use certain providers for critical functions, how they assess their substitutability, and what exit strategies they have prepared.

The more than 600 serious incidents reported in the first year of DORA illustrate this problem. The high number can be explained primarily by cluster effects: a failure at a large service provider often affects numerous institutions at the same time, resulting in a correspondingly large number of individual reports. The central problem lies not in the reporting statistics, but in the structural dependencies on a few providers.

These concentration risks are already evident today in cloud services and software solutions. With the increasing spread of artificial intelligence in the financial sector, similar dependencies are likely to arise.

Resilience tests put institutions to the test

The second key area will be resilience testing. Although many institutions have developed and methodically documented test programs, practical implementation is proving to be much more challenging. Regulations require regular, realistic, and effective testing of IT systems and business processes.

Threat-oriented penetration tests, which institutions must carry out at least every three years as part of third-party risk management, are particularly costly. These tests place a considerable organizational and financial burden on institutions.

The benchmark has changed fundamentally: the focus is no longer on system security, but on the ability to continue working during an attack. Threat-led penetration tests during ongoing operations, end-to-end scenarios, and purple teaming—in which IT security teams simultaneously take on attack and defense roles—tie up security, operations, and specialist departments for months.

These tests show whether defined roles, thresholds, and escalation paths actually work or only exist on paper. The results cannot be documented away, but require prioritization, budget, and management decisions. In the coming years, regulators will pay close attention to this: not to the existence of concepts, but to their demonstrable effectiveness.

Outlook: From structure to substance

The initial phase of DORA is over. Institutions that have recognized this can use the regulation as an opportunity to actually increase their operational resilience. The coming years will show which institutions successfully manage the transition from documented processes to lived resilience.