Einleitung: Ein regulatorischer Paradigmenwechsel

Es war ein Morgen im Juli 2024, der den europäischen Finanzaufsehern das letzte Argument lieferte, das sie womöglich noch brauchten: Ein einziges fehlerhaftes Software-Update des IT-Sicherheitsdienstleisters CrowdStrike legte weltweit Computersysteme lahm -- Flughäfen, Krankenhäuser, und eben auch Finanzinstitute. Die unmittelbaren Schäden für den Finanzmarkt blieben überschaubar. Doch die Botschaft war unmissverständlich: Die digitale Verwundbarkeit des Finanzsystems ist keine theoretische Übung mehr.

Seit dem 17. Januar 2025 ist der Digital Operational Resilience Act -- kurz DORA -- verbindlich anzuwenden. Die EU-Verordnung (EU) 2022/2554 betrifft rund 22.000 Finanzunternehmen in der Europäischen Union, davon allein 3.600 in Deutschland. Sie schafft erstmals einen einheitlichen, sektorübergreifenden Rechtsrahmen für IKT-Risikomanagement, Cybersicherheit und digitale Betriebsstabilität. Nationale Regelwerke wie die Bankaufsichtlichen Anforderungen an die IT (BAIT) treten schrittweise in den Hintergrund.

Für die deutschen Banken, insbesondere in ihren kapitalmarktnahen Geschäftsfeldern und der Vermögensverwaltung, bedeutet DORA weit mehr als ein IT-Compliance-Projekt. Es ist ein Strukturwandel, der bis in die Handelsräume, die Portfoliomanagementsysteme und die Vertragsbeziehungen mit Cloud-Anbietern hineinreicht.

DORA auf einen Blick
  • Rechtsgrundlage: Verordnung (EU) 2022/2554 über die digitale operationale Resilienz im Finanzsektor
  • Anwendung: Verbindlich seit 17. Januar 2025, keine Übergangsfrist
  • Betroffene: ~22.000 Finanzunternehmen EU-weit, 3.600 in Deutschland -- inkl. Banken, Wertpapierfirmen, KVGen, Handelsplätze, Versicherer, Krypto-Dienstleister
  • Aufsicht DE: BaFin als zentraler Melde-Hub für IKT-Vorfälle
  • Sanktionen: Bis zu 5 Mio. € Bußgeld, zusätzlich Kapitalaufschläge möglich
  • Novum: Erstmalige direkte EU-Aufsicht über kritische IKT-Drittdienstleister (Cloud-Hyperscaler)

Die fünf Säulen von DORA -- und was sie für das Kapitalmarktgeschäft bedeuten

DORA ruht auf fünf regulatorischen Pfeilern, die in ihrer Gesamtheit einen Paradigmenwechsel darstellen. Keiner dieser Pfeiler lässt sich isoliert betrachten -- sie greifen ineinander und erzeugen gerade in den technologisch hoch vernetzten Bereichen Capital Markets und Asset Management einen erheblichen Transformationsdruck.

Säule 1: IKT-Risikomanagement

Finanzunternehmen müssen einen umfassenden, dokumentierten Rahmen für das Management ihrer Informations- und Kommunikationstechnologie-Risiken vorhalten. Für Kapitalmarktbereiche bedeutet dies die lückenlose Erfassung und jährliche Überprüfung aller IT-Systeme, die Handelsprozesse, Risikomodellierung, Orderrouting und Abwicklung unterstützen. Sämtliche IKT-Vermögenswerte und geschäftskritischen Funktionen sind zu inventarisieren.

Säule 2: Vorfallmeldung und -management

Schwerwiegende IKT-Vorfälle müssen nach einem dreistufigen Meldeverfahren an die BaFin gemeldet werden -- innerhalb eines Geschäftstages nach Erkennung, ein Zwischenbericht binnen einer Woche, ein Abschlussbericht mit Ursachenanalyse binnen eines Monats. Im Kapitalmarktgeschäft, wo Millisekunden über Gewinne und Verluste entscheiden, erfordert dies eine Echtzeitüberwachung auf einem Niveau, das viele Institute bislang nicht erreicht haben.

Säule 3: Digitale Resilienz-Tests

Von einfachen Schwachstellenscans bis hin zu bedrohungsgeleiteten Penetrationstests (TLPT) -- systemrelevante Institute müssen ihre Handelsinfrastruktur mindestens alle drei Jahre einem solchen Test unterziehen. Die TLPT-Anforderungen wurden in den aufsichtlichen Überprüfungsprozess (SREP) der Eigenkapitalrichtlinie integriert.

Säule 4: Drittparteienrisikomanagement

Dieser Pfeiler trifft das Kapitalmarktgeschäft im Kern. Handelsplattformen, Marktdatenanbieter, Cloud-basierte Risikomodellierung, algorithmische Handelssysteme -- die Abhängigkeit von externen IKT-Dienstleistern ist in keinem Geschäftsfeld deutscher Banken größer als hier. DORA verlangt umfassende Due-Diligence-Prüfungen, vertragliche Mindeststandards und vor allem: Ausstiegsstrategien für den Fall, dass ein kritischer Dienstleister ausfällt.

Säule 5: Informationsaustausch

Finanzunternehmen werden ermutigt, sich an einem freiwilligen, aber strukturierten Austausch von Bedrohungsinformationen zu beteiligen -- unter strikter Wahrung des Datenschutzes.

Capital Markets: Wenn Latenz auf Regulierung trifft

Das Kapitalmarktgeschäft deutscher Banken operiert in einem technologischen Ökosystem von hoher Komplexität. Elektronische Handelsplattformen, algorithmische Systeme, Echtzeit-Risikomodelle, Central Counterparties (CCPs) und Zentralverwahrer bilden eine Wertschöpfungskette, in der jedes Glied von IKT-Systemen abhängt -- und in der ein Ausfall unmittelbare finanzielle Konsequenzen hat.

DORA adressiert explizit Handelsplätze, Wertpapierfirmen und Clearinghäuser als regulierte Einheiten. Doch die Tragweite geht weiter: Auch die IKT-Dienstleister, die diese Infrastruktur betreiben -- von Marktdatenprovidern wie Bloomberg oder Refinitiv bis hin zu den Cloud-Hyperscalern, auf deren Infrastruktur zunehmend Teile des Handelsbetriebs laufen -- geraten in den Aufsichtsfokus.

«Die Konzentration auf wenige Anbieter und eine fragmentierte Wertschöpfungskette erschweren die Kontrolle über kritische Prozesse. Ein Vorfall bei einem systemrelevanten IT-Dienstleister kann einen Dominoeffekt auslösen.» Jens Obermöller, BaFin -- Abteilung IT-Aufsicht

Für die deutschen Großbanken mit signifikantem Kapitalmarktgeschäft ergeben sich daraus konkrete Herausforderungen. Die BaFin fokussiert sich verstärkt auf Konzentrationsrisiken: Was geschieht, wenn mehrere systemrelevante Institute denselben Cloud-Anbieter für ihre Handelsinfrastruktur nutzen und dieser ausfällt? DORA verlangt, dass genau dieses Szenario durchgespielt wird -- mit dokumentierten Notfallplänen und funktionsfähigen Exit-Strategien.

Besonders brisant ist die Frage der Legacy-Systeme. Viele Handelsinfrastrukturen deutscher Banken sind über Jahrzehnte gewachsen, oft durch Übernahmen und Fusionen zu einem Flickenteppich unterschiedlicher Technologien zusammengewachsen. Die DORA-Anforderungen an lückenlose Dokumentation, regelmäßige Tests und vollständige Inventarisierung aller IKT-Vermögenswerte treffen hier auf eine Realität, in der nicht jedes System und nicht jede Schnittstelle vollständig kartographiert ist.

Asset Management: Delegation schützt nicht vor Verantwortung

Im Bereich Asset Management und Vermögensverwaltung trifft DORA auf eine Branchenstruktur, die traditionell stark auf Delegation und Auslagerung setzt. Kapitalverwaltungsgesellschaften (KVGen), UCITS-Managementgesellschaften und alternative Investmentfondsmanager (AIFMs) sind explizit im Anwendungsbereich der Verordnung erfasst.

Die regulatorische Kernbotschaft lautet: Delegation entbindet nicht von der Verantwortung. Selbst wenn Portfoliomanagement, Risikokontrolle oder Fondsbuchhaltung an Drittanbieter ausgelagert werden, verbleibt die Pflicht zur Überwachung und zum Management der damit verbundenen IKT-Risiken beim auslagernden Institut. DORA verlangt von den Leitungsorganen, dass sie die Auswirkungen ihrer IKT-Abhängigkeiten auf kritische Geschäftsfunktionen vollständig verstehen.

Betroffene Akteure im Asset Management
  • MiFID-Wertpapierfirmen -- inkl. Portfolioverwaltung und Anlageberatung
  • UCITS-Managementgesellschaften -- Verwaltung von Publikumsfonds
  • Alternative Investmentfondsmanager (AIFMs) -- außer Sub-Threshold-AIFMs
  • Kapitalverwaltungsgesellschaften (KVGen) -- über KAIT bereits reguliert, nun DORA-pflichtig
  • IKT-Drittdienstleister -- Portfoliomanagementsysteme, Custodians, Fondsbuchhaltung, Marktdatenanbieter

Für deutsche Asset Manager bedeutet dies einen erheblichen Anpassungsbedarf bei den Vertragsbeziehungen mit ihren Technologiepartnern. Bestehende Verträge mit Portfoliomanagementsystemen, Custodians, Transfer Agents und Fondsbuchhaltungsplattformen müssen gegen die DORA-Anforderungen des Artikels 30 geprüft und gegebenenfalls nachverhandelt werden. Eine KPMG-Untersuchung zeigt, dass sich der Großteil dieser Neuverhandlungen auf das Jahr 2025 verschoben hat und die Institute über Monate beschäftigen wird.

Hinzu kommt die wachsende Bedeutung von Cloud-basierten Lösungen in der Vermögensverwaltung -- von Risikomodellierung über ESG-Datenanalyse bis hin zu KI-gestützten Investmentprozessen. Jede dieser Technologieanwendungen fällt unter das IKT-Drittparteienrisikomanagement von DORA und erfordert eine eigenständige Risikobewertung, vertragliche Absicherung und Überwachung.

Die Rolle der BaFin: Vom nationalen Aufseher zum europäischen Teamplayer

Mit DORA verschiebt sich auch die Aufsichtsarchitektur. Die BaFin fungiert weiterhin als zentraler Melde-Hub für IKT-Vorfälle in Deutschland. Gleichzeitig werden erstmals sogenannte kritische IKT-Drittdienstleister -- in erster Linie die großen Cloud-Hyperscaler wie Amazon Web Services, Microsoft Azure oder Google Cloud -- unter eine direkte europäische Aufsicht gestellt.

Für diese Überwachung werden europaweite Teams gebildet, geleitet von einer der drei Europäischen Aufsichtsbehörden (EBA, ESMA, EIOPA) und besetzt mit Prüfern aus den nationalen Behörden. Die BaFin hat angekündigt, sich aktiv in diese Überwachungsteams einzubringen. Es ist ein Novum in der europäischen Finanzaufsicht: Technologieunternehmen, die selbst keine Finanzinstitute sind, unterliegen erstmals einer direkten regulatorischen Überwachung.

Die Aufsichtsmitteilung der BaFin vom August 2025 zu vereinfachten IKT-Risikomanagementrahmen zeigt zugleich, dass die Behörde den Verhältnismäßigkeitsgrundsatz ernst nimmt. Kleinere Institute und Kapitalverwaltungsgesellschaften können erleichterte Anforderungen anwenden -- vorausgesetzt, ihre Risikoprofile rechtfertigen dies.

Die Umsetzungslücke: Kein deutsches Institut war zum Stichtag vollständig compliant

«Keine der befragten Banken hatte die DORA-Vorgaben bis Januar 2025 vollständig erfüllt.» KPMG-Benchmark-Studie, 2025

Die unbequeme Wahrheit: Zum Zeitpunkt des Inkrafttretens am 17. Januar 2025 hatte nach Erkenntnissen einer KPMG-Untersuchung keine der befragten deutschen Banken sämtliche DORA-Anforderungen vollständig umgesetzt. Die größten Lücken bestehen bei der Vertragsanpassung mit IKT-Drittanbietern, der vollständigen Inventarisierung aller IKT-Vermögenswerte und der Implementierung durchgängiger Meldeprozesse für IKT-Vorfälle.

Die Gründe sind vielschichtig: Ressourcenengpässe in der IT, unterschiedliche Interpretationen der technischen Regulierungsstandards, der schiere Umfang der Vertragsanpassungen und der akute Fachkräftemangel im Bereich Cybersicherheit. Bei Verstößen drohen Bußgelder von bis zu fünf Millionen Euro; die BaFin kann zudem Kapitalaufschläge verhängen -- ein Instrument, das aus der Aufsichtspraxis bei IT-Mängeln bereits bekannt ist.

Ein weiterer Meilenstein steht bevor: Ab dem 1. Januar 2027 wird durch das Finanzmarktdigitalisierungsgesetz (FinmadiG) der Anwendungsbereich von DORA in Deutschland erweitert. Zusätzliche Institute, darunter Factoring- und Leasinggesellschaften, fallen dann unter die Verordnung.

Handlungsempfehlung: Was deutsche Banken jetzt tun sollten

Für Vorstandsetagen und Geschäftsleiter deutscher Banken mit Aktivitäten in Capital Markets und Asset Management ergibt sich ein klarer Handlungsauftrag, der über die bloße Compliance hinausgeht:

1. Gap-Analyse aktualisieren und Hochrisikobereiche priorisieren

Eine aktualisierte Gap-Analyse -- gemessen am vollständigen DORA-Anforderungskatalog einschließlich der Level-2-Regulierungsstandards -- ist der unmittelbare erste Schritt. Capital-Markets- und Asset-Management-Bereiche sollten als Hochrisikosegmente priorisiert werden, da hier die Abhängigkeit von Drittanbietern und die Komplexität der IKT-Landschaft am größten sind.

2. Drittparteienrisikomanagement strategisch neu ordnen

Vertragsbeziehungen mit allen kritischen IKT-Dienstleistern müssen gegen die Anforderungen des Artikels 30 DORA systematisch geprüft, dokumentierte Exit-Strategien entwickelt und Konzentrationsrisiken bei Cloud-Anbietern aktiv gemanagt werden. Die Vertragsanpassungen sind kein einmaliges Projekt, sondern ein fortlaufender Prozess.

3. DORA-Compliance als Vorstandsthema verankern

DORA verlangt ausdrücklich, dass das Leitungsorgan die IKT-Risikostrategie definiert, verantwortet und regelmäßig überprüft. Eine dedizierte Governance-Struktur, die IT-Sicherheit, Compliance, Risikomanagement und die operativen Geschäftsbereiche verbindet, ist unerlässlich.

4. In Technologie und Personal investieren

Künstliche Intelligenz kann bei der Anomalie-Erkennung und beim kontinuierlichen Monitoring unterstützen. Gleichzeitig müssen Banken in die Aus- und Weiterbildung investieren, um den Fachkräftemangel im Bereich Cybersicherheit und Penetrationstesting zu adressieren.

5. Informationsaustausch als strategischen Vorteil nutzen

Deutsche Institute sollten den freiwilligen Austausch über Cyberbedrohungen nicht als regulatorische Pflichtübung betrachten, sondern als Notwendigkeit. In einem Umfeld, in dem KI-gestützte Angriffe immer raffinierter werden, ist kollektive Verteidigung kein Luxus.

Regulatorische Timeline
Sep. 2020
Legislativvorschlag der EU-Kommission
Veröffentlichung als Teil des Pakets zur Digitalisierung des Finanzsektors.
Dez. 2022
Veröffentlichung im Amtsblatt der EU
Verordnung (EU) 2022/2554. Beginn der zweijährigen Umsetzungsfrist.
Jan. 2023
Inkrafttreten der DORA-Verordnung
Am 16. Januar 2023 tritt DORA formal in Kraft.
Jan. 2024
Erstes Paket: RTS und ITS
Drei technische Regulierungsstandards und ein Durchführungsstandard.
Jul. 2024
Zweites Paket: Weitere Standards und Leitlinien
Vier RTS, ein ITS und Leitlinien zu TLPT, Subcontracting, Incident-Reporting.
Jan. 2025
Verbindliche Anwendung von DORA
Ab 17.01.2025 müssen alle Finanzunternehmen die Anforderungen umsetzen. BAIT wird schrittweise abgelöst.
2025 lfd.
Umsetzung, Prüfungen und Vertragsanpassungen
Gap-Analysen, Neuverhandlung von Drittanbieterverträgen, Aufbau von Meldeprozessen. Kein deutsches Institut vollständig compliant.
Dez. 2025
NIS-2-Umsetzungsgesetz in Kraft
DORA hat Anwendungsvorrang gegenüber NIS-2 für Finanzunternehmen -- Synergieeffekte bei der Vorfallmeldung.
Ende 2026
Endgültiges Ende der BAIT
Nationale BAIT verliert endgültig Geltung zugunsten EU-weiter DORA-Standards.
Jan. 2027
Erweiterter Anwendungsbereich in Deutschland
Durch das FinmadiG fallen zusätzliche Institute unter DORA -- darunter Factoring- und Leasinggesellschaften.
Ab 2027+
Laufende Überwachung kritischer IKT-Dienstleister
Europaweite Teams prüfen Cloud-Hyperscaler. Fortlaufende TLPT-Zyklen für systemrelevante Institute.
Dieser Artikel reflektiert den Informationsstand vom Februar 2026. Die regulatorischen Anforderungen werden durch laufende Veröffentlichungen technischer Standards und Aufsichtsmitteilungen weiter konkretisiert.
← Zurück zur Übersicht