Als der Digital Operational Resilience Act am 17. Januar 2025 nach zweijähriger Übergangsfrist vollständig anwendbar wurde, galt er als Meilenstein der europäischen Finanzregulierung. Erstmals schuf die EU einen einheitlichen Rahmen für die digitale Widerstandsfähigkeit des gesamten Finanzsektors – von Großbanken über Versicherungen bis hin zu Krypto-Dienstleistern. 14 Monate später zeigt sich: Die Verordnung ist ambitioniert, die Umsetzung dagegen ernüchternd. 44 Prozent der deutschen Finanzunternehmen sind laut einer Advisori-Erhebung (Selbsteinschätzung, Q1 2026) noch immer nicht DORA-compliant. Keine einzige der von KPMG befragten Banken (DORA Readiness Survey, 2024/25) hatte die Vorgaben bis zum Stichtag vollständig erfüllt – wobei „nicht vollständig" ein breites Spektrum abdeckt, von nahezu abgeschlossen bis grundlegend lückenhaft.
Die Diskrepanz zwischen regulatorischem Anspruch und operativer Realität ist bemerkenswert. Während die Aufsichtsbehörden – allen voran die BaFin – den Übergang von einer „Guidance-Phase" zu „interventionistischer Aufsicht" vollziehen, kämpfen viele Institute noch mit den Grundlagen: der Inventarisierung ihrer IKT-Dienstleister, der Etablierung automatisierter Meldesysteme und der Integration von Resilienz-Tests in den operativen Alltag.
Was DORA verlangt: Die fünf Säulen der digitalen Resilienz
DORA ist keine bloße Cybersecurity-Richtlinie. Die Verordnung umfasst fünf Kernbereiche, die gemeinsam einen umfassenden Resilienz-Rahmen bilden: IKT-Risikomanagement mit vollständigem Governance-Rahmen, Incident Management mit einer Erstmeldefrist von vier Stunden nach Klassifizierung eines Vorfalls als schwerwiegend, verpflichtende Resilience Tests einschließlich Threat-Led Penetration Testing (TLPT) alle drei Jahre für systemrelevante Institute, ein detailliertes Third-Party Risk Management mit Register of Information und Exit-Strategien sowie der freiwillige Austausch von Cyber-Bedrohungsinformationen zwischen Finanzinstituten.
Wichtig dabei: DORA enthält ein Proportionalitätsprinzip (Art. 4). Die Anforderungen skalieren nach Größe, Risikoprofil und Komplexität des jeweiligen Instituts. Kleinere Wertpapierfirmen oder Zahlungsinstitute müssen nicht dasselbe leisten wie systemrelevante Großbanken. Für bestimmte kleinere Institute sieht Art. 16 sogar ein vereinfachtes IKT-Risikomanagement-Framework vor. Nicht alle 22.000 betroffenen Unternehmen stehen also vor identischen Pflichten – der Umsetzungsaufwand variiert erheblich.
Entscheidend ist aber für alle: DORA macht das Management Board persönlich verantwortlich (Art. 5). Vorstände und Geschäftsführer müssen die IKT-Risikomanagement-Strategie definieren, ihre Umsetzung aktiv begleiten und ihr Wissen über die IKT-Risikolandschaft nachweislich auf dem aktuellen Stand halten. Das ist keine Compliance-Pflicht, die man an die IT-Abteilung delegieren kann – es ist eine Führungsaufgabe.
Die Umsetzungslücke: Wo stehen die Institute wirklich?
Ein ernüchterndes Lagebild
Die Zahlen sprechen eine deutliche Sprache. Keine der von KPMG befragten Banken (DORA Readiness Survey, 2024/25) hatte die DORA-Vorgaben bis zum Stichtag im Januar 2025 vollständig erfüllt. In der Versicherungsbranche berichten Marktbeobachter, dass einige Häuser gerade erst anfangen, sich systematisch mit der Compliance zu befassen. Fünf Herausforderungen dominieren den Umsetzungsalltag.
An erster Stelle steht das Drittanbieter-Management – die mit Abstand größte Baustelle, wie KPMG und Advisori übereinstimmend berichten. Dahinter rangiert die technologische Komplexität: DORA ist, wie KPMG es formuliert, „kein Papiertiger" – die Anforderungen reichen von der Netzwerksegmentierung über Verschlüsselungsstandards bis zur Backup-Architektur und überfordern viele Legacy-Landschaften. An dritter Stelle steht der Fachkräftemangel: Spezialisten, die sowohl regulatorische als auch technische Anforderungen verstehen, sind am Markt kaum verfügbar. Budgetrestriktionen verschärfen das Problem – DORA-Projekte konkurrieren mit anderen Regulierungsvorhaben um endliche Ressourcen. Schließlich beklagen Institute eine anhaltende regulatorische Ambiguität: Einige Konkretisierungen der technischen Standards (RTS/ITS) durch die ESAs lagen lange nicht vor und müssen jetzt unter Zeitdruck umgesetzt werden.
Die Vertragslawine: 500 bis mehrere Tausend IKT-Verträge
Beim Drittanbieter-Management wird die Dimension des Problems besonders deutlich. DORA verlangt von jedem Finanzinstitut ein vollständiges, aktuelles Register aller Verträge mit IKT-Drittanbietern – das sogenannte Register of Information. Bei großen Instituten und Konzernen umfasst dieses Register 500 bis mehrere tausend Verträge. Mittelgroße Häuser verwalten typischerweise zwischen 100 und 500 Verträge, kleinere Institute immerhin noch 10 bis 100.
Die Herausforderung ist weniger die Zahl der Verträge als deren Fragmentierung. Relevante Informationen sind über verschiedene Abteilungen und Systeme verstreut – vom Einkauf über die IT bis zur Rechtsabteilung. Die Konsolidierung dieser Daten in ein einheitliches Register erfordert bei dezentral organisierten Häusern häufig neue Systeme und Prozesse.
Das Register of Information: Der Stresstest im März 2026
Zwischen dem 9. und 30. März 2026 – also genau in diesen Wochen – müssen Finanzinstitute ihr Register of Information erstmals an die BaFin übermitteln. Von dort fließen die Daten an die europäischen Aufsichtsbehörden (ESAs). Dieses Register ist weit mehr als eine bürokratische Pflichtübung: Es verschafft den Regulierern erstmals eine systemweite Sicht auf IKT-Abhängigkeiten, unterstützt die Benennung kritischer IKT-Drittanbieter und ermöglicht die Analyse von Konzentrationsrisiken.
Für viele Institute wird diese erste Meldung zum Lackmustest. Wer bis dato kein vollständiges Verzeichnis aufgebaut hat, wird unter erheblichem Zeitdruck nachbessern müssen – mit dem Risiko unvollständiger oder fehlerhafter Meldungen, die bei der Aufsicht Fragen aufwerfen.
Enforcement: Von Geduld zu Konsequenz
Die Aufsichtsbehörden haben 2025 als Übergangsjahr behandelt – mit Augenmaß, aber klaren Erwartungen. 2026 markiert den Wechsel zu einer deutlich schärferen Gangart. Die BaFin hat angekündigt, ab diesem Jahr verstärkt Prüfungen und aufsichtliche Reviews durchzuführen.
Grundprinzip: DORA (Art. 50–52) verpflichtet die Mitgliedstaaten, wirksame Sanktionen einzuführen, legt aber keine EU-weit einheitlichen Bußgeldhöhen fest. Die konkreten Beträge variieren je nach nationaler Umsetzung.
Typische nationale Umsetzung: Bußgelder bis zu 2% des weltweiten Jahresumsatzes oder bis zu 10 Mio. Euro bei schwerwiegenden Verstößen; persönliche Haftung der Geschäftsleitung bis zu 1 Mio. Euro
Deutschland: KWG und VAG bilden den Rechtsrahmen für die BaFin-Durchsetzung
Kritische IKT-Anbieter: Periodische Strafzahlungen von bis zu 1% des durchschnittlichen weltweiten Tagesumsatzes – pro Tag der Nichteinhaltung (Art. 35 Abs. 8)
Der Paradigmenwechsel ist klar: DORA-Compliance verschiebt sich von „Paperwork zu Proof". Regulierer erwarten nicht mehr nur dokumentierte Policies, sondern nachweisbare, datengestützte Resilienz – unterstützt durch automatisiertes Monitoring und Echtzeit-Reporting. Point-in-time-Compliance, also die Vorbereitung auf den nächsten Audit-Termin, ist ein Auslaufmodell.
DORA und NIS2: Das regulatorische Doppel
Zwei Regelwerke, eine Stoßrichtung
Parallel zu DORA entfaltet die NIS2-Richtlinie ihre Wirkung. Beide Regulierungen verfolgen dasselbe übergeordnete Ziel – die Stärkung der Cyber-Resilienz in der EU –, tun dies aber auf unterschiedliche Weise und mit unterschiedlichem Geltungsbereich. Für Finanzinstitute, die unter beide Regelwerke fallen können, ergibt sich eine komplexe Compliance-Landschaft, die strategisches Management erfordert.
Wer unter DORA fällt, folgt DORA
Das Verhältnis der beiden Regelwerke ist juristisch klar definiert: DORA ist die speziellere Regelung für den Finanzsektor und geht vor. Wo DORA spezifische Regeln aufstellt, verdrängt es die allgemeineren NIS2-Vorgaben. Finanzinstitute müssen also primär DORA erfüllen. Das bedeutet jedoch nicht, dass NIS2 irrelevant wäre – in Bereichen, die DORA nicht abdeckt, greifen die NIS2-Anforderungen ergänzend.
Ein wesentlicher struktureller Unterschied: DORA ist eine EU-Verordnung und gilt damit unmittelbar und einheitlich in allen Mitgliedstaaten. NIS2 hingegen ist eine Richtlinie, die von jedem Mitgliedstaat in nationales Recht umgesetzt werden muss – mit der Folge, dass es zu landesspezifischen Abweichungen kommen kann. Die Umsetzungsfrist für NIS2 lief am 18. Oktober 2024 ab; Deutschland hat das NIS2-Umsetzungsgesetz (NIS2UmsuCG) bislang nicht verabschiedet – das Vorhaben wurde durch die vorgezogene Bundestagswahl 2025 zusätzlich verzögert. Für betroffene Unternehmen bedeutet das eine Phase der Rechtsunsicherheit: Die EU-Vorgaben stehen fest, der nationale Rahmen aber noch nicht.
| Dimension | DORA | NIS2 |
|---|---|---|
| Rechtsform | EU-Verordnung – unmittelbar gültig | EU-Richtlinie – nationale Umsetzung erforderlich |
| Geltungsbereich | Finanzsektor: Banken, Versicherungen, Wertpapierfirmen, Zahlungsdienstleister, Krypto-Anbieter, kritische IKT-Provider | 18 Sektoren: Energie, Transport, Gesundheit, digitale Infrastruktur, Finanzsektor u.a. |
| Gültig seit | In Kraft seit 16. Januar 2023; anwendbar seit 17. Januar 2025 | Umsetzungsfrist: 18. Oktober 2024; Deutschland: NIS2UmsuCG durch Bundestagswahl 2025 weiter verzögert, Verabschiedung 2026 erwartet |
| Incident Reporting | Erstmeldung binnen 4 Stunden nach Klassifizierung, Zwischenbericht nach 72 Stunden, Abschlussbericht nach 1 Monat | Erstmeldung binnen 24 Stunden, Folgebericht nach 72 Stunden, Abschlussbericht nach 1 Monat |
| Resilience Testing | Jährliche Basistests + Threat-Led Penetration Testing (TLPT) alle 3 Jahre für systemrelevante Institute | Empfiehlt Schwachstellenanalysen und Penetrationstests – ohne verpflichtenden TLPT-Zyklus |
| Third-Party Risk | Register of Information, detaillierte Vertragsklauseln, Exit-Strategien, direkte Aufsicht kritischer IKT-Anbieter | Allgemeine Supply-Chain-Sicherheit, keine spezifischen Vertragsanforderungen |
| Sanktionen | Bis zu 2% des weltweiten Jahresumsatzes; persönliche Haftung bis 1 Mio. Euro | Bis zu 10 Mio. Euro oder 2% des Umsatzes; persönliche Haftung der Geschäftsleitung |
| Aufsicht | ESAs (EBA, EIOPA, ESMA), nationale Aufsichtsbehörden (BaFin) | Nationale Behörden (BSI in Deutschland), CSIRT, ENISA |
Die doppelte Compliance-Falle
Für Finanzinstitute, die sowohl unter DORA als auch unter NIS2 fallen, liegt die Herausforderung in der Verzahnung. Die gute Nachricht: Beide Regelwerke überlappen sich in wesentlichen Bereichen – Risikomanagement, Incident Reporting, Governance-Pflichten und Supply-Chain-Sicherheit. Wer DORA konsequent umsetzt, erfüllt damit einen Großteil der NIS2-Anforderungen automatisch.
Die schlechte Nachricht: „Ein Großteil" ist nicht „alles". NIS2 stellt eigenständige Anforderungen an Schulungspflichten, an die Zusammenarbeit mit nationalen CSIRTs und an Bereiche, die DORA nicht explizit adressiert. Zudem unterscheiden sich die Meldefristen erheblich: Während DORA eine Erstmeldung binnen vier Stunden verlangt, gewährt NIS2 ein Fenster von 24 Stunden. Für Institute, die beide Pflichten parallel bedienen müssen, bedeutet das: Wer die schärfere DORA-Frist einhält, erfüllt automatisch auch NIS2 – aber die Prozesse müssen entsprechend designt sein.
Strategischer Ansatz: Konsolidierung statt Doppelarbeit
Die klügste Strategie für Finanzinstitute ist die Konsolidierung. Statt zwei parallele Compliance-Stränge aufzubauen, empfiehlt sich ein integrierter Ansatz: ein gemeinsames Risikomanagement-Framework, das die strengeren DORA-Anforderungen als Baseline nimmt und NIS2-spezifische Anforderungen ergänzt. Incident-Reporting-Prozesse können mit Anpassungen an die unterschiedlichen Fristen konsolidiert werden. Governance-Strukturen lassen sich harmonisieren.
Dieser Ansatz spart nicht nur Ressourcen, sondern reduziert auch das Risiko widersprüchlicher Policies – ein Problem, das bei paralleler Implementierung schnell entsteht. Die Regulierungswelle 2026 umfasst neben DORA und NIS2 auch den AI Act und den Cyber Resilience Act. Institute, die jetzt ein skalierbares Compliance-Framework aufbauen, sind für kommende Regulierungen besser aufgestellt.
Was die Branche jetzt diskutiert
Cloud-Abhängigkeit und Exit-Strategien
Ein konkretes Beispiel für die operativen Konsequenzen: DORA verlangt von Finanzinstituten Exit-Strategien für kritische IKT-Anbieter. Wer heute auf AWS oder Azure setzt, muss dokumentieren, wie ein geordneter Anbieterwechsel innerhalb definierter Fristen funktionieren würde. Microsoft hat bereits einen praktischen Blueprint für DORA-Exit-Planning bei Azure SQL Database veröffentlicht – ein Indiz dafür, dass auch die Hyperscaler die Regulierung ernst nehmen.
Der Finanzsektor als Cyberangriffsziel Nummer eins
Die Dringlichkeit von DORA wird durch die Bedrohungslage unterstrichen. Belastbare EU-weite Statistiken zur sektoralen Verteilung von Cyberattacken sind rar; nationale Daten liefern jedoch ein konsistentes Bild. In Spanien etwa konzentriert der Finanzsektor laut PROBATIA-Analyse 34 Prozent aller Cyberattacken auf sich, bei durchschnittlichen Kosten von 5,8 Millionen Euro pro Vorfall. Auch wenn diese Zahlen nicht eins zu eins auf den deutschen Markt übertragbar sind, decken sie sich mit den Befunden des IBM Cost of a Data Breach Report, der den Finanzsektor global als eine der am stärksten betroffenen Branchen identifiziert. Die Größenordnung illustriert, warum die EU nicht auf freiwillige Selbstregulierung setzt.
Die 19 als kritisch eingestuften IKT-Anbieter – darunter AWS, Microsoft Azure und Google Cloud – stehen seit November 2025 unter direkter EU-Aufsicht. Das ist ein Novum: Erstmals reguliert die EU nicht nur die Finanzinstitute selbst, sondern auch deren technologische Infrastruktur-Provider unmittelbar. Für die betroffenen Cloud-Anbieter bedeutet das erhebliche Compliance-Investitionen, für die Institute potenziell steigende Kosten – aber auch ein höheres Niveau an Transparenz und Resilienz in der gesamten Wertschöpfungskette.
Handlungsempfehlungen: Was Finanzinstitute jetzt tun sollten
Die verbleibende Schonfrist ist vorbei. Institute, die noch nicht compliant sind, müssen jetzt handeln – strukturiert, priorisiert und mit dem Bewusstsein, dass die Aufsicht 2026 keine Übergangsjahr-Toleranz mehr zeigt.
Priorität kritisch: Der BaFin-Meldezeitraum läuft bis 30. März 2026. Wer sein IKT-Dienstleisterregister noch nicht konsolidiert hat, muss dies unter Hochdruck nachholen. Relevante Daten aus Einkauf, IT und Rechtsabteilung zusammenführen, Verträge klassifizieren, Konzentrationsrisiken identifizieren. Ein unvollständiges Register ist keine Option – es ist ein aufsichtliches Warnsignal.
Q2 2026: Die 4-Stunden-Frist ab Klassifizierung eines Vorfalls als schwerwiegend lässt keinen Raum für manuelle Prozesse. Institute brauchen automatisierte Monitoring-Tools, die IKT-Vorfälle erkennen, klassifizieren und die Meldekette auslösen – idealerweise mit vorkonfigurierten Templates für Erst-, Zwischen- und Abschlussberichte. Wer die DORA-Frist abbildet, erfüllt automatisch auch die 24-Stunden-Frist der NIS2.
Q2 2026: Keine parallelen Compliance-Stränge aufbauen. Stattdessen: ein integriertes Risikomanagement-Framework – etwa auf Basis von ISO 27001 oder dem NIST CSF – das die strengeren DORA-Anforderungen als Baseline nimmt und NIS2-spezifische Ergänzungen systematisch einbettet: Schulungspflichten (auch nach Art. 13 Abs. 6 DORA), CSIRT-Zusammenarbeit, sektorübergreifende Meldewege. Governance-Strukturen harmonisieren, Synergien beim Incident Reporting und Drittanbieter-Management heben.
Sofort beginnen, nicht auf Q3 warten: Jährliche Basistests sind Pflicht, TLPT alle drei Jahre für systemrelevante Institute. Die Beauftragung externer TLPT-Provider dauert allein Monate – wer erst Ende 2026 anfängt, gefährdet den ersten Zyklus bis 2027/2028. Jetzt den Testplan definieren, Provider evaluieren und erste Testzyklen anstoßen. Die Tests sind nicht nur Compliance-Pflicht – sie liefern genuine Erkenntnisse über Schwachstellen, die im Tagesgeschäft unsichtbar bleiben.
Q3–Q4 2026: DORA verlangt dokumentierte Ausstiegsszenarien für kritische Drittanbieter. Cloud-Konzentrationsrisiken analysieren, Multi-Cloud-Strategien bewerten, konkrete Migrationspfade definieren. Die Exit-Strategie muss realistisch und getestet sein – ein Papiertiger reicht den Aufsehern nicht.
Laufend: DORA macht Vorstände persönlich verantwortlich (Art. 5). Konkret bedeutet das: quartalsweise Board-Briefings zum IKT-Risikostatus etablieren, mindestens jährliche Schulungen mit Dokumentation der Teilnahme, klare Eskalationswege für IKT-Vorfälle definieren. Die persönliche Haftung von bis zu einer Million Euro ist ein starker Motivator – sie sollte frühzeitig auf der Vorstandsagenda landen, nicht erst nach dem ersten Aufsichtsschreiben.
Ausblick: DORA als Dauerbaustelle
DORA ist kein Projekt mit einem definierten Endtermin. Die Verordnung etabliert einen kontinuierlichen Compliance-Zyklus, der sich mit jeder neuen Konkretisierung durch die ESAs weiterentwickelt. Die RTS und ITS (Regulatory und Implementing Technical Standards) werden laufend präzisiert; neue Anforderungen werden hinzukommen. Gleichzeitig entsteht mit dem AI Act, dem Cyber Resilience Act und der laufenden NIS2-Umsetzung in den Mitgliedstaaten ein zunehmend dichtes regulatorisches Netz.
Für Finanzinstitute bedeutet das: Wer DORA als einmaliges Compliance-Projekt behandelt, wird permanent hinterherlaufen. Die Gewinner sind jene Häuser, die jetzt skalierbare Strukturen aufbauen – integrierte Risikomanagement-Plattformen, automatisierte Meldeketten, lebendige Vertragsregister und eine Unternehmenskultur, in der digitale Resilienz nicht als IT-Thema, sondern als strategische Kernkompetenz begriffen wird.
14 Monate nach Anwendungsbeginn lässt sich bilanzieren: DORA hat den richtigen Rahmen gesetzt – einen Rahmen, der anspruchsvoller ist als alles, was die europäische Finanzregulierung bisher im Bereich digitaler Resilienz hervorgebracht hat. Die entscheidende Frage ist nicht mehr, ob die Verordnung greift, sondern ob die Branche die Umsetzung als strategische Investition begreift oder als regulatorische Last. Die Institute, die DORA nutzen, um veraltete Strukturen aufzubrechen, werden robuster aus dieser Phase hervorgehen. Alle anderen werden spätestens beim nächsten schwerwiegenden IKT-Vorfall erklären müssen, warum sie es nicht getan haben.
Lesen Sie weiter – alle 14 Tage in Ihrem Postfach.
Kapitalmarkt-Insights, Regulierungs-Updates und AI-Trends. Kompakt, fundiert, kostenlos.
DSGVO-konform. Jederzeit abbestellbar.