Die EU-Verordnung Digital Operational Resilience Act (DORA) hat den Finanzsektor 2025 grundlegend verändert. Seit dem 17. Januar gelten europaweit einheitliche Anforderungen an die digitale operationale Resilienz von Banken, Versicherern, Zahlungsdienstleistern und ihren ICT-Drittanbietern. Deutschland gehört zu den Ländern, in denen die Auswirkungen besonders deutlich spürbar sind, weil das bestehende Gefüge aus BAIT, VAIT, ZAIT und KAIT massiv umstrukturiert wurde und zahlreiche Institute ihre Prozesse in kurzer Zeit neu aufstellen müssen. Die Frage steht also im Raum: Ist Deutschland vorbereitet oder droht ein regulatorisches Durcheinander?
Bedeutung von DORA für den deutschen Finanzsektor
DORA verfolgt ein klares Ziel: Die digitale Belastbarkeit des Finanzsektors soll europaweit auf ein neues Niveau gehoben werden. Die Verordnung definiert unter anderem Vorgaben für das ICT-Risikomanagement, die Meldung schwerwiegender IT-Vorfälle, Resilienztests und ein stark reguliertes Drittanbieter-Management. Eine gute Zusammenfassung liefert der Artikel zu DORA auf Wikipedia, der den rechtlichen Rahmen erläutert.
Deutschland war bereits zuvor streng reguliert: mit den BAIT, VAIT, ZAIT und KAIT existierten zahlreiche nationale IT-Regelwerke. Mit dem Inkrafttreten von DORA verlieren jedoch große Teile dieser nationalen Vorgaben ihre Wirkung, was nicht nur ein regulatorisches Erdbeben verursacht, sondern Unternehmen auch zwingt, innerhalb kurzer Zeit von bekannten Strukturen auf EU-einheitliche Anforderungen umzustellen. Einschätzungen dazu liefert der analytische Beitrag über DORA-Auswirkungen in Deutschland von Copla unter dem Stichwort DORA Deutschland.
Gesetzlicher Rahmen und aktueller Umsetzungsstand
Mit dem Finanzmarktdigitalisierungsgesetz (FinMaDiG) und den begleitenden BaFin-Leitlinien hat Deutschland die Weichen gestellt, um DORA organisatorisch und rechtlich zu verankern. Die BaFin veröffentlichte bereits im September 2024 verbindliche Orientierungspapiere, die Mindestanforderungen an Verträge mit ICT-Dienstleistern, Meldeprozesse und Governance-Mechanismen konkretisieren; diese sind auf der BaFin-Website zugänglich.
Ein großer Einschnitt war, dass BAIT, VAIT, ZAIT und KAIT für viele Institute seit 17. Januar 2025 außer Kraft gesetzt wurden. Das sorgt für Umbruchstimmung. Während die europäische Vorgabe einheitlich ist, unterscheiden sich die Ausgangslagen der Institute stark. Viele Unternehmen hatten ihre internen Prozesse jahrelang an die alten Regularien angepasst und müssen nun in kurzer Zeit neue Strukturen einführen.
Gleichzeitig ist die praktische Umsetzung innerhalb der Branche noch weit entfernt vom idealen Reifegrad. Zahlreiche Marktanalysen – unter anderem die Studie Impact of DORA on German life insurers von Milliman – zeigen, dass besonders die Anforderungen an das Monitoring und das Management von Drittanbietern in vielen Häusern noch nicht erfüllt sind. Auch komplexe Resilienztests wie Threat-Led Penetration Testing (TLPT) wurden vielfach noch nicht implementiert.
Herausforderungen, die deutsche Unternehmen aktuell bremsen
Die größten Schwierigkeiten ergeben sich weniger aus dem regulatorischen Text selbst, sondern aus der Geschwindigkeit der Umstellung.
Ein Kernproblem ist die Governance: DORA verlangt, dass die Geschäftsleitung persönlich Verantwortung für alle ICT-Risiken trägt. Viele Vorstände müssen sich erst an die neue Intensität und Detailtiefe gewöhnen, mit der IT-Risiken zukünftig bewertet und dokumentiert werden müssen.
Hinzu kommt das Drittanbieter-Management, das sich durch DORA massiv verändert hat. Unternehmen müssen erstmals ein umfassendes ICT-Dienstleisterverzeichnis führen, klare Exit-Strategien formulieren, neue Audit-Rechte verankern und einheitliche Vertragsklauseln anwenden. Die BaFin hat definierte Mindestvertragsinhalte veröffentlicht, die die Branche nun Stück für Stück in bestehende Verträge integrieren muss.
Auch die technischen Anforderungen sind hoch: Von Resilienztests über Incident-Reporting bis hin zu Netzwerk-Monitoring und automatisierten Reaktionsprozessen müssen viele Systeme modernisiert werden. Mittelgroße Finanzdienstleister geraten dabei besonders unter Druck, wie ein Fachbeitrag von Varghese Jackson zeigt.
Ein weiterer Stolperstein ist die fortlaufende Entwicklung der europäischen technischen Standards (RTS/ITS). Da nicht alle Details final vorliegen, müssen Unternehmen teilweise auf „lebende“ Dokumente aufbauen und Prozesse anpassen, während die Regeln sich noch konkretisieren.
Chancen, die sich aus der frühen DORA-Umsetzung ergeben
Trotz der Belastung bietet DORA in Deutschland auch eine strategische Chance. Unternehmen, die die neuen Vorgaben frühzeitig und strukturiert implementieren, profitieren in mehrfacher Hinsicht. Eine konsistente Umsetzung stärkt nicht nur die Betriebsstabilität, sondern gilt zunehmend als Vertrauenssignal für Kunden, Partner und Investoren.
Da Deutschland viele parallele nationale Regelwerke verabschiedet hat, kann DORA langfristig sogar eine Reduzierung des regulatorischen Flickenteppichs bedeuten. Für Unternehmen, die international agieren, ist die Harmonisierung zudem ein erheblicher Vorteil.
Einige Unternehmen nutzen bereits spezialisierte Lösungen wie Copla, um DORA-Verpflichtungen zentral zu überwachen, Vertragsbibliotheken aufzubauen und Risiken strukturiert zu managen. Für Organisationen mit mehreren Dienstleistern oder komplexen Lieferketten erleichtern solche Plattformen die operative Umsetzung erheblich.
Handlungsempfehlungen für deutsche Unternehmen
Obwohl die Zeit knapp ist, lässt sich ein Compliance-Chaos vermeiden, wenn Unternehmen gezielt Prioritäten setzen. Eine sofortige Gap-Analyse bildet den Ausgangspunkt, gefolgt von einer systematischen Überarbeitung der Governance-Strukturen. Das Drittanbieter-Verzeichnis und die Anpassung kritischer Verträge gehört zu den dringlichsten Aufgaben, ebenso wie die Einführung eines Melde- und Testsystems, das DORA-konform funktioniert.
Ohne ein stabiles internes Kontrollsystem und entsprechende Schulungsprogramme wird jedoch keine nachhaltige Compliance erreicht. Organisationen müssen deshalb nicht nur technische Anforderungen erfüllen, sondern auch eine neue Kultur der Risiko-Transparenz etablieren.
Fazit: Ist ein Compliance-Chaos wahrscheinlich?
Deutschland hat rechtzeitig rechtliche Grundlagen geschaffen, doch die operative Umsetzung hinkt in vielen Instituten hinterher. Vor allem kleinere und mittlere Unternehmen stehen vor erheblichen Herausforderungen. Ein flächendeckendes Chaos muss dennoch nicht eintreten – vorausgesetzt, Organisationen handeln jetzt entschlossen und entwickeln einen klaren Umsetzungsfahrplan.
Vieles spricht dafür, dass DORA langfristig zu mehr Sicherheit, Stabilität und Vertrauen im Finanzökosystem führt. Kurzfristig jedoch bleibt die Verordnung ein Kraftakt, der Unternehmen organisatorisch, technisch und strategisch fordert. Wer sich der Aufgabe früh stellt und Lösungen nutzt, die Compliance-Arbeit vereinfachen – etwa Plattformen wie Copla –, kann die Umstellung meistern und gleichzeitig Wettbewerbsvorteile sichern.
