Rückblick: DORAs erster Geburtstag

Am 17. Januar 2026 feierte der Digital Operational Resilience Act (DORA) seinen ersten Geburtstag. Mit seinem Inkrafttreten hat die EU 2025 einen bedeutenden Meilenstein gesetzt: erstmals gelten europaweit einheitliche Vorgaben für die digitale Resilienz der Finanzbranche.
Was zuvor in BAIT, VAIT, KAIT und ZAIT vorbereitet wurde, ist nun verbindliche Realität – und bringt sowohl Klarheit als auch Konsequenz.

Ein Jahr später lohnt sich der Blick zurück. Viele Institute haben DORA fest in ihre Organisation und ihr Denken integriert. Projektstrukturen wurden aufgebaut, Roadmaps etabliert, Dienstleisterverträge angepasst und Informationsregister erstellt. IKT-Risiken werden zunehmend systematisch betrachtet, und Vorstände, Revision sowie Fachbereiche sind aktiv eingebunden. Kurz gesagt: DORA ist angekommen – insbesondere in Sparkassen und Genossenschaftsbanken war der Umsetzungswille deutlich spürbar.

Doch wie so oft zeigt sich erst nach der Feier, welche Aufgaben geblieben sind und wo Handlungsbedarf besteht.

IKT-Risiken: Gut gestartet, aber noch ausbaufähig

Prüfungen der vergangenen Monate zeigen: Die Grundlagen sind vorhanden, doch die Tiefe fehlt:

• Risikoanalysen liegen vor, sind aber häufig zu allgemein formuliert.
• Es gibt Lücken in der Transparenz über Abhängigkeiten zwischen Anwendungen, Dienstleistern und Prozessen.
• Risikoakzeptanzen sind nicht immer sauber dokumentiert oder nachvollziehbar hergeleitet.

Ein weiteres Dauerthema in Sparkassen und Genobanken: Auslagerungen und Verträge. Zwar wurden viele Anforderungen von DORA berücksichtigt, doch die Umsetzung ist nicht durchgängig. Exit-Szenarien existieren häufig nur auf dem Papier, und die Bewertung von Kritikalitäten variiert je nach Bereich oder Historie.
Mit NIS2 steht zudem ein weiterer Gast im Raum, der kritisch auf die Resilienz der Dienstleister blickt und fragt „Wie resilient sind eure kritischen Dienstleister wirklich?“

Resilienztests – durchgeführt, aber noch zu brav

Eine positive Nachricht: Test wurden durchgeführt.

Allerdings zeigt sich, dass sie häufig zu technisch, zu wenig realitätsnah und selten institutsweit gedacht sind. Prüfende Stellen formulieren es zurückhaltend: Tests sollten stärker an plausiblen und praxisnahen Stressszenarien ausgerichtet werden.

Governance – klare Zuständigkeiten fehlen

Besonders in größeren Häusern wird eines deutlich: Verantwortlichkeiten sind zwar benannt, aber nicht immer ausreichend voneinander abgegrenzt. IT, BCMB, ISB und Auslagerungsmanagement arbeiten oft nebeneinander statt miteinander. Im Krisenfall bleiben Entscheidungswege teilweise unklar. Die Empfehlung lautet klar: Zuständigkeiten präzisieren und Governance-Strukturen schärfen.

NIS2 – der stille Beobachter

NIS2 stand nicht im Mittelpunkt der „Geburtstagsparty“, war jedoch stets präsent.
Sie richtet den Blick auf Rechenzentren, Energieversorger, zentrale IKT-Dienstleister und ausgelagerte Kernservices. Spätestens nach der Feier ist klar: Auch wenn NIS2 formal viele Dienstleister adressiert, treffen die Auswirkungen auch die Institute – organisatorisch wie operativ.

Nach dem Geburtstag beginnt der Alltag

Der 17. Januar markierte einen Meilenstein, aber keinesfalls das Ziel. Zurück bleiben offene Prüfungsfeststellungen, Optimierungsbedarf in Prozessen und Verträgen sowie die Herausforderung, DORA und NIS2 sinnvoll miteinander zu verzahnen. Die Feier ist vorbei und jetzt beginnt der Alltag.

Unser Fazit nach DORAs erster Feier

Ein Jahr nach Inkrafttreten ist DORA längst kein neues Thema mehr, aber auch noch nicht vollständig umgesetzt. Institute, die die offenen Punkte zügig angehen, sind für die künftigen Prüfungen vorbereitet. Sie haben noch Aufgaben offen? Wir sind Ihr Partner für die effiziente und praxisgerechte Abarbeitung.  
Dafür gleichen wir die schriftlich fixierte Ordnung mit der aktuellen Regulatorik ab und prüfen, ob die Umsetzung in der Praxis tatsächlich trägt. Unsere Arbeitsweise: pragmatisch, prüfungsfest und mit langjähriger Verbunderfahrung.

Unsere Unterstützung für Sparkassen und Genossenschaftsbanken

Wir begleiten Ihr Institut bei:

• der gezielten Weiterentwicklung des IKT-Risikomanagements
• der strukturierten Abarbeitung von Prüfungsfeststellungen
• der Erstellung DORA‑konformer Auslagerungs- und Exit‑Konzepte
• der Entwicklung realistischer Resilienz- und Krisenszenarien
• der Einordnung relevanter NIS2‑Anforderungen
• Sparring für Vorstand, Revision und Fachbereiche

Eine Einladung an die Vorstände

Die nächste „Geburtstagsparty“ kommt und mit ihr noch konkretere Prüfungsfragen, ein schärferer Blick auf Dienstleister und weniger Geduld für Übergangslösungen.
Lassen Sie uns gemeinsam aufräumen, damit Ihr Haus bestens vorbereitet ist.

Nehmen Sie direkt Kontakt auf:

Sprechen Sie uns für die erfolgreiche DORA-Umsetzung an:

---

FAQs ▼

Was ist DORA und seit wann gilt es in der EU?

DORA (Digital Operational Resilience Act) ist eine EU-Verordnung zur Gewährleistung digitaler operationeller Resilienz im Finanz- und Versicherungswesen. Sie gilt seit dem 17. Januar 2025.

Wie verändert DORA bestehende nationale Regulierungen wie BAIT, VAIT, KAIT oder ZAIT?

DORA ersetzt und überholt sukzessive nationale Regelwerke wie BAIT, VAIT, KAIT oder ZAIT. Einige Vorschriften dieser Vorschriften gelten künftig nicht mehr oder laufen aus, da europaweit einheitliche Anforderungen an operationelle Resilienz, Meldepflichten und Dienste von Drittparteien eingeführt werden.

Welche neuen Anforderungen bringt DORA insbesondere für Finanzinstitute mit sich?

Welche neuen Anforderungen bringt DORA insbesondere für Finanzinstitute mit sich?

Was bedeutet „Audits durch Aufsichtsbehörden“ unter DORA und worauf wird geprüft?

Audits prüfen nicht nur Policies und Prozesse, sondern auch deren tatsächliche Umsetzung in der Praxis. Bewertet werden Resilienztests, Reaktionsfähigkeit, die Steuerung von Drittparteien sowie kritischen IKT-Dienstleistern. Es geht um konkrete Nachweise, Dokumentation und gelebte Prozesse.

Wie unterstützt die WG-DATA Institute bei DORA?

WG-DATA bietet Unterstützung in Informationssicherheit, Notfallmanagement, beim Management von Verträgen, Auslagerungen und IKT-Dritten. Darüber hinaus begleitet sie Institute bei der Vorbereitung, Durchführung und Nachbereitung von Audits.

Welche Vorteile bietet eine frühzeitige Umsetzung der DORA-Anforderungen für Institute?

Wer sich früh vorbereitet, gewinnt Sicherheit, Vertrauen bei Kunden und Aufsichtsbehörden. Zudem lassen sich Audits erfolgreicher bestehen, Risiken durch fehlende Nachweise reduzieren und Wettbewerbsvorteile durch Zuverlässigkeit und Compliance erzielen.

Warum ist technische Resilienz essenziell bei DORA und welche Instrumente sind dafür erforderlich?

Technische Resilienz sichert die Fähigkeit eines Instituts, bei Störungen oder Angriffen funktionsfähig zu bleiben. DORA verlangt regelmäßige Penetrationstests, Krisenübungen (z. B. Szenarien), kontinuierliche Überwachung und starke Steuerung externer Dienstleister.

Wie können Institute eine Gap-Analyse im Kontext von DORA richtig durchführen?

Die Gap-Analyse vergleicht den aktuellen Stand der IT-Sicherheit, Governance und Resilienz mit den Anforderungen der DORA. Dabei identifiziert man Lücken in Prozessen, Verantwortlichkeiten, externen Dienstleistermanagement und technischen Kontrollen, und legt Prioritäten fest für die Schließung dieser Lücken.