31.07.2025

DORA ist live – und nun?

Der 17. Januar 2025 markiert einen Wendepunkt für die Finanz- und Versicherungsbranche: Mit dem Inkrafttreten der Digital Operational Resilience Act (DORA) hat die EU einen neuen Meilenstein gesetzt. Was über Jahre hinweg in der BAIT, VAIT, KAIT, ZAIT und anderen nationalen Regelwerken vorbereitet wurde, ist nun auf europäischer Ebene verankert – und bringt Klarheit, aber auch Konsequenz.

Was bedeutet das für die bisherigen Regelwerke?

Viele Institute haben ihre IT- und Sicherheitsorganisation bislang stark an den Anforderungen der BAIT ausgerichtet. Doch eines ist klar: DORA überholt und ersetzt sukzessive einzelne nationale Anforderungen. Bestimmte Vorgaben der BAIT gelten künftig nicht mehr oder laufen schrittweise aus. An ihre Stelle treten die europaweit einheitlichen Standards, die ein noch höheres Maß an operationaler Resilienz und Meldepflichten einfordern. Wer jetzt noch rein national denkt, wird in den kommenden Monaten ins Hintertreffen geraten.

Die neue Realität: Audits stehen vor der Tür

Was viele unterschätzen: Die ersten Audits durch Aufsichtsbehörden sind nicht mehr weit entfernt. Die Prüfer werden dabei nicht nur auf Policies und Prozesse blicken, sondern deren gelebte Umsetzung überprüfen. Es geht um Resilienz in der Praxis – also um Nachweise, Tests, Reaktionsfähigkeit und vor allem um eine konsequente Steuerung von Drittparteien und (kritischen) IKT-Dienstleistern.

Was ist jetzt zu tun?

Für Institute bedeutet das:

Gap-Analysen durchführen: Wo werden die neuen DORA-Anforderungen bereits abgedeckt, wo gibt es (noch) Lücken?
Governance neu ausrichten: Rollen, Verantwortlichkeiten und Berichtswege müssen europäisch gedacht werden und miteinander korrespondieren.
Technische Resilienz sicherstellen: Krisenübungen, Penetrationstests und die kontinuierliche Überwachung werden zur Routine.
Dokumentation und Nachweise vorbereiten: Wer sauber dokumentiert und evidenzbasiert arbeitet, reduziert Risiken bei Audits erheblich.

Bewährtes bewahren – Neues annehmen

So wie es in unserer Branche Tradition ist, gilt es nun, die bewährten Strukturen und Prozesse nicht über Bord zu werfen, sondern sie weiterzuentwickeln und an die neuen europäischen Anforderungen anzupassen. Die Vergangenheit zeigt: Wer sich frühzeitig auf Veränderungen einstellt, gewinnt nicht nur Sicherheit, sondern auch Vertrauen bei Kunden, Partnern und Aufsicht.

DORA ist kein einmaliges Projekt. Es ist ein langfristiger Weg hin zu mehr Stabilität, und genau dieser Weg sollte jetzt mit Entschlossenheit beschritten werden.

WG-DATA unterstützt dabei die Institute wie bereits in der Vergangenheit in allen relevanten Belangen, insbesondere bei der Informationssicherheit beim Notfallmanagement sowie bei der Vertrags- und Dienstleistersteuerung, als auch beim Auslagerungs- und IKT-Drittdienstleistermanagement und bietet Support bei der Vorbereitung, Durchführung und Nachbereitung der bevorstehenden Audits.

Success Story

Erfolgreiche Umsetzung DORA

FAQs ▼

Was ist DORA und seit wann gilt es in der EU?

DORA (Digital Operational Resilience Act) ist eine EU-Verordnung zur Gewährleistung digitaler operationeller Resilienz im Finanz- und Versicherungswesen. Sie gilt seit dem 17. Januar 2025.

Wie verändert DORA bestehende nationale Regulierungen wie BAIT, VAIT, KAIT oder ZAIT?

DORA ersetzt und überholt sukzessive nationale Regelwerke wie BAIT, VAIT, KAIT oder ZAIT. Einige Vorschriften dieser Vorschriften gelten künftig nicht mehr oder laufen aus, da europaweit einheitliche Anforderungen an operationelle Resilienz, Meldepflichten und Dienste von Drittparteien eingeführt werden.

Welche neuen Anforderungen bringt DORA insbesondere für Finanzinstitute mit sich?

Was bedeutet „Audits durch Aufsichtsbehörden“ unter DORA und worauf wird geprüft?

Audits prüfen nicht nur Policies und Prozesse, sondern auch deren tatsächliche Umsetzung in der Praxis. Bewertet werden Resilienztests, Reaktionsfähigkeit, die Steuerung von Drittparteien sowie kritischen IKT-Dienstleistern. Es geht um konkrete Nachweise, Dokumentation und gelebte Prozesse.

Wie unterstützt die WG-DATA Institute bei DORA?

WG-DATA bietet Unterstützung in Informationssicherheit, Notfallmanagement, beim Management von Verträgen, Auslagerungen und IKT-Dritten. Darüber hinaus begleitet sie Institute bei der Vorbereitung, Durchführung und Nachbereitung von Audits.

Welche Vorteile bietet eine frühzeitige Umsetzung der DORA-Anforderungen für Institute?

Wer sich früh vorbereitet, gewinnt Sicherheit, Vertrauen bei Kunden und Aufsichtsbehörden. Zudem lassen sich Audits erfolgreicher bestehen, Risiken durch fehlende Nachweise reduzieren und Wettbewerbsvorteile durch Zuverlässigkeit und Compliance erzielen.

Warum ist technische Resilienz essenziell bei DORA und welche Instrumente sind dafür erforderlich?

Technische Resilienz sichert die Fähigkeit eines Instituts, bei Störungen oder Angriffen funktionsfähig zu bleiben. DORA verlangt regelmäßige Penetrationstests, Krisenübungen (z. B. Szenarien), kontinuierliche Überwachung und starke Steuerung externer Dienstleister.

Wie können Institute eine Gap-Analyse im Kontext von DORA richtig durchführen?

Die Gap-Analyse vergleicht den aktuellen Stand der IT-Sicherheit, Governance und Resilienz mit den Anforderungen der DORA. Dabei identifiziert man Lücken in Prozessen, Verantwortlichkeiten, externen Dienstleistermanagement und technischen Kontrollen, und legt Prioritäten fest für die Schließung dieser Lücken.