DORA Recap 2025: Wie die BaFin DORA prüft

Die DORA ist seit dem 17. Januar 2025 verbindlich. Seitens der BaFin werden die Institute durch Workshops, Q&A und Umsetzungshilfen unterstützt. Die Aufsicht setzt einen klaren Fokus auf Zusammenarbeit und Unterstützung. Nikolas Speer, BaFin-Exekutivdirektor Bankenaufsicht, spricht von Operationeller Resilienz als Gemeinschaftsaufgabe.

Nach einem knappen Jahr DORA sieht die Aufsicht das Drittparteienrisikomanagement und das Vorfallmeldewesen für eine resiliente IT-Landschaft als aktuelle Schwerpunkte, bei denen die Institute noch Nachholbedarf haben – und aus unserer Praxis können wir das bestätigen.

Die Aufsicht registrierte über 600 schwerwiegende IKT-Vorfälle seit Januar 2025. Dies deckt sich mit der diesjährigen BSI-Lageeinschätzung. Deutschland ist eines der Top-Ziele für Cyberkriminalität, die IT-Sicherheitslage bleibt auf angespanntem Niveau. Der Schaden belief sich auf über 200 Milliarden Euro. 

Weiterhin besteht eine hohe Konzentration auf wenige kritische Auslagerungsdienstleister (CTPPs), insbesondere für Cloud-Dienste und Software. Die Top 10 CTPPs halten über 85 % der Verträge. Auch wenn die Leistungserbringung meist in der EU vereinbart wird, stammen drei Viertel der CTPPs aus Drittstaaten, vorwiegend den USA. Neben den systemischen Risiken (u. a. Common Cause Failure (CCFs), Ersetzbarkeit/Re‑Implementierbarkeit) kommt so die erhöhte Unsicherheit aufgrund aktueller Unwägbarkeiten der geopolitischen Lage (u. a. Datensicherheitsrisiko). Erschwerend kommt eine überwiegende Vernetzung und auch Abhängigkeit der europaweit 19 CTPPs untereinander hinzu.

Im Meldewesen registriert die Aufsicht ein sehr hohes Meldeaufkommen (höher als unter PSD2), bei hohem Anteil von Duplikaten und Reklassifizierungen. Es besteht ein Bedarf an praktischer Hilfestellung, um sowohl den Meldeaufwand zu mindern als auch mehr Ressourcen in die frühzeitige Vorfallerkennung zu lenken. Über die Hälfte der Cyberincidents werden taggleich registriert, aber fast ein Drittel erst circa 14 Tage nach dem Vorkommnis. Externe Ereignisse (insbesondere durch Ausfälle bei Dritten) und Systemstörungen sind mit Abstand die am häufigsten gemeldeten Incidents. Auffällig war im ersten Jahr eine hohe Disproportionalität von Anzahl und betroffenen Transaktionsvolumina: 95 % des Volumens wurden durch unter 10 % der Vorfälle hervorgerufen.

Wir begleiten Finanzinstitute seit Stunde 0 in DORA-Fragen. Eine erste Zwischenbilanz nach einem Jahr DORA.
Operationelle Resilienz wird explizit als Gemeinschaftsaufgabe verstanden. Damit ist die Verantwortung über IT, Fachbereiche, Risikomanagement und Vorstand hinweg verteilt und bedarf einer klaren Regelung. Gleichzeitig zeigen erste Zahlen, wie real die Bedrohungslage ist: Mehrere hundert schwerwiegende IKT-Vorfälle, eine hohe Abhängigkeit von kritischen Drittanbietern und ein deutlich erhöhtes Meldeaufkommen im Incident-Reporting.

Eine zentrale Erkenntnis aus unserer Praxis ist, dass DORA-Prüfungen keine IT-Prüfungen sind. Vielmehr sind DORA-Prüfungen Governance- und Steuerungsprüfungen.

Geprüft wird nicht primär, ob Tools implementiert sind, Richtlinien existieren und Prozesse beschrieben wurden, sondern vielmehr, wer Verantwortung trägt. Wie werden Entscheidungen vorbereitet und getroffen, ob Steuerung auch unter Stress funktioniert, und ob eine operationelle Leistungsbeeinträchtigung die finanzielle Leistungsfähigkeit und Resilienz mindert?

Governance ist keine Strukturfrage, sondern eine Steuerungsfrage. In den bisherigen DORA-Prüfungen zeigt sich sehr deutlich: Governance wird von der Aufsicht nicht als formale Aufbauorganisation verstanden. Organigramme, Gremienlisten oder Richtlinienverweise reichen nicht aus. Geprüft wird vielmehr, ob Governance in der Lage ist, Risiken wirksam zu steuern. DORA adressiert damit einen wunden Punkt vieler Institute. Wir sehen in vielen Häusern: Governance ist häufig beschrieben, aber nicht entscheidungsfähig. Gremien existieren, aber ohne klaren Entscheidungsauftrag. Rollen sind definiert, aber Verantwortlichkeiten enden an Bereichsgrenzen. Eskalationswege sind dokumentiert, aber in der Praxis nicht eingeübt.

Die Aufsicht bewertet Governance zunehmend entlang der Frage: Wer entscheidet was, wann und auf welcher Grundlage?

Ein zentrales Governance-Thema in DORA-Prüfungen ist die klare Funktionstrennung zwischen First und Second Line. Gerade im IKT-Umfeld zeigt sich hier eine strukturelle Überforderung vieler Häuser. Wiederkehrende Feststellungen sind unter anderem:

• Informationssicherheitsfunktionen übernehmen operative Aufgaben (z. B. SOC-Tätigkeiten).
• Kontrollfunktionen sind faktisch in operative Linien eingebettet.
• Abgrenzungen zwischen IKT-Risikomanagement, IT-Compliance und Informationssicherheit sind unklar.

Aus aufsichtlicher Sicht ist das kein formales Problem, sondern ein systemisches Risiko. Wo Kontrolle und Ausführung verschwimmen, leidet die Objektivität. Ein Risiko, welches insbesondere im Krisenfall zur Gefährdung eines Hauses führen kann. DORA verlangt daher nicht zwingend neue Organisationseinheiten, aber eine klar nachvollziehbare Rollenlogik, die auch unter Belastung Bestand hat.

Ein weiterer Schwerpunkt der Prüfungspraxis liegt auf der Rolle des Vorstands. DORA macht unmissverständlich klar: Operative Resilienz ist nicht delegierbar. In Prüfungen wird zunehmend hinterfragt: 

• Wie regelmäßig und strukturiert wird über IKT-Risiken berichtet?
• Sind Berichte entscheidungsorientiert oder rein informativ?
• Trifft der Vorstand nachweislich Risikoentscheidungen oder nimmt er Berichte lediglich zur Kenntnis?

Institute, in denen der Vorstand nur „adressiert“, aber nicht aktiv steuert, geraten hier schnell in Erklärungsnot. Die Aufsicht erwartet keine technische Detailtiefe, aber klare Priorisierungs-, Risikoakzeptanz- und Eskalationsentscheidungen auf Leitungsebene.

Die zweite große Sollbruchstelle in der DORA-Umsetzung ist die fehlende End-to-End-Verantwortung entlang der IKT-Wertschöpfungskette. Viele Institute haben eine gewachsene und gut etablierte Aufbau- und Ablauforganisation. Genau hier zeigt sich das Problem. Prozesse werden von der IT verantwortet, Risiken vom Risikomanagement bewertet, Kontrollen von Compliance überwacht, Auslagerungen separat gesteuert, Incidents im Betrieb behandelt. Was fehlt, ist eine durchgängige Steuerungsperspektive, die diese Elemente zusammenführt. DORA fordert jedoch explizit eine integrierte Sicht auf Prozesse, Systeme, Daten, Risiken und Drittparteien. Ohne diese Integration entstehen blinde Flecken. Gerade an den Schnittstellen, wo Zuständigkeiten unklar sind, gehen Informationen verloren und Risiken werden nicht stringent gemanagt.

Ein anschauliches Beispiel für die Herausforderungen bei der End-to-End-Verantwortung ist das IKT-Risikoinventar. In vielen Instituten ist es fachlich sauber aufgebaut und granular gepflegt. Dennoch äußern die Prüfer regelmäßig Kritik. Typische Schwächen, die wir in unseren Projekten sehen, sind fehlende Aggregation auf Steuerungsebene, unklare Beschreibung von Restrisiken, Maßnahmen ohne klare Wirksamkeitsbewertung sowie ein fehlender Bezug zu kritischen Funktionen. Die Kernfrage der Prüfer lautet nicht: „Haben Sie alle Risiken erfasst?“, sondern:
„Wie nutzen Sie dieses Inventar für Steuerungsentscheidungen?“ End-to-End-Verantwortung bedeutet hier, Risiken nicht nur zu dokumentieren, sondern aktiv in Entscheidungsprozesse einzubinden.

Auch bei kritischen oder wichtigen Funktionen zeigt sich das End-to-End-Problem besonders deutlich. Viele Institute haben diese Funktionen identifiziert, aber nicht in ihre Steuerungslogik integriert. In Prüfungen wird daher hinterfragt:

• Wie leiten sich Schutzbedarf, Testtiefe und Wiederanlaufziele aus der Kritikalität ab?
• Wie werden Zielkonflikte zwischen mehreren kritischen Funktionen gelöst?
• Wer entscheidet bei Ressourcenknappheit?

Solange kritische Funktionen lediglich als Inventar geführt werden, entfalten sie keine steuernde Wirkung. Erst wenn sie in Risikoentscheidungen, Testszenarien und Priorisierungen eingebettet sind, erfüllen sie ihren Zweck im Sinne der DORA.

Ein besonders sensibler Punkt ist die Risikoakzeptanz. In vielen Häusern existieren implizite Akzeptanzen. Eine klare Regelung und gelebte Praxis, wie Risiken explizit akzeptiert werden und wie dies in dokumentierten Entscheidungen festgehalten ist, sehen wir jedoch selten. Die Aufsicht erwartet zunehmend nachvollziehbare Risikoabwägungen, dokumentierte Akzeptanzen, klare Verantwortliche für die Lösung des Defizits sowie zeitliche Befristungen und Maßnahmenpläne. End-to-End-Verantwortung liegt nicht darin, Risiken vollständig zu vermeiden, sondern darin, bewusst und transparent mit ihnen umzugehen.

Das Themenfeld mit sicherlich den höchsten Aufwänden und dem stärksten Fokus der Aufsicht ist das Drittparteienrisikomanagement. Die Gründe sind aus Sicht von PPI die hohe Marktkonzentration, Cloud-Abhängigkeiten und geopolitische Unsicherheiten. Geprüft wird dabei nicht die Vertragsverwaltung, sondern die tatsächliche Steuerungsfähigkeit. Die Fragen der Prüfer zielen darauf ab, ob es belastbare Exit- und Wiedereingliederungsstrategien gibt, zwischen geplantem und ungeplantem Exit unterschieden wird und ob Alternativen realistisch bewertet und getestet wurden. Besonders kritisch werden fehlende Tests von Exit-Szenarien und rein theoretische Ausweichoptionen sowie eine mangelnde Kontrolle der Drittparteiendienstleister inkl. deren Subunternehmer gesehen, da die finale Verantwortung auch für die Subunternehmer der Drittparteiendienstleister bei den Finanzinstituten verbleibt.

Das erste Jahr unter DORA ist geprägt von einem sehr hohen Incident-Meldeaufkommen, höher als unter früheren Regimen wie PSD2. In unserer Praxis haben wir unter anderem verspätete Meldungen, nachgereichte Reklassifizierungen sowie unklare Schwellenwertlogiken zur Einordnung von Incidents unterhalb der Schwelle des Major Incidents beobachtet. Besonders kritisch ist, dass ein erheblicher Teil der Vorfälle nicht zeitnah erkannt wird. Incident-Management wird damit zum Spiegelbild der organisatorischen Reife. Institute mit klaren Klassifikationen, Eskalationswegen und Entscheidungsstrukturen erkennen früher, melden konsistenter und lernen schneller.

Ein Satz, den wir in einem unserer Projekte zur Prüfungsbegleitung gehört haben, war: „Wenn wir die Prüfung bestehen, ist das der Nachweis für unsere Resilienz.“ Aus unserer Sicht ein gefährlicher Trugschluss.

Zwar existieren in vielen Häusern Notfallpläne, Testszenarien und Wiederanlaufkonzepte. Gemäß BaFin-Feststellung werden jedoch bspw. Detektionsszenarien nicht systematisch entwickelt und getestet. Notfall- und Wiederherstellungspläne sind lückenhaft, veraltet oder schlichtweg nicht getestet. Auch unsere Erfahrungen zeigen, dass häufig realistische Szenarien, konsistente RTO/RPO-Logiken, nachvollziehbare Risikoakzeptanzen sowie ein integriertes Zusammenspiel von IT, BCM und Fachbereichen fehlen. Die Erwartung ist hier, dass die internen Leitlinien und Weisungen aktiv gelebt werden und tatsächliche Konsequenzen aus Tests gezogen werden sowie Maßnahmen zu Verbesserungen von Prozessen auch nachverfolgt werden.

Aus den bisherigen Erfahrungen lassen sich klare Erfolgsfaktoren ableiten:

• Governance vor Technik – klare Rollen, klare Entscheidungen, klare Eskalation.
• End-to-End-Steuerung statt Silos – Risiken entlang der Wertschöpfungskette steuern, nicht entlang von Organisationseinheiten.
• Strategische Steuerung kritischer Drittparteien – weniger Verwaltung, mehr echte Entscheidungsoptionen.
• Schwachstellenmanagement höherer Automatisierungsgrad, weniger Medienbrüche.
• Tests als Lerninstrument – Fokus auf aus Tests abgeleitete Maßnahmen.
• Aktive Vorstandseinbindung – Führungsaufgabe operationelle Resilienz.

Wir gehen für 2026 nicht von einem signifikanten Rückgang der Bedrohungslage aus – ganz im Gegenteil. Im Interesse der Institute müssen die Erfordernisse der DORA stringent in die Geschäftsroutinen integriert werden, sonst drohen über die lange Distanz Reibungsverluste und damit eine Schwächung der operationellen Resilienz. Im besten Sinne wird operationelle Resilienz im Jahr 2026 zur bereits zitierten Gemeinschaftsaufgabe.

Leitmaßstab sollte ein Pareto-Prinzip sein: regulatorische Anforderungen erfüllen ohne überzogene systemtechnische Investitionen („maximal-security concept“). Zwingend notwendig dafür ist eine fundierte Kenntnis und Berücksichtigung der Sicherheitsbedarfe des eigenen Instituts.

Institute, die DORA konsequent in ihre Governance und Prozesse integriert haben, profitieren durch stabile Compliance und geringere Prüfungsrisiken respektive optimale Ressourcenallokation in kommenden Prüfungen.

Entscheidender für die Organisation und Wirtschaftlichkeit des Instituts sind jedoch die Effizienzgewinne durch klare Strukturen und automatisierte Prozesse sowie der Vertrauensvorsprung bei Kunden und Investoren durch nachweisbare operative, digitale und letztlich finanzielle Resilienz.

DORA ist weniger ein IT-Regelwerk als ein Transformationsimpuls für IKT-Führung, Verantwortung und Steuerung und sichert bei bewusster Anwendung die Kronjuwelen eines Instituts.