DORA ist seit Januar 2025 in Kraft und löst die BAIT als maßgeblichen Rahmen für das Management und die Minderung von IKT-Risiken ab. Damit gelten erstmals EU-weit einheitliche Vorgaben für Banken, Versicherungen, Zahlungsdienstleister und weitere Finanzmarktteilnehmer. Ziel von DORA ist es, die bislang zersplitterten nationalen Regelwerke zu konsolidieren und die Befugnisse der Aufsichtsbehörden zu harmonisieren.

Zum 17. Januar 2025 endete die zweijährige Umsetzungsfrist, innerhalb derer die Institute ihre IT-Organisation, Prozesse und Systeme an die neuen Anforderungen anpassen mussten. Zwar haben die meisten Institute DORA inzwischen formal eingeführt, doch die durchgängige Operationalisierung der Anforderungen in den laufenden Geschäfts- und IT-Prozessen bleibt weiterhin eine zentrale Herausforderung.

• Stärkung der Resilienz von Systemen und Prozessen in der Finanzbranche
• gleiche Regelungen für Unternehmen mit gleichen Tätigkeiten und gleichem Risiko
• einheitliche Verantwortung und identische Befugnisse für Regulierungsbehörden in der EU

Die jeweils beaufsichtigten Unternehmen sowie deren Dienstleister unterliegen einheitlichen Regelungen.

DORA besteht aus neun Kapiteln, von denen das erste den Anwendungsbereich und verwendete Begrifflichkeiten definiert, das sechste zum Informationsaustausch zwischen den Unternehmen anregt und die Kapitel sieben bis neun primär die formaljuristische Umsetzung regeln. Operativ relevant sind dementsprechend vor allem die Kapitel zwei bis fünf:

• Kapitel II: IKT-Risikomanagement
  Kernanforderung: Implementierung von Schlüsselprinzipien und Anforderungen an den Rahmen des IKT-Risikomanagements
• Kapitel III: Vorfallmeldungen
  Kernanforderung: Harmonisierung und Straffung der Berichterstattung sowie Ausweitung der Berichtspflichten auf alle Finanzunternehmen
• Kapitel IV: Testen der digitalen operationellen Resilienz
  Kernanforderung: Durchführung von bedrohungsorientierten Tests
• Kapitel V: Management des IKT-Drittparteienrisikos
  Kernanforderung: Regeln für die Überwachung des Risikos von Auslagerungen und Definition des Aufsichtsrahmens für kritische IKT-Provider

Zur Operationalisierung von DORA dienen die Level-2-Standards (RTS und ITS) als verbindliche Konkretisierung und Umsetzungshilfe für die in der DORA-Verordnung (Level 1) festgelegten prinzipienbasierten Anforderungen. Die sogenannten RTS (Regulatory Technical Standards) beschreiben die konkrete technische Ausgestaltung der DORA-Vorgaben mit rechtlich verbindlichem Charakter. Sie ergänzen spezifische Artikel der Level-1-Texte und definieren detaillierte technische Anforderungen für die praktische Umsetzung in Finanzinstituten. Die ITS (Implementing Technical Standards) enthalten praktische Implementierungsvorgaben, die die operative Umsetzung von Prozessen und Meldeverfahren regeln. Diese Standards sind ebenfalls verbindlich und stellen einheitliche Verfahren und Vorlagen für die gesamte EU sicher.

Damit verschiebt sich der Fokus für Institute von der abstrakten Regulatorik hin zur konkreten Umsetzung im Haus: Aus Prinzipien müssen belastbare Prozesse, Rollenmodelle, Kontrollmechanismen und Nachweise werden – und zwar unter hohem Zeitdruck und häufig auf Basis noch nicht finaler Auslegungen.

Die Operationalisierung von DORA fühlt sich für viele Institute wie ein Puzzle unter Zeitdruck an: Rollen zwischen First und Second Line im IKT-Risikomanagement sind oft unklar, die Transparenz über Assets, Identitäten, Zugriffe und Risiken ist lückenhaft, und das Bewusstsein für regulatorische Anforderungen in Fachbereichen und IT ist begrenzt. Gleichzeitig binden manuelle IKS-Kontrollen wertvolle Ressourcen, während DORA- und NIS‑2-relevante Prozesse noch nicht durchgängig auditfähig sind.

Wir unterstützen Sie mit klar abgegrenzten, flexibel kombinierbaren Leistungsbausteinen:

• Reifegradanalysen und Gap-Assessments zur präzisen Standortbestimmung
• Gezielte Weiterentwicklung des Risikomanagements in First und Second Line mit klaren Rollen und Kommunikationswegen
• Review und Vereinheitlichung Ihrer Richtlinien von der Strategie bis zur operativen Umsetzung
• Automatisierung Ihrer IKS-Kontrollen auf Basis unseres Trichtermodells

Ergänzend bieten wir praxisnahe Awareness-Trainings und Linienstützprogramme für Fachbereiche, IT, Entwickler und Führungskräfte – unter anderem über die PPI Academy – und begleiten Sie bei anstehenden Prüfungen von der Vorbereitung Ihrer Mitarbeitenden bis zur Kommunikation und Abstimmung mit Prüfern.
So wählen Sie die für Ihr Institut relevanten Schritte aus und kombinieren sie zu einem passgenauen DORA- und NIS‑2-Umsetzungspfad.

Darüber hinaus profitieren Sie von unserem klaren Branchenfokus auf Finanzdienstleister: Wir kennen die Themen und bringen ein tiefes Verständnis der Regulierung in Ihre Projekte ein. Unsere starke Praxisorientierung stellt sicher, dass wir Sie von der Konzeption bis zum Prüfungsgespräch begleiten. Wir machen Ihr Team stark – mit Trainings für Anwendungsverantwortliche, Entwickler, Führungskräfte und das Top-Management. Ergänzt wird dies durch unsere Partnerschaft mit cysmo® für technische Tiefe im Bereich Cyber Risk.

Weitere Details können Sie in unserem Expert Summary zum Digital Operational Resilience Act nachlesen.

Download Expert Summary