DORA & BaFin-Prüfungen: Wie Sie jetzt den Resilienz-Vorsprung sichern und Audits bestehen

DORA & BaFin-Prüfungen: Wie Sie jetzt den Resilienz-Vorsprung sichern und Audits bestehen

Avatar of Phil Marxhausen
Phil Marxhausen
30. Juni 2025
9 min Lesezeit
Informationssicherheit

Executive Summary: Was Sie als Führungskraft jetzt wissen müssen

Die Schonfrist ist vorbei: Die BaFin hat operationelle Resilienz in Ihren aktuell veröffentlichten „Strategischen Zielen 2026 bis 2029“ zu einem ihrer neuen strategischen Top-Ziele erklärt. Seit Januar 2025 wird die Umsetzung von DORA aktiv und risikoorientiert geprüft – reine Papiertiger-Konzepte reichen nicht.

Fokus auf kritische Dienstleister: Die Prüfung erstreckt sich intensiv auf das Management von IKT-Drittparteien. Fehlende Exit-Strategien oder unzureichende Vertragsklauseln sind ein rotes Tuch für die Aufsicht und ein direktes Geschäftsrisiko.

Nachweisbarkeit ist alles: Es geht nicht mehr darum, ob Sie eine Policy haben, sondern ob Sie deren Wirksamkeit lückenlos belegen können – durch Testprotokolle, KPI-Reports an den Vorstand und gelebte Incident-Response-Prozesse.

Vom Kostenfaktor zum Wettbewerbsvorteil: Unternehmen, die DORA jetzt strategisch umsetzen, minimieren nicht nur Sanktionsrisiken, sondern bauen eine nachweisbar robustere Organisation, die das Vertrauen von Kunden und Investoren gewinnt.

Die neue Realität: BaFin steigert Zahl der Prüfungen signifikant

Die Botschaft der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) könnte klarer nicht sein. In ihren jüngsten strategischen Zielen heißt es unmissverständlich:

„Wir steigern signifikant die Zahl der Prüfungen und richten diese risikoorientiert und zunehmend modular aus.“

Die BaFin drängt darauf, dass beaufsichtigte Unternehmen und ihre wesentlichen Dienstleister ihre Widerstandsfähigkeit massiv erhöhen. Risiken aus der IKT, Auslagerungen und geopolitische Abhängigkeiten stehen unter scharfer Beobachtung.

Was bedeutet das für Sie? Die Zeit der Vorbereitung und der theoretischen Konzepte ist abgelaufen. Seit DORA am 17. Januar 2025 in Kraft getreten ist, hat die Aufsicht ihre Prüfungsintensität signifikant erhöht. Dieser Artikel ist kein weiterer DORA-Überblick. Er ist ein strategisches Briefing, das die aktuellen Prüfungsschwerpunkte der BaFin entschlüsselt und Ihnen einen konkreten Blueprint an die Hand gibt, um nicht nur zu bestehen, sondern zu führen.

Die 5 Kern-Prüfungsfelder der BaFin: Worauf es jetzt wirklich ankommt

Unsere Analyse der jüngsten BaFin-Veröffentlichungen und Markt-Insights zeigt ein klares Muster. Ihre Prüfungsreife wird anhand dieser fünf Säulen bewertet:

1. IKT-Governance & Board Oversight

Die Aufsicht will sehen, dass Resilienz "Tone from the Top" ist. Ein reines Lippenbekenntnis reicht nicht. Prüfer fordern die DORA-Strategie, den vom Vorstand genehmigten "Risk Appetite" und quartalsweise KPI-Reports, die dem Aufsichtsrat vorgelegt werden.

Frage für Sie: Ist Cyber-Resilienz ein fester Tagesordnungspunkt in Ihren Board-Meetings oder nur eine Fußnote im IT-Bericht?

2. Gelebtes IKT-Risikomanagement

Die BaFin prüft den gesamten Lebenszyklus gemäß Kapitel II DORA – von der Identifikation über den Schutz bis zur Wiederherstellung. Der Fokus liegt auf der praktischen Umsetzung. Können Sie nachweisen, wie Sie Risiken aus neuen Technologien bewerten und wie Ihre Schutzmaßnahmen konkret wirken?

3. Vorfallmanagement unter Zeitdruck

Die Meldefristen sind extrem eng. Ein schwerwiegender Vorfall erfordert eine Erstmeldung innerhalb von maximal 4 Stunden nach Klassifizierung. Der Prozess muss auch dann funktionieren, wenn die Kernsysteme ausgefallen sind.

Die unbequeme Wahrheit: Viele Unternehmen haben den Prozess auf dem Papier, aber nur wenige haben ihn unter realen Krisenbedingungen (z.B. mit einem Notfall-Fallback) getestet.

4. Anspruchsvolles Resilience-Testing

Ein jährliches Testprogramm ist Pflicht. Für systemrelevante Institute kommt das Threat-Led Penetration Testing (TLPT) hinzu – ein hochkomplexer Angriffstest unter Realbedingungen. Die BaFin erwartet einen mehrjährigen TLPT-Plan. Wer hier keine Strategie vorweisen kann, signalisiert mangelnde Vorbereitung auf höchster Ebene.

5. Wasserdichtes Drittparteien-Management

Dies ist vielleicht die größte Achillesferse der Branche. Die BaFin verlangt ein lückenloses Informationsregister aller IKT-Dienstleister, Verträge mit DORA-spezifischen Mindestinhalten und vor allem: glaubwürdige und getestete Exit-Pläne.

Können Sie einen kritischen Dienstleister im Notfall wirklich ersetzen, ohne den Geschäftsbetrieb zu gefährden?

Der Best-Practice-Blueprint für Führungskräfte: Vom Reagieren zum Führen

Anstatt nur regulatorische Boxen abzuhaken, sollten Sie Resilienz als strategische Fähigkeit etablieren. Dieser Blueprint zeigt, wie:

1. Etablieren Sie einen zentralen Ablageplatz prüfungsrelevanter Artefakte

Richten Sie einen zentralen, digitalen Ordner (idealerweise in einem GRC-Tool) ein, der alle Pflichtdokumente, Verträge und Testnachweise revisionssicher bündelt. Eine klare Indexierung, die sich an der BaFin-Struktur orientiert, kann die Prüfungszeit vor Ort um bis zu 30 % verkürzen.

2. Implementieren Sie eine aktive Third-Party Risk-Governance

Führen Sie das Informationsregister sorgfältig und konsequent. Bewerten Sie Konzentrationsrisiken aktiv und verhandeln Sie Exit-Rechte, Audit-Klauseln und Weisungsrechte bei Unterauftragsvergaben konsequent nach.

3. Proben Sie den Ernstfall mit Incident-Response-Playbooks

Spielen Sie den gesamten Meldeprozess durch: umgehende Bewertung und Klassifizierung, Erstmeldung nach 4 Stunden, Zwischenmeldung nach 72 Stunden und Abschlussbericht nach einem Monat. Nur so stellen Sie sicher, dass die Prozesse unter Stress funktionieren.

Blog post image

4. Treffen Sie eine kluge "Make-or-Buy"-Entscheidung

Der Pool an DORA-Spezialisten ist begrenzt. Prüfen Sie strategisch, welche Aufgaben (z.B. im Second-Line-Monitoring oder Testing) durch Managed Services ("DORA-as-a-Service") effizienter und mit höherer Expertise abgedeckt werden können.

Checkliste für Ihr nächstes Board-Meeting

Stellen Sie diese fünf Fragen, um den wahren Reifegrad Ihrer Organisation zu ermitteln:

  • Wurde unser Meldeprozess für IKT-Vorfälle inklusive eines Notfall-Fallback-Szenarios erfolgreich getestet?
  • Haben wir alle kritischen IKT-Dienstleister nach den neuen RTS-Kriterien klassifiziert und die Vertragsrisiken bewertet?
  • Ist unsere DORA-Dokumentationsmatrix vollständig, aktuell und für eine Ad-hoc-Prüfung durch die BaFin sofort verfügbar?
  • Verfügen wir über ein explizites, jährliches Budget von mindestens 1 % der gesamten IT-Kosten, das zweckgebunden für DORA-Resilienz-Initiativen vorgesehen ist?
Blog post image

Fazit: Ihr strategischer Zug für 2025

Das Jahr 2025 markiert den entscheidenden Übergang von der theoretischen Vorbereitung zur prüfungsreifen Umsetzung von DORA. Die BaFin hat ihre Absicht klar signalisiert und wird die Zügel weiter anziehen.

Führungskräfte, die jetzt handeln, die Governance-Strukturen stärken und prüfungstaugliche Nachweise schaffen, vermeiden nicht nur empfindliche Sanktionen. Sie bauen eine robustere, agilere und vertrauenswürdigere Organisation auf – und sichern sich so einen entscheidenden Resilienz-Vorsprung in einem zunehmend unsicheren Marktumfeld.

Der erste Schritt ist eine ehrliche Gap-Analyse anhand der konkreten BaFin-Vorgaben. Spezialisierte Berater können dabei helfen, die Prüfungsreife zu beschleunigen und blinde Flecken aufzudecken, bevor es der Prüfer tut.

Blog post image
Hat ihnen der Beitrag gefallen? Teilen Sie es mit:

Bereit, Ihr Wissen in Aktion umzusetzen?

Dieser Beitrag hat Ihnen Denkanstöße gegeben. Lassen Sie uns gemeinsam den nächsten Schritt gehen und entdecken, wie unsere Expertise im Bereich DORA - Digital Operational Resilience Act Ihr Projekt zum Erfolg führen kann.

Mehr über DORA - Digital Operational Resilience Act erfahren

Unverbindlich informieren & Potenziale entdecken.

Ihr strategischer Erfolg beginnt hier

Unsere Kunden vertrauen auf unsere Expertise in digitaler Transformation, Compliance und Risikomanagement

Bereit für den nächsten Schritt?

Vereinbaren Sie jetzt ein strategisches Beratungsgespräch mit unseren Experten

30 Minuten • Unverbindlich • Sofort verfügbar

Zur optimalen Vorbereitung Ihres Strategiegesprächs:

Ihre strategischen Ziele und Herausforderungen
Gewünschte Geschäftsergebnisse und ROI-Erwartungen
Aktuelle Compliance- und Risikosituation
Stakeholder und Entscheidungsträger im Projekt

Bevorzugen Sie direkten Kontakt?

Direkte Hotline für Entscheidungsträger

Strategische Anfragen per E-Mail

Detaillierte Projektanfrage

Für komplexe Anfragen oder wenn Sie spezifische Informationen vorab übermitteln möchten