DORA & BaFin-Prüfungen: Wie Sie jetzt den Resilienz-Vorsprung sichern und Audits bestehen
Executive Summary: Was Sie als Führungskraft jetzt wissen müssen
Die Schonfrist ist vorbei: Die BaFin hat operationelle Resilienz in Ihren aktuell veröffentlichten „Strategischen Zielen 2026 bis 2029“ zu einem ihrer neuen strategischen Top-Ziele erklärt. Seit Januar 2025 wird die Umsetzung von DORA aktiv und risikoorientiert geprüft – reine Papiertiger-Konzepte reichen nicht.
Fokus auf kritische Dienstleister: Die Prüfung erstreckt sich intensiv auf das Management von IKT-Drittparteien. Fehlende Exit-Strategien oder unzureichende Vertragsklauseln sind ein rotes Tuch für die Aufsicht und ein direktes Geschäftsrisiko.
Nachweisbarkeit ist alles: Es geht nicht mehr darum, ob Sie eine Policy haben, sondern ob Sie deren Wirksamkeit lückenlos belegen können – durch Testprotokolle, KPI-Reports an den Vorstand und gelebte Incident-Response-Prozesse.
Vom Kostenfaktor zum Wettbewerbsvorteil: Unternehmen, die DORA jetzt strategisch umsetzen, minimieren nicht nur Sanktionsrisiken, sondern bauen eine nachweisbar robustere Organisation, die das Vertrauen von Kunden und Investoren gewinnt.
Die neue Realität: BaFin steigert Zahl der Prüfungen signifikant
Die Botschaft der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) könnte klarer nicht sein. In ihren jüngsten strategischen Zielen heißt es unmissverständlich:
„Wir steigern signifikant die Zahl der Prüfungen und richten diese risikoorientiert und zunehmend modular aus.“
Die BaFin drängt darauf, dass beaufsichtigte Unternehmen und ihre wesentlichen Dienstleister ihre Widerstandsfähigkeit massiv erhöhen. Risiken aus der IKT, Auslagerungen und geopolitische Abhängigkeiten stehen unter scharfer Beobachtung.
Was bedeutet das für Sie? Die Zeit der Vorbereitung und der theoretischen Konzepte ist abgelaufen. Seit DORA am 17. Januar 2025 in Kraft getreten ist, hat die Aufsicht ihre Prüfungsintensität signifikant erhöht. Dieser Artikel ist kein weiterer DORA-Überblick. Er ist ein strategisches Briefing, das die aktuellen Prüfungsschwerpunkte der BaFin entschlüsselt und Ihnen einen konkreten Blueprint an die Hand gibt, um nicht nur zu bestehen, sondern zu führen.
Die 5 Kern-Prüfungsfelder der BaFin: Worauf es jetzt wirklich ankommt
Unsere Analyse der jüngsten BaFin-Veröffentlichungen und Markt-Insights zeigt ein klares Muster. Ihre Prüfungsreife wird anhand dieser fünf Säulen bewertet:
1. IKT-Governance & Board Oversight
Die Aufsicht will sehen, dass Resilienz "Tone from the Top" ist. Ein reines Lippenbekenntnis reicht nicht. Prüfer fordern die DORA-Strategie, den vom Vorstand genehmigten "Risk Appetite" und quartalsweise KPI-Reports, die dem Aufsichtsrat vorgelegt werden.
Frage für Sie: Ist Cyber-Resilienz ein fester Tagesordnungspunkt in Ihren Board-Meetings oder nur eine Fußnote im IT-Bericht?
2. Gelebtes IKT-Risikomanagement unter DORA
Die BaFin prüft den gesamten Lebenszyklus gemäß Kapitel II DORA – von der Identifikation über den Schutz bis zur Wiederherstellung. Der Fokus liegt auf der praktischen Umsetzung. Können Sie nachweisen, wie Sie Risiken aus neuen Technologien bewerten und wie Ihre Schutzmaßnahmen konkret wirken?
3. Vorfallmanagement unter Zeitdruck
Die Meldefristen sind extrem eng. Ein schwerwiegender Vorfall erfordert eine Erstmeldung innerhalb von maximal 4 Stunden nach Klassifizierung. Der Prozess muss auch dann funktionieren, wenn die Kernsysteme ausgefallen sind.
Die unbequeme Wahrheit: Viele Unternehmen haben den Prozess auf dem Papier, aber nur wenige haben ihn unter realen Krisenbedingungen (z.B. mit einem Notfall-Fallback) getestet.
4. Anspruchsvolles Resilience-Testing
Ein jährliches Testprogramm ist Pflicht. Für systemrelevante Institute kommt das Threat-Led Penetration Testing (TLPT) hinzu – ein hochkomplexer Angriffstest unter Realbedingungen. Die BaFin erwartet einen mehrjährigen TLPT-Plan. Wer hier keine Strategie vorweisen kann, signalisiert mangelnde Vorbereitung auf höchster Ebene.
5. Wasserdichtes Drittparteien-Management
Dies ist vielleicht die größte Achillesferse der Branche. Die BaFin verlangt ein lückenloses Informationsregister aller IKT-Dienstleister, Verträge mit DORA-spezifischen Mindestinhalten und vor allem: glaubwürdige und getestete Exit-Pläne.
Können Sie einen kritischen Dienstleister im Notfall wirklich ersetzen, ohne den Geschäftsbetrieb zu gefährden?
Der Best-Practice-Blueprint für Führungskräfte: Vom Reagieren zum Führen
Anstatt nur regulatorische Boxen abzuhaken, sollten Sie Resilienz als strategische Fähigkeit etablieren. Dieser Blueprint zeigt, wie:
1. Etablieren Sie einen zentralen Ablageplatz prüfungsrelevanter Artefakte
Richten Sie einen zentralen, digitalen Ordner (idealerweise in einem GRC-Tool) ein, der alle Pflichtdokumente, Verträge und Testnachweise revisionssicher bündelt. Eine klare Indexierung, die sich an der BaFin-Struktur orientiert, kann die Prüfungszeit vor Ort um bis zu 30 % verkürzen.
2. Implementieren Sie eine aktive Third-Party Risk-Governance
Führen Sie das Informationsregister sorgfältig und konsequent. Bewerten Sie Konzentrationsrisiken aktiv und verhandeln Sie Exit-Rechte, Audit-Klauseln und Weisungsrechte bei Unterauftragsvergaben konsequent nach.
3. Proben Sie den Ernstfall mit Incident-Response-Playbooks
Spielen Sie den gesamten Meldeprozess durch: umgehende Bewertung und Klassifizierung, Erstmeldung nach 4 Stunden, Zwischenmeldung nach 72 Stunden und Abschlussbericht nach einem Monat. Nur so stellen Sie sicher, dass die Prozesse unter Stress funktionieren.
4. Treffen Sie eine kluge "Make-or-Buy"-Entscheidung
Der Pool an DORA-Spezialisten ist begrenzt. Prüfen Sie strategisch, welche Aufgaben (z.B. im Second-Line-Monitoring oder Testing) durch Managed Services ("DORA-as-a-Service") effizienter und mit höherer Expertise abgedeckt werden können.
Checkliste für Ihr nächstes Board-Meeting
Stellen Sie diese fünf Fragen, um den wahren Reifegrad Ihrer Organisation zu ermitteln:
- Wurde unser Meldeprozess für IKT-Vorfälle inklusive eines Notfall-Fallback-Szenarios erfolgreich getestet?
- Haben wir alle kritischen IKT-Dienstleister nach den neuen RTS-Kriterien klassifiziert und die Vertragsrisiken bewertet?
- Ist unsere DORA-Dokumentationsmatrix vollständig, aktuell und für eine Ad-hoc-Prüfung durch die BaFin sofort verfügbar?
- Verfügen wir über ein explizites, jährliches Budget von mindestens 1 % der gesamten IT-Kosten, das zweckgebunden für DORA-Resilienz-Initiativen vorgesehen ist?
Fazit: Ihr strategischer Zug für 2025
Das Jahr 2025 markiert den entscheidenden Übergang von der theoretischen Vorbereitung zur prüfungsreifen Umsetzung von DORA. Die BaFin hat ihre Absicht klar signalisiert und wird die Zügel weiter anziehen.
Führungskräfte, die jetzt handeln, die Governance-Strukturen stärken und prüfungstaugliche Nachweise schaffen, vermeiden nicht nur empfindliche Sanktionen. Sie bauen eine robustere, agilere und vertrauenswürdigere Organisation auf – und sichern sich so einen entscheidenden Resilienz-Vorsprung in einem zunehmend unsicheren Marktumfeld.
ADVISORI unterstützt Sie mit maßgeschneiderten Lösungen und Expertise bei einer ehrlichen Gap-Analyse anhand der konkreten BaFin-Vorgaben. Spezialisierte Berater können dabei helfen, die Prüfungsreife zu beschleunigen und blinde Flecken aufzudecken, bevor es der Prüfer tut.
Folgen Sie uns auch auf LinkedIn für weitere Infos zum Thema BaFin DORA und weiteren spannenden Informationen aus der Welt der Informationssicherheit.
Bereit, Ihr Wissen in Aktion umzusetzen?
Dieser Beitrag hat Ihnen Denkanstöße gegeben. Lassen Sie uns gemeinsam den nächsten Schritt gehen und entdecken, wie unsere Expertise im Bereich DORA - Digital Operational Resilience Act Ihr Projekt zum Erfolg führen kann.
Unverbindlich informieren & Potenziale entdecken.