DORA Compliance

DORA gilt für nahezu den gesamten regulierten Finanzsektor der EU: Kreditinstitute, Versicherungen, Rückversicherer, Wertpapierfirmen, Zahlungsdienstleister, E-Geld-Institute, Kryptowerte-Dienstleister, Zentralverwahrer und zentrale Gegenparteien. Auch kritische IKT-Drittdienstleister (z.B. Cloud-Provider), die Dienstleistungen für diese Unternehmen erbringen, fallen unter den Anwendungsbereich. Mit dem Finanzmarktdigitalisierungsgesetz (FinmadiG) hat Deutschland den Anwendungsbereich national noch erweitert — auch Unternehmen, die bisher nicht unter KRITIS fielen, können jetzt betroffen sein.

DORA ist seit dem 17. Januar

2025 verbindlich anzuwenden — und die BaFin prüft bereits aktiv. Im Dezember

2025 informierte die BaFin über 4.500 Teilnehmer in einem virtuellen Event über ihre Erwartungshaltung. Erste §44-Sonderprüfungen mit DORA-Schwerpunkt haben bereits stattgefunden. Das Institut der Wirtschaftsprüfer (IDW) finalisiert derzeit den Prüfungsstandard EPS 528, der festlegt, wie Abschlussprüfer die DORA-Compliance bewerten. Für das Prüfungsjahr

2025 gibt es zwar Erleichterungen für Mängel, die bis Jahresende behoben wurden — ab

2026 gilt diese Kulanz nicht mehr.

Das Informationsregister ist eine zentrale DORA-Anforderung: Finanzunternehmen müssen ein vollständiges Verzeichnis aller vertraglichen Vereinbarungen mit IKT-Drittdienstleistern führen und der BaFin zur Verfügung stellen. Die nächste Einreichungsfrist ist der 30. März 2026. Die BaFin hat im Februar

2026 eigene Workshops zur Einreichung veranstaltet und die Anforderungen konkretisiert. Das Register muss unter anderem Angaben zur Art der Dienstleistung, zur Kritikalität, zu Subunternehmen und zu vertraglichen Ausstiegsmöglichkeiten enthalten.

DORA ist sektorspezifisch für den Finanzsektor und geht in mehreren Bereichen deutlich über NIS 2 hinaus: strengere Anforderungen an das ICT-Risikomanagement, verpflichtende Threat-Led Penetration Tests (TLPT), ein detailliertes Drittparteien-Regulierungsregime und ein EU-weites Oversight-Framework für kritische IKT-Provider. NIS 2 gilt branchenübergreifend. Für Finanzunternehmen hat DORA Vorrang (lex specialis) — die NIS2-Anforderungen gelten nur ergänzend, soweit DORA sie nicht bereits abdeckt. Das BSI hat diese Abgrenzung in einem eigenen Informationspaket konkretisiert.

DORA ermächtigt die Aufsichtsbehörden zu erheblichen Sanktionen. Für IKT-Drittanbieter können Bußgelder bis zu

1 % des durchschnittlichen weltweiten Tagesumsatzes verhängt werden — und zwar täglich, bis die Compliance hergestellt ist. Für Finanzunternehmen selbst können die zuständigen nationalen Behörden verwaltungsrechtliche Sanktionen und Maßnahmen nach nationalem Recht verhängen. Die BaFin hat bereits signalisiert, dass sie DORA-Verstöße konsequent verfolgen wird.

Die Kosten hängen stark vom Reifegrad Ihrer bestehenden IKT-Governance ab. Unternehmen mit einem etablierten ISMS (z.B. ISO 27001) und funktionierenden BAIT/MaRisk-Prozessen haben erfahrungsgemäß bereits 40–

60 % der DORA-Anforderungen abgedeckt. Der zusätzliche Aufwand konzentriert sich dann auf das Informationsregister, das formalisierte Incident Reporting und das erweiterte Resilience Testing. Für eine belastbare Aufwandsschätzung empfehlen wir ein initiales Readiness Assessment — daraus ergibt sich ein konkreter, priorisierter Maßnahmenplan mit realistischer Budgetplanung.

Eine Branchenumfrage des IT-Finanzmagazins zeigt: Das Management von IKT-Drittparteien liegt mit deutlichem Abstand auf Platz

1 der DORA-Herausforderungen. Der Grund ist die extreme Heterogenität der Abhängigkeiten:

75 % der kritischen Auslagerungsdienstleister stammen aus Drittstaaten. Finanzunternehmen müssen begründen können, warum sie bestimmte Anbieter für kritische Funktionen einsetzen, die Substituierbarkeit bewerten und tragfähige Exit-Szenarien vorhalten. Die europäische Benennung kritischer IKT-Drittanbieter durch die ESAs stellt eine Zäsur dar — erstmals wird dort angesetzt, wo sich Abhängigkeiten real bündeln.