Digitale Systeme sind heute fester Bestandteil nahezu aller Geschäftsmodelle im Finanzsektor. Neben klassischen IT-Systemen werden auch dezentrale Technologien wie die Blockchain wichtiger. Das gilt nicht nur für Kryptodienstleister – auch traditionelle Wertpapieranbieter kommen nicht ohne sie aus.

Mit der Verordnung über die digitale operationale Resilienz (Dora) schuf die Europäische Union (EU) am 17. Januar 2025 einen Rahmen, der die Sicherheit der IT-Systeme stärkt. Dora betrifft auch Unternehmen, die dezentrale Technologien einsetzen. Daraus ergeben sich neue Fragen an die Organisation, die Risikosteuerung und die Verantwortlichen im Umgang mit digitaler Infrastruktur.

Für wen die Dora-Verordnung gilt

Die Dora-Verordnung richtet sich an eine breite Gruppe regulierter Finanzunternehmen in der gesamten EU. Dazu zählen unter anderem Kreditinstitute, Wertpapierfirmen, Versicherungsunternehmen, Zahlungsdienstleister, E-Geld-Institute, Handelsplätze und Verwalter alternativer Investmentfonds.

Darüber hinaus erfasst Dora auch Dienstleister von Kryptowerten, sowie Emittenten vermögensbindender Token (Asset-Referenced Token, ART). Der deutsche Gesetzgeber wendet Dora zudem auf nationale, erlaubnispflichtige Finanzdienstleister an. Hierzu zählen etwa Registerführer von Kryptowertpapieren sowie Factoring- und Leasinginstitute. Dora gilt hier über einen Verweis im Kreditwesengesetz in vereinfachter Form und zum überwiegenden Teil erst ab 2027.

Vollständig dezentralisierte Finanzplattformen (Defi) fallen nicht unter Dora, da diese nicht von einem regulierten Finanzdienstleister betrieben werden. Gleiches gilt für andere Kryptoinnovationen ohne zentrale, regulierte Anlaufstelle.  

Anonymität der Blockchain als Hürde

Die Anforderungen an Governance-Strukturen im Finanzsektor beruhen traditionell auf klaren Zuständigkeiten, nachvollziehbaren Entscheidungswegen und einer zentralen Koordination. Dora knüpft an dieses Verständnis an und verlangt, dass Finanzunternehmen Verantwortung für den sicheren und stabilen Betrieb ihrer digitalen Systeme übernehmen.

Sie müssen Verfahren einführen, um Systeme der Informations- und Kommunikationstechnologie (IKT) adäquat zu schützen und ungewöhnliche Aktivitäten zu identifizieren. Zusätzlich sollen sie Lösungswege für IKT-Zwischenfälle erarbeiten. Schließlich bedarf es einer Meldestruktur, über die Zwischenfälle der zuständigen Behörde angezeigt werden können.

Anzeige
Alice Kazak aus dem deutschen Vertriebsteam von BlackRock moderiert auf der BlackRock-Konferenz 2025 in Frankfurt
BlackRock-Konferenz 2025
Europa auf Wachstumskurs
Jetzt lesen
Anzeige
Alice Kazak aus dem deutschen Vertriebsteam von BlackRock moderiert auf der BlackRock-Konferenz 2025 in Frankfurt
BlackRock-Konferenz 2025
Europa auf Wachstumskurs
Jetzt lesen

Schwindende Governance in dezentralen Strukturen  

Dieses Verständnis von Governance stößt in dezentralen Technologien allerdings an Grenzen. Entscheidungen werden hier über technische oder gemeinschaftliche Prozesse verteilt. Betreiber, Nutzer und Dienstleister lassen sich oft nicht eindeutig unterscheiden.

Dies wirft Fragen auf: Wer ist für die Entscheidungen verantwortlich? Wer steuert die technischen Abläufe? Wie sind externe Verläufe in unternehmensinterne Prozesse eingebunden?  

Viele Blockchain-Applikationen basieren auf Smart Contracts. Das sind kleine Computerprogramme, die automatisch Funktionen ausführen. Dabei handelt es sich um IKT-Assets im Sinne von Dora. Finanzunternehmen müssen daher prüfen, welche Risiken von ihnen ausgehen.

Bei einem Update der Smart Contracts muss die Risikobewertung möglicherweise angepasst werden. Allgemeine Standards der Aufsichtsbehörden für Smart Contracts existieren bislang jedoch nicht.