Die Dora-Verordnung ist seit Januar in Kraft, die ersten Prüfungen stehen an. Nadine Schmitz und Florian Göltl von KPMG erklären, welche Stolpersteine die Branche unterschätzt hat.

Seit dem 17. Januar 2025 müssen Finanzunternehmen die europäische Dora-Verordnung umsetzen. Sie soll dafür sorgen, dass Finanzunternehmen sensibler mit ihren digitalen Risiken umgehen. Die Verordnung macht Vorgaben zum Umgang mit IKT-Risiken (IKT = Informations- und Kommunikationstechnologie), darunter auch zur Zusammenarbeit mit externen Dienstleistern, zu Störungsmeldungen, Stresstests und zum Informationsaustausch bei Cyber-Bedrohungen.

Dora erfasst Banken, Versicherungen, Zahlungsdienstleister, Fondsgesellschaften, Vermögensverwalter, Verwahrstellen – Finanzunternehmen, die innerhalb der Europäischen Union beaufsichtigt sind.

Obwohl die Regeln schon seit Mitte Januar angewendet werden müssen, kämpfen viele Häuser weiterhin mit den komplexen Anforderungen. Nadine Schmitz und Florian Göltl vom Beratungsunternehmen KPMG begleiten Institute bei der Umsetzung und bereiten sie auf die aktuell anstehenden Aufsichtsprüfungen vor.

DAS INVESTMENT: Herr Göltl, wie sind Sie bei KPMG in das Thema Dora involviert?

Florian Göltl: Als das Thema „Dora“ in den letzten zweieinhalb Jahren aufkam, habe ich es mit meinen Partnerkollegen für KPMG verantwortet. Wir haben anfangs Gap-Analysen gemacht, also Soll-Ist-Vergleiche, um Lücken bei den Dora-Anforderungen zu identifizieren. Danach sind wir in die Umsetzungen gegangen und haben große Häuser in Deutschland dabei begleitet. Jetzt unterstützen wir die ersten Institute auch bei den nahenden Aufsichtsprüfungen. In Summe sind wir etwa 150 Personen in Deutschland, die sich um Dora kümmern.

Eine erste Einschätzung zum Stand der Dinge bei den Dora-verpflichteten Unternehmen?

Nadine Schmitz: Die meisten Häuser sind eher noch mitten im Prozess und nicht so weit, dass sie sagen könnten: „Wir sind fertig und die Aufsicht kann kommen.“

Woran liegt das – ist den Marktteilnehmern nicht klar, was sie zu tun haben?

Göltl: Die große Herausforderung war von Anfang an die Interpretation. Schon vor der finalen Verabschiedung 2022 haben wir Projekte auf Basis der Entwürfe aufgesetzt. Die Gesetzgebung war aber nicht so detailliert wie bei anderen Regulatorikvorhaben. Wir haben uns daher auch mit anderen Beratungsgesellschaften und der Aufsicht ausgetauscht, um ein gemeinsames Verständnis zu entwickeln.

Schmitz: Genau. Dora ist im Januar 2023 in Kraft getreten und musste bis Januar 2025 umgesetzt sein. Auf diesem Weg wurden immer wieder konkretisierende technische Standards, sogenannte ITS und RTS, veröffentlicht. Trotzdem blieben Interpretationsspielräume. Deshalb konnten die Unternehmen nicht einfach loslegen.

Was sind die größten Stolpersteine bei der Umsetzung?

Schmitz: Einer der größten Stolpersteine ist das Silo-Denken. In vielen Häusern schafft man es nicht, die Themen so zu integrieren, wie Dora es fordert.

Göltl: Ein ganz großes Thema ist, wo man Dora überhaupt verorten soll - im Bereich IT oder bei Non-IT. Das ist auch nach wie vor ein Problem. Es gibt verschiedene Disziplinen: Third Party Risk Management für Auslagerungen, Business Continuity Management, Risikomanagement und Security-Themen. All das gilt es unter Dora zu integrieren. Die meisten Häuser haben Schwierigkeiten, innerhalb der einzelnen Disziplinen die Dinge zusammenzubringen.

Ein Paradebeispiel: Business Continuity Management (BCM) beschäftigt sich damit, was passiert, wenn Personal oder Gebäude ausfallen. IT Security Continuity Management (ITSCM) fragt: Was ist, wenn die IT ausfällt? Das wird oft sehr „silohaft“ behandelt. Man schafft es nicht, diese Themen so zu integrieren, dass man IT- und Non-IT-Dinge gut zusammen betrachten kann.

Schmitz: Von oben betrachtet erfordert Dora ein Umdenken. Es ist nicht nur eine Sache einzelner Abteilungen, sondern ein übergreifendes Thema mit dem Ziel einer besseren Durchlässigkeit. Wie kriege ich es in meinem Risikomanagement mit, wenn ich eine große Störung in meiner IT habe? Welche Ursachen gibt es und welche präventiven Maßnahmen kann man treffen? Dafür sollte ich mich als Unternehmen funktionsübergreifend selbst besser verstehen, um resilienter zu werden. Das silohafte Denken stammt aus der Vergangenheit, wo man gemäß Regulatorik alles so aufgebaut hat, weil es in BAIT, VAIT oder ZAIT stand. Jetzt kommt eine Bedrohungslage von außen, die alle Bereiche gleichermaßen betrifft.

Wie unterscheidet sich eigentlich die Dora-Verordnung von den Bafin-Vorgaben BAIT, VAIT, ZAIT oder KAIT?

Göltl: Die vorherigen Standards wie BAIT waren sehr stark auf die IT bezogen. Dora betrifft aber die Bank in Summe. Es geht um Resilienz gegenüber externen Einflüssen - das ist deutlich breiter und braucht die Zusammenarbeit zwischen den Abteilungen. Diese Verflechtung über alle Bereiche, Funktionen und Teams hinweg ist das Neue und Herausfordernde an Dora.

Wie sind die Unternehmen organisatorisch an die Umsetzung herangegangen?

Schmitz: Es gibt üblicherweise ein Zentralteam, es wird viel projekthaft gearbeitet. Aber man ist an Dora so herangegangen, wie man bisher an regulatorische Themen rangegangen ist: Anforderung analysiert, Maßnahmen überlegt. Erst jetzt, wo es die ersten Erkenntnisse aus Prüfungen gibt, merkt man: Die Dinge müssen eigentlich zusammenhängend betrachtet werden. Das lässt sich mit einer normalen Anforderungsanalyse nicht erreichen.

Drohen den Unternehmen eigentlich Strafen, wenn sie die Anforderungen nicht oder nicht vollständig umgesetzt haben?

Schmitz: Ein sehr hoher Prozentsatz der Finanzdienstleister hatte Dora im Januar 2025 nicht vollumfänglich umgesetzt. Ein Teil wurde als säumig angeschrieben und hat Fristen bis Ende des Jahres auferlegt bekommen. Strafzahlungen gab es meines Wissens nicht, aber natürlich den Druck, an die Aufsicht zu berichten und die Maßnahmen konsequent umzusetzen.

Göltl: Bei einem Themenbereich - der Meldung von Sicherheitsvorfällen - wurde in einem Fall bereits eine finanzielle Strafe angedroht, weil Vorfälle nicht gemeldet wurden. Allerdings wurde dort der Prozess nicht eingehalten, wie er eigentlich vorgegeben ist.

Wie bewerten Sie aus Ihrer Perspektive als Berater die Dora-Regeln? Sind sie sinnvoll ausgestaltet?

Schmitz: Ein zentraler Aspekt von Dora ist der übergeordnete Zweck. Man bereitet sich nicht mehr nur auf Notfälle vor, weil es in einer Vorschrift steht, sondern weil man sich real fragt: Was kann da draußen tatsächlich passieren? Diese praxisnahe Methodik steckt in den meisten Dora-Anforderungen.

Göltl: Das gilt insbesondere für das Management von Drittdienstleistern. Das Volumen von Leistungen durch externe Dienstleister, mit denen Institute zusammenarbeiten, ist in den letzten Jahren organisch stark gewachsen. Dora fordert nun mit einer neuen Detailtiefe, dass diese Auslagerungen vernünftig gemanagt werden. Das zwingt die Häuser, ihren Datenhaushalt sauber aufzustellen.

Ist Dora möglicherweise stellenweise auch übers Ziel hinausgeschossen?

Göltl: Es kommt auf den Blickwinkel an. Wenn man Sicherheit in den Vordergrund stellt, dann nicht. Wenn man möchte, dass die Bank Geld verdient, dann ist die Regulatorikumsetzung momentan eine Stelle, die man vielleicht erst im zweiten Schritt bearbeiten möchte. Früher gab es das Proportionalitätsprinzip - kleinere Häuser hatten weniger Anforderungen. Das gibt es unter Dora nicht mehr so wirklich. Die Häuser allokieren sehr viel Zeit, Budget und Ressourcen für regulatorische Anforderungen. Das ist gut für die Sicherheit, aber manchmal auch ein Quäntchen zu viel.

Schmitz: Man kann es als Chance begreifen, das Thema Datensicherheit neu und übergreifend zu denken. Dann kann man Effizienzen schaffen. Die Unternehmen wollen primär ihr Geschäft ausbauen und ungestört laufen lassen, daneben aber auch Sicherheit haben. In Zukunft werden die Grenzen zwischen diesen Themen verschwimmen. Wenn ein Mitarbeiter im Kreditgeschäft schon gewisse Sicherheitsaspekte im Kopf hat, die per Design des Prozesses eingebaut sind, ist das eine andere Betrachtungsweise als ein komplettes Kontrollsystem um des Kontrollsystems willen.

Welche Ressourcen müssen Unternehmen für die Dora-Umsetzung aufwenden?

Schmitz: Es ist auf jeden Fall ein Mehraufwand. Dora ist auch ein großer Kostentreiber. Aber es gibt Stellschrauben: Wenn ich als Unternehmen zehn kritische und wichtige Prozesse identifiziere, ist das bereits aufwendig. Wenn ich aber 100 identifiziere, ergibt sich noch ein ganz anderer Aufwand.

Heißt das, dass die Unternehmen selbst mitbestimmen können, wie viel Arbeit sie mit Dora haben?

Schmitz: Das kann man so sagen. Mittels Interpretationsspielräumen kann ich als Unternehmen einen gewissen Risikoappetit einfließen lassen. Aber noch einmal zum Ressourcenaufwand: Als die großen Implementierungsprojekte anfingen, hieß es, die Umsetzung von Dora könnte zwischen 8 und 20 Prozent an zeitlichen und personellen Ressourcen veranschlagen. Ehrlich gesagt kann ich das nicht validieren, da Dora auf die bestehenden Compliance-Prozesse on top kommt.

Göltl: Ich hatte ähnliche Zahlen gehört: 10 bis 15 Prozent mehr Aufwand und Mitarbeiter. Das ist nicht überall eingetroffen, weil die Personen erst rekrutiert werden müssen. Aber die Stellen dafür sind in den Unternehmen durchaus geschaffen worden.

Wie gut sind die Unternehmen auf die jetzt anstehenden Prüfungen vorbereitet?

Göltl: Die Unternehmen müssen sich darauf einstellen, dass die Prüfungsberichte Feststellungen enthalten werden ...

... also dass es Beanstandungen gibt.

Göltl: Genau. Die Aufsicht bewertet den Schweregrad von F1 bis F4, wobei F3 und F4 schwere Mängel sind, die einen Maßnahmenplan mit verbindlichen Terminen erfordern. Wir gehen davon aus, dass nur sehr wenige Institute ohne eine F3- oder F4-Feststellung in einzelnen Bereichen aus den ersten Prüfungen herauskommen werden.

Schmitz: Plus: Es gibt noch keine Marktstandards, die vorgeben, wie etwas umzusetzen ist. Man interpretiert nach bestem Wissen und Gewissen, schaut, was die Peers machen. Allerdings könnte die Aufsicht eine völlig andere Wahrnehmung haben. Das kann dazu führend, dass die Aufsicht erhebliche Mängel feststellt. Aber das haben wir auch bei BAIT gesehen: Die Standards bilden sich mit dem Fortgang der Prüfungen erst heraus.

Was sind Ihre drei wichtigsten Tipps an Unternehmen für die Dora-Umsetzung?

Schmitz: Erster Tipp: Das Thema top-down angehen. Ich muss erst ganz oben im Management umdenken, um wirkliche Resilienz für das ganze Unternehmen herzustellen. Zweiter Punkt: Change Management. Dieser Mindset-Change ist wichtig, damit es nicht nur als neue Regulatorik wahrgenommen wird, sondern als etwas mit Sinn. Dritter Punkt: Do your homework! Es gibt mehrere Aspekte in Dora, die einen Überblick über die bestehende IT voraussetzen. Hier sollten Unternehmen Transparenz herstellen - bei Dienstleistern wie bei IT-Komponenten.

Göltl: Dora fokussiert sich nicht nur auf die IT, sondern ist ein unternehmensweites Thema. Die Silos, in denen man vielleicht in der Vergangenheit gedacht hat, sind nicht von Vorteil. Man muss das Thema gesamtheitlich sehen und Möglichkeiten schaffen, dass bereichsübergreifend zusammengearbeitet wird.

Haben Sie auch schon erlebt, dass Dora an einer Stelle wirklich konkret geholfen hat?

Schmitz: Eine Bereichsleiterin schilderte mir eine Situation, in der eine Mitarbeiterin aus dem Fachbereich von sich aus bei einem Projekt einen Dora-Aspekt vorbrachte. Es ging um die angedachte Zusammenarbeit mit einem Dienstleister. Die Mitarbeiterin sagte: „Wir müssen auf bestimmte Dinge im Dora-Sinne achten.“ In dem Fall führte es dazu, dass man sich umentschied, weil der Dienstleister große Risiken mit sich gebracht hätte. Da wurde klar, dass mit der Dora-Umsetzung gewisse Dinge wirklich auch bei den Beteiligten angekommen sind. Es geht nicht um „Paragrafenschubsen“, sondern darum, das Thema in die relevanten Köpfe zu bekommen.

Über die Interviewten:

Nadine Schmitz ist Senior Managerin und Florian Göltl Partner bei KPMG. Beide beraten Finanzinstitute bei der Umsetzung regulatorischer Anforderungen in Bezug auf die europäische Dora-Verordnung.