Seit Januar 2025 gilt Dora – und die Umsetzung fordert Institute auf breiter Front. Rechtsanwalt Philipp Hendel zieht Zwischenbilanz und zeigt, wo die größten Hürden liegen.

Seit dem 17. Januar 2025 ist der Digital Operational Resilience Act (Dora) in Kraft – ein zentraler Baustein der europäischen Digital-Finance-Strategie.

Die regulatorischen Anforderungen der Dora haben für unabhängige Vermögensverwalter und Privatbanken eine neue Ära digitaler Verantwortlichkeit eingeläutet. Seit Inkrafttreten sind Institute gefordert, Organisations- und IT-Strukturen grundlegend zu überprüfen und fit für die Zukunft zu machen.

Mit ihrer Aufsichtsmitteilung vom 21. August 2025 hat die Bafin zudem klargestellt, wie der vereinfachte IKT-Risikomanagementrahmen nach Artikel 16 Dora auszulegen ist. Diese Ergänzung bringt Entlastung – aber keinen Freifahrtschein.

In den vergangenen zehn Monaten hat sich ein klareres Bild der operativen und strategischen Herausforderungen gezeichnet – Anlass genug, Bilanz zu ziehen.

Im Folgenden werden zehn zentrale Erkenntnisse aus zehn Monaten Dora-Praxis beleuchtet. Sie bieten einen praxisnahen Überblick über die wichtigsten Handlungsfelder, Erfahrungen und Learnings, die für Institute und Entscheider zur Basis einer nachhaltigen Resilienz und erfolgreichen Umsetzung geworden sind.

1. Unterschiedliche Reifegrade – Herausforderungen auf breiter Front

Die Vielfalt der Anforderungen unter Dora zwingt Institute dazu, die vollständige Inventarisierung sämtlicher IKT-Assets, konsequentes Incident-Management und die Anpassung von Cloud- sowie Outsourcing-Verträgen systematisch anzugehen. Häuser mit ausgeprägter Governance, Risikostrukturen und routinierter Lieferantensteuerung genießen hier spürbare Vorteile – der Reifegrad entscheidet über Tempo und Qualität der Umsetzung.

2. Drittanbieter-Verträge bleiben Dauerbaustellen

Der Nachbesserungsbedarf bei Audit-, Kontroll- und Exit-Rechten nach Artikel 28–30 Dora ist enorm. Kleine und mittlere Häuser stoßen häufig bei globalen Dienstleistern an Grenzen, da nachträgliche Vertragsverhandlungen viel Zeit kosten. Die Praxis zeigt deutlich: Wer früh interne oder externe juristische und technische Unterstützung hinzuzieht und über eigene Vertragsmuster verfügt, navigiert schneller und effizienter durch diese Vertragsverhandlungsmarathons.

3. Der Begriff der IKT-Dienstleistung – Definition mit Folgen

Die präzise Abgrenzung, wann ein Service tatsächlich eine IKT-Dienstleistung nach Dora darstellt, bleibt ein Dauerbrenner. Hierzu hat die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) ein praxistaugliches Prüfschema vorgelegt. Nicht jede IT-gestützte Tätigkeit ist automatisch als IKT-Dienstleistung im Sinne der Dora zu qualifizieren.

Regulierte Finanzdienstleistungen sind nach Auffassung der Europäischen Kommission beispielsweise keine IKT-Dienstleistung, auch wenn es sich um einen IKT-Dienst handelt. Gleiches gilt, wenn ein Dienst mit einer Finanzdienstleistung untrennbar verbunden ist. Die europäischen Aufsichtsbehörden empfehlen daher eine zweistufige Prüfung:

Liegt eine digitale oder datenbasierte Dienstleistung vor?

Ist die Dienstleistung direkt an ein reguliertes Finanzgeschäft gebunden und wird von einem beaufsichtigten Institut erbracht?

Ist letztere Frage mit Ja zu beantworten, gilt die Leistung als Finanzdienstleistung und fällt nicht unter die speziellen IKT-Vorgaben der Dora.

Prüfschema: Handelt es sich um eine IKT-Dienstleistung?

| Bildquelle: drrp Rechtsanwälte

4. Incident-Reporting als Belastungstest

Das Incident-Reporting nach Dora stellt insbesondere für kleinere Häuser einen spürbaren Belastungstest dar. Die Verordnung verpflichtet dazu, schwerwiegende IKT-Vorfälle in einem streng getakteten Verfahren zu melden: Zunächst ist eine Erstmeldung binnen 24 Stunden nach Bekanntwerden an die zuständige Behörde, gefolgt von Zwischen- (spätestens nach 72 Stunden) und Abschlussberichten, abzugeben. Meldeformate und Klassifizierungskriterien werden von der europäischen Aufsicht vorgegeben und verlangen eine präzise Abstimmung interner Prozesse.

Die Herausforderung verschärft sich dadurch, dass schwerwiegende IT-Sicherheitsvorfälle häufig gleichzeitig auch eine Meldepflicht nach DSGVO auslösen – zum Beispiel im Fall kompromittierter personenbezogener Daten. Praktisch bedeutet das: Prozesse und Eskalationsstufen müssen so verzahnt werden, dass keine Inkonsistenzen entstehen und Doppelarbeit vermieden wird.

Schnittstellenmanagement wird damit zur Pflichtdisziplin, um parallele oder sich überschneidende Meldewege (zum Beispiel an Bafin, Landesdatenschutzbehörden, Kunden) zu orchestrieren und widerspruchsfrei zu bedienen.

Für die Praxis heißt das:

Die Detektion und Klassifizierung von Vorfällen ist zentral zu dokumentieren.

Ein abgestimmter Melde-Workflow, der Dora- und DSGVO-Pflichten integriert, ist unverzichtbar.

Lessons Learned aus jedem Vorfall sollten konsequent in die weitere IT- und Governance-Praxis einfließen. So lassen sich Wiederholungsfehler und Reputationsrisiken vermeiden.

5. Resilienztests gehören zum Pflichtprogramm

Dora verlangt grundsätzlich von allen Instituten – unabhängig von ihrer Größe – Tests zur digitalen Resilienz durchzuführen. Die konkrete Ausgestaltung richtet sich jedoch nach Größe, Komplexität und Risikoprofil des Instituts. Während große Institute und solche mit kritischen Funktionen umfassende, auch szenariobasierte und (in bestimmten Fällen) threat-led Penetrationstests (TLPT) umsetzen müssen, genügt für kleinere Institute ein risikoorientiertes Testregime, das auf die wichtigsten Systeme und Prozesse abzielt und mindestens jährlich durchgeführt werden sollte.

Umfang und Methode der Tests richten sich nach dem tatsächlichen Geschäftsmodell und den individuellen Risiken. Typische Formate sind Table-Top-Übungen, Simulation von Ausfall- oder Angriffsszenarien und die regelmäßige Überprüfung grundlegender Backup-, Recovery- und Kommunikationsprozesse. Gerade bei begrenzten Ressourcen kann es ratsam sein, externe Unterstützung einzubinden – etwa um Szenarios zu entwickeln oder Tests durchzuführen.

Die Dokumentation der Testergebnisse und Lessons Learned bleibt verpflichtend und muss revisionssicher erfolgen.

6. Governance auf Geschäftsleitungsebene – Resilienz als Top-Management-Thema

Dora verlangt von der Geschäftsleitung nicht nur Lippenbekenntnisse, sondern einen klaren, nachhaltig gelebten Risikomanagementrahmen. Die Geschäftsleiter müssen auditfest erklären, wie sie sich regelmäßig zu IKT-Risiken informieren lassen und wie sie deren Management steuern. Die Verantwortung ist persönlich und lässt sich nicht delegieren: Ein tieferes Verständnis der digitalen Prozesse wird zwingend verlangt.

7. Regulierung und Aufsicht schärfen den Fokus

Die neuesten RTS/ITS-Regelwerke und Auslegungshilfen der Bafin machen die Anforderungen für kleinere Institute greifbarer. Ihnen wird zwar ein „vereinfachtes“ Framework zugestanden. Doch auch dieses enthält unmissverständliche Mindeststandards: regelmäßige Inventarisierung, Incident-Management, ein vereinfachtes, dokumentiertes Testkonzept und klare Verantwortlichkeiten. Unbürokratische Lösungen werden akzeptiert, die Wirkung muss aber jederzeit prüfbar bleiben.

8. Drittparteien und Konzentrationsrisiken

Während bisher vor allem Skalierungs- und Kostenvorteile im Mittelpunkt standen, rücken mit Dora systemische Risiken und Konzentration auf wenige große Anbieter (wie AWS, Microsoft, Google) in den Fokus. Dora verlangt – auch von kleineren Instituten – Transparenz über die gesamte Lieferkette.

Gerade viele kleinere Institute haben im Rahmen ihrer Dora-Umsetzung erstmals bewusst erkannt, dass zahlreiche kritische Geschäftsprozesse an genau die gleichen Cloud-Provider und Standardsoftware gebunden sind – was im Ernstfall potenziell sämtliche digitalen Aktivitäten gleichzeitig gefährden könnte.

Die Pflicht, Alternativen und Notfallmaßnahmen für zentrale Prozesse zu identifizieren, ist daher weit mehr als eine reine Compliance-Aufgabe: Sie wird zum Prüfstein operativer Resilienz und legt die Basis für eine zukunftsfähige, unabhängige IT-Strategie. Dabei spielen die bewusste Diversifizierung und das Testen von Exit-Strategien eine immer größere Rolle und erfordert das aktive Management komplexer Lieferkettenstrukturen.

9. Ressourcenfrage und Kostendruck – Effizienz wird entscheidend

Interne Ressourcen, externe Expertise und spezialisierte technische Tools verursachen laufende Kosten und binden Kapazitäten. Gerade kleinere Institute stehen massiv unter Druck, mit begrenztem Budget und Personal einen revisionssicheren Rahmen zu schaffen.

Umso wichtiger ist es für solche Institute, die gesetzlichen Erleichterungen, zum Beispiel aus Artikel 16 Dora, zu nutzen, um einen pragmatischen, aber prüffähigen Rahmen zu schaffen: Es empfiehlt sich, standardisierte Templates für Incident-Reports zu nutzen, um Prozesse effizient und einheitlich zu dokumentieren.

Die Konsolidierung von Risiko- und Sicherheitsberichten hilft, Doppelarbeiten zu vermeiden und die Übersicht zu wahren. Schließlich ist die Einbindung externer Dienstleister – etwa für spezielle Tests und Audits – oft der effizienteste Weg, regulatorische Anforderungen prüfungssicher zu erfüllen, ohne eigene Strukturen aufwendig ausbauen zu müssen.

Somit lässt sich trotz hoher regulatorischer Hürde ein schlanker, aber wirksamer Compliance-Rahmen schaffen, der auch in aufwändigen Prüfungssituationen besteht.

10. Dora als Belastung – aber auch als Strukturchance

Besonders kleinere Institute kämpfen in der Anfangsphase mit einer wachsenden Bürokratie: Die neuen Reporting-Pflichten, umfangreiche Incident- und Risiko-Berichte sowie fortlaufende Vertragsnachträge mit IT-Partnern verlangen erheblichen organisatorischen Aufwand und zwingen zu neuen Prozessen.

Kurzfristig dominiert dabei der Erfüllungsdruck, der viele Ressourcen bindet. Doch mittel- und langfristig profitieren Institute von deutlich klareren Abläufen, einer sauberen Dokumentation der Zuständigkeiten und einer spürbar verbesserten Reaktionsfähigkeit – insbesondere bei Vorfällen und Prüfungen.

Dora zeigt sich weniger als Innovationsmotor, sondern als Strukturprogramm, das gezielt digitale Verwundbarkeit reduziert und Resilienz zur strategischen Kernkompetenz macht. Gerade im spezialisierten Bereich der Vermögensverwaltung, wo Vertrauen das zentrale Kapital darstellt, wird die Fähigkeit, widerstandsfähig und transparent auf digitale Risiken zu reagieren, zum entscheidenden Wettbewerbsfaktor.

Philipp Hendel | Bildquelle: drrp Rechtsanwälte

Über Philipp Hendel

Rechtsanwalt Philipp Hendel ist Fachanwalt für Bank- und Kapitalmarktrecht und Partner bei der Wirtschaftskanzlei DRRP Rechtsanwälte (Eigenschreibweise: drrp) in München. Er berät zahlreiche Banken und Finanzdienstleister in regulatorischen Fragen.