Blog (custom content)

DORA in der Praxis: Was nach dem Go-live wirklich zählt

<b>NEWS 03/2025</b><br><br> Mit dem Inkrafttreten des Digital Operational Resilience Act (DORA) für Institute und Finanzdienstleister hat die Europäische Union einen entscheidenden Schritt zur Harmonisierung und Stärkung der IT-Sicherheits- und Resilienzanforderungen gesetzt. Nun zeigt sich, welche Hürden Institute überwinden müssen, welche Lösungsansätze sich etabliert haben – und wo weiterhin Herausforderungen bestehen.

12/08/25
Aufsichtsrecht, Digitalisierung
DORA in der Praxis: Was nach dem Go-live wirklich zählt

Warum DORA mehr als nur ein weiteres Regelwerk ist

Mit dem Inkrafttreten des Digital Operational Resilience Act (DORA) für Institute und Finanzdienstleister hat die Europäische Union einen entscheidenden Schritt zur Harmonisierung und Stärkung der IT-Sicherheits- und Resilienzanforderungen gesetzt. DORA formuliert einen einheitlichen regulatorischen Rahmen, der die „operational resilience“ – also die Fähigkeit, IT-bezogene Störungen und Angriffe zu bewältigen – sicherstellen soll.

Für Institute bedeutet dies nicht nur Compliance, sondern eine signifikante Änderung im Umgang mit IT-Risiken, der Dienstleistersteuerung und der internen Kontrollsysteme. Aufgrund der Komplexität und des regulativen Drucks war und ist die Umsetzung für viele Institute eine Herausforderung. Es zeigt sich, welche Hürden Institute überwinden müssen, welche Lösungsansätze sich etabliert haben – und wo weiterhin Herausforderungen bestehen.

Typische Herausforderungen bei der Umsetzung

Die Umsetzung von DORA entpuppte sich in der Praxis als vielschichtiger Prozess mit zahlreichen Reibungspunkten:

Lessons Learned und Erfolgsfaktoren: Was sich in der Praxis bewährt hat

In der Praxis haben sich mehrere Muster herauskristallisiert, die für den Erfolg entscheidend waren:

Auswirkungen auf Banken und Finanzdienstleister

Fazit und Ausblick: DORA – von der Pflicht zur Chance

Die Umsetzung von DORA war und ist für Institute ein erheblicher Kraftakt. Sie zwingt Institute dazu, ihre Prozesse, Strukturen und Abhängigkeiten grundlegend zu hinterfragen. Die zentrale Erkenntnis aus den Projekten lautet: Wer DORA nicht nur als regulatorische Pflicht behandelt, wird langfristig profitieren. Erfolgreiche Institute nutzen die Gelegenheit, Resilienz als strategischen Vorteil auszubauen.

Für die kommenden Jahre ist absehbar, dass die Aufsichtsbehörden nicht nur auf formale Dokumentationen achten, sondern die tatsächliche Belastbarkeit der Strukturen prüfen werden. Institute sollten daher den Weg der kontinuierlichen Verbesserung einschlagen: regelmäßige Tests, enge Verzahnung der Governance und eine Kultur, in der Resilienz selbstverständlich gelebt wird.

Am Ende zeigt sich: DORA ist weniger ein zusätzlicher Regulierungsaufwand als vielmehr ein Katalysator für die Modernisierung der Finanzbranche. Wer die Lehren aus den bisherigen Projekten ernst nimmt, stärkt nicht nur seine Compliance, sondern auch die eigene Zukunftsfähigkeit.