DORA Compliance erfordert konkrete Maßnahmen in den Bereichen IKT-Risikomanagement, Business Continuity Management, IKT-Sicherheit und IKT-Drittanbietersteuerung – und ist erstmals gesetzlich prüfpflichtig.
Ein effizientes internes Kontrollsystem ist jetzt Pflicht – inklusive neuer Rollen, klarer Verantwortlichkeiten und enger Einbindung der Geschäftsleitung.
Ein moderner Vulnerability Management Prozess mit wöchentlichen Scans, automatisierten Abläufen und risikobasierter Priorisierung wird zum entscheidenden Faktor für Resilienz und Prüfungsfähigkeit.
Die EU-Verordnung DORA verändert das IKT-Risikomanagement grundlegend. Digitale Resilienz wird gesetzlich verpflichtend – mit Auswirkungen auf Organisation, Prozesse und Führung. Finanzinstitute müssen ein belastbares Kontrollsystem aufbauen, das technische und organisatorische Risiken abdeckt. Dieser Beitrag zeigt, welche Maßnahmen jetzt zählen – vom Vulnerability Management bis zur Verantwortung der Geschäftsleitung.
Neue DOR-Funktion im Risikomanagement: Mehr als Informationssicherheit
DORA verlangt nicht nur technische Sicherheitsmaßnahmen, sondern die institutionalisierte Verankerung digitaler Resilienz. Das bedeutet: Die klassische Rolle des Informationssicherheitsbeauftragten (ISB) nach BAIT reicht nicht mehr aus. Gefordert ist eine dedizierte DOR-Funktion innerhalb des Risikomanagements gemäß Artikel 6 Absatz 4 der DORA-Verordnung – mit strategischer Ausrichtung, technischer Expertise und klarer Governance-Anbindung.
Diese neue Funktion fungiert als Schnittstelle zwischen IT, Compliance, Business Continuity und Geschäftsleitung. Sie ist verantwortlich für die operative Umsetzung der DORA-Vorgaben und die Integration in das übergeordnete interne Kontrollsystem und Enterprise Risk Management. Kurz: Ein reiner Security-Fokus genügt nicht mehr – gefragt ist ganzheitliche Resilienz auf allen Ebenen.
Business Continuity & Incident Management unter DORA
DORA macht aus dem oft stiefmütterlich behandelten Business Continuity Management (BCM) einen zentralen Compliance-Baustein. Insbesondere im Availability- und Incident Management gelten künftig strengere Vorgaben: definierte Wiederanlaufzeiten (RTO/RPO), klare Eskalationsprozesse und verbindliche Berichtsfristen – z. B. 24 Stunden bei schwerwiegenden Vorfällen.
Neu ist auch die Pflicht zu regelmäßigen Szenarien-Tests, z. B. Cyberangriffe auf kritische Systeme, inklusive Analyse der Erkenntnisse. Technische Verfügbarkeit und organisatorische Reaktionsfähigkeit müssen stärker verzahnt werden. BCM wird damit zur operativen Säule der DORA Compliance.
Vulnerability Management Prozess: DORA erhöht den Druck
Ein zentrales Element von DORA ist ein intensiverer Vulnerability Management Prozess. Die Scan-Frequenz auf Schwachstellen steigt deutlich – meist von monatlich auf wöchentlich. Das erfordert mehr Ressourcen, mehr Automatisierung und vor allem eine risikobasierte Priorisierung. Nicht jede Lücke ist kritisch – aber jede muss bewertet und dokumentiert werden.
Auch die Reaktionszeiten verkürzen sich: Sicherheitsupdates müssen möglichst unmittelbar erfolgen. Tools wie SIEM, SOAR und IT Asset Management müssen angepasst und stärker integriert werden. Kommunikation über Abteilungsgrenzen hinweg ist entscheidend – besonders bei Abhängigkeiten zu Drittanbietern.
Ein möglicher Lösungsbaustein sind vernetzte GRC-Tools mit Schnittstellen zu Vertragsdatenbanken oder zur CMDB. Im Zielbild entsteht so ein vollumfänglicher Informationsverbund, der als zentrale Basis für ein wirksames, risikoorientiertes Vulnerability Management dient.
Ein praktisches Beispiel: Wenn wöchentlich gescannt wird, können auch wöchentlich neue Schwachstellen auftauchen – und diese müssen zeitnah geschlossen werden. Dafür ist ein leistungsfähiger Patchmanagement-Prozess notwendig. Auch Notfallpatches müssen vor dem Produktivgang getestet werden, was zusätzliche Koordination erfordert. In vielen Fällen kann es sinnvoll sein, Test- und Releasezyklen grundsätzlich zu überdenken und agiler auszurichten, um sowohl regulatorische Anforderungen zu erfüllen als auch die Stabilität der Systeme zu sichern.
Verantwortung der Geschäftsleitung: DORA macht‘s verbindlich
DORA verankert die persönliche Verantwortung der Geschäftsleitung für die operationale Resilienz der IKT-Landschaft – und zwar nicht mehr nur als aufsichtsrechtliche Erwartung wie in der BAIT, sondern als unmittelbar geltendes EU-Recht mit klaren juristischen Konsequenzen.
Das Top-Management muss sich aktiv einbringen: Regelmäßige Berichte, explizite Zustimmungen, fundierte Schulungen und ein nachweisbares Verständnis der IKT-Risiken sind verpflichtend. Bestimmte Aufgaben – etwa strategische Entscheidungen zu Resilienzmaßnahmen – dürfen nicht mehr delegiert werden.
BaFin und Bundesbank haben im Aufsichtsbriefing 2025 ausdrücklich betont, dass im Bereich Governance keine Schwachstellen mehr toleriert werden. Die Schwerpunkte des Briefings im Detail können Sie dem Beitrag unserer Kollegen zum Thema “Aufsichtsschwerpunkte im Spannungsverhältnis von digitaler und finanzieller Resilienz” entnehmen.
Drittanbieter-Risiko: Verträge, Governance und Monitoring
Die Abhängigkeit von IKT-Dienstleistern nimmt zu – von Cloud-Anbietern über SaaS bis zu Speziallösungen. DORA verschärft die Anforderungen an das Drittanbieter-Management erheblich: Vertragsinhalte, Kontrollrechte, Exit-Strategien, Risikoanalysen – alles muss detaillierter, standardisierter und zentral dokumentiert sein.
Ein zentrales Auslagerungsmanagement (z. B. ZAM) wird zur Pflicht. Die Governance-Strukturen müssen klar geregelt sein. Tools zur Automatisierung von Vertrags- und Risikoprozessen sind nicht nur hilfreich, sondern notwendig, um die Komplexität zu beherrschen.
Aus unserer Projekterfahrung zeigt sich dabei ein typisches Problem: Bei älteren Bestandsverträgen fehlt oft ein klarer Vertragsverantwortlicher – was die nachträgliche Zuordnung, Bewertung und Anpassung erheblich erschwert. Besonders aufwändig ist die Umklassifizierung und Neuverhandlung von Verträgen, die bisher als „sonstiger Fremdbezug“ galten und bislang nicht den strengen IKT-Vorgaben unterlagen.
DORA ist prüfpflichtig – und beeinflusst die Jahresabschlussprüfung
Ein entscheidender Unterschied zur BAIT: DORA Compliance ist gesetzlich verankert und explizit Teil der Jahresabschlussprüfung. Änderungen in der Prüfberichtsverordnung sowie in § 29 Abs. 1 Nr. 2 m KWG machen IKT-bezogene Anforderungen nach DORA voll prüfungsrelevant – inklusive Nachweis-, Dokumentations- und Wirksamkeitspflichten.
Unternehmen sollten sich frühzeitig auf standardisierte Prüfverfahren vorbereiten, die aktuell von Wirtschaftsprüfungsgesellschaften entwickelt werden. Das Audit Management muss entsprechend angepasst, die Prüfvorbereitung deutlich ausgeweitet werden. Nicht-Compliance kann zu ernsthaften Reputations- und Aufsichtsproblemen führen – und auch direkt in Prüfungsvermerken sichtbar werden.
Fazit
DORA ist mehr als ein weiteres IT-Regelwerk – es ist ein regulatorischer Gamechanger. Die Anforderungen an DORA Compliance sind komplex, die Übergangsfristen kurz, die Risiken hoch. Wer jetzt nicht handelt, riskiert nicht nur Prüfungsvermerke, sondern auch strategische Wettbewerbsnachteile. Der Aufbau eines tragfähigen internen Kontrollsystems und ein effizienter Vulnerability Management Prozess sind dabei nur zwei von vielen Bausteinen. Entscheidend ist, dass Organisation, Prozesse, Tools und Führungskultur gemeinsam auf digitale Resilienz ausgerichtet werden – nachhaltig, dokumentiert und prüfbar.
Verfasst von
