Dieser Artikel richtet sich ausschließlich an professionelle Investoren. Bitte melden Sie sich daher einmal kurz an und machen einige berufliche Angaben. Geht ganz schnell und ist selbstverständlich kostenlos.
Seit dem 17. Januar 2025 ist der Digital Operational Resilience Act (Dora) in Kraft – ein zentraler Baustein der europäischen Digital-Finance-Strategie.
Die regulatorischen Anforderungen der Dora haben für unabhängige Vermögensverwalter und Privatbanken eine neue Ära digitaler Verantwortlichkeit eingeläutet. Seit Inkrafttreten sind Institute gefordert, Organisations- und IT-Strukturen grundlegend zu überprüfen und fit für die Zukunft zu machen.
Mit ihrer Aufsichtsmitteilung vom 21. August 2025 hat die Bafin zudem klargestellt, wie der vereinfachte IKT-Risikomanagementrahmen nach Artikel 16 Dora auszulegen ist. Diese Ergänzung bringt Entlastung – aber keinen Freifahrtschein.
In den vergangenen zehn Monaten hat sich ein klareres Bild der operativen und strategischen Herausforderungen gezeichnet – Anlass genug, Bilanz zu ziehen.
Im Folgenden werden zehn zentrale Erkenntnisse aus zehn Monaten Dora-Praxis beleuchtet. Sie bieten einen praxisnahen Überblick über die wichtigsten Handlungsfelder, Erfahrungen und Learnings, die für Institute und Entscheider zur Basis einer nachhaltigen Resilienz und erfolgreichen Umsetzung geworden sind.
1. Unterschiedliche Reifegrade – Herausforderungen auf breiter Front
Die Vielfalt der Anforderungen unter Dora zwingt Institute dazu, die vollständige Inventarisierung sämtlicher IKT-Assets, konsequentes Incident-Management und die Anpassung von Cloud- sowie Outsourcing-Verträgen systematisch anzugehen. Häuser mit ausgeprägter Governance, Risikostrukturen und routinierter Lieferantensteuerung genießen hier spürbare Vorteile – der Reifegrad entscheidet über Tempo und Qualität der Umsetzung.
2. Drittanbieter-Verträge bleiben Dauerbaustellen
Der Nachbesserungsbedarf bei Audit-, Kontroll- und Exit-Rechten nach Artikel 28 bis 30 Dora ist enorm. Kleine und mittlere Häuser stoßen häufig bei globalen Dienstleistern an Grenzen, da nachträgliche Vertragsverhandlungen viel Zeit kosten. Die Praxis zeigt deutlich: Wer früh interne oder externe juristische und technische Unterstützung hinzuzieht und über eigene Vertragsmuster verfügt, navigiert schneller und effizienter durch diese Vertragsverhandlungsmarathons.
3. Der Begriff der IKT-Dienstleistung – Definition mit Folgen
Die präzise Abgrenzung, wann ein Service tatsächlich eine IKT-Dienstleistung nach Dora darstellt, bleibt ein Dauerbrenner. Hierzu hat die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) ein praxistaugliches Prüfschema vorgelegt. Nicht jede IT-gestützte Tätigkeit ist automatisch als IKT-Dienstleistung im Sinne der Dora zu qualifizieren.
Regulierte Finanzdienstleistungen sind nach Auffassung der Europäischen Kommission beispielsweise keine IKT-Dienstleistung, auch wenn es sich um einen IKT-Dienst handelt. Gleiches gilt, wenn ein Dienst mit einer Finanzdienstleistung untrennbar verbunden ist. Die europäischen Aufsichtsbehörden empfehlen daher eine zweistufige Prüfung:
- Liegt eine digitale oder datenbasierte Dienstleistung vor?
- Ist die Dienstleistung direkt an ein reguliertes Finanzgeschäft gebunden und wird von einem beaufsichtigten Institut erbracht?
Ist letztere Frage mit Ja zu beantworten, gilt die Leistung als Finanzdienstleistung und fällt nicht unter die speziellen IKT-Vorgaben der Dora.
Prüfschema: Handelt es sich um eine IKT-Dienstleistung?
4. Incident-Reporting als Belastungstest
Das Incident-Reporting nach Dora stellt insbesondere für kleinere Häuser einen spürbaren Belastungstest dar. Die Verordnung verpflichtet dazu, schwerwiegende IKT-Vorfälle in einem streng getakteten Verfahren zu melden: Zunächst ist eine Erstmeldung binnen 24 Stunden nach Bekanntwerden an die zuständige Behörde, gefolgt von Zwischen- (spätestens nach 72 Stunden) und Abschlussberichten, abzugeben. Meldeformate und Klassifizierungskriterien werden von der europäischen Aufsicht vorgegeben und verlangen eine präzise Abstimmung interner Prozesse.
Die Herausforderung verschärft sich dadurch, dass schwerwiegende IT-Sicherheitsvorfälle häufig gleichzeitig auch eine Meldepflicht nach DSGVO auslösen – zum Beispiel im Fall kompromittierter personenbezogener Daten. Praktisch bedeutet das: Prozesse und Eskalationsstufen müssen so verzahnt werden, dass keine Inkonsistenzen entstehen und Doppelarbeit vermieden wird.
Schnittstellenmanagement wird damit zur Pflichtdisziplin, um parallele oder sich überschneidende Meldewege (zum Beispiel an Bafin, Landesdatenschutzbehörden, Kunden) zu orchestrieren und widerspruchsfrei zu bedienen.
Für die Praxis heißt das:
- Die Detektion und Klassifizierung von Vorfällen ist zentral zu dokumentieren.
- Ein abgestimmter Melde-Workflow, der Dora- und DSGVO-Pflichten integriert, ist unverzichtbar.
- Lessons Learned aus jedem Vorfall sollten konsequent in die weitere IT- und Governance-Praxis einfließen. So lassen sich Wiederholungsfehler und Reputationsrisiken vermeiden.