« Resilienz statt Rausch: BNP Paribas über die Zukunft der Bank | Home | Resilienz braucht Führung, nicht nur Vorschrift »
DORA: Regulatorische Pflicht oder echter Resilienztest für den Finanzsektor?
Von Dr. Oliver Everling | 14.Mai 2025
Auf der 20. Jahreskonferenz „Finanzdienstleister der nächsten Generation“ des Frankfurt School Forum diskutierten Armin Reinhardt, Senior Manager Risk Advisory Insurance bei Deloitte, und Jens Bläser, Director bei Deloitte, eine der drängendsten Fragen der Branche: „Macht DORA Finanzinstitute wirklich widerstandsfähiger?“ Ihre gemeinsame Analyse des Digital Operational Resilience Act(DORA) offenbarte ein differenziertes Bild – zwischen regulatorischer Notwendigkeit, strukturellem Paradigmenwechsel und praktischen Herausforderungen bei der Umsetzung.
Beide Experten machten deutlich: DORA verändert die Spielregeln im Finanzsektor grundlegend. Während früher einzelne Vorgaben ausreichten, verlangt DORA ein durchgängiges, wirksam funktionierendes Resilienzmanagement. Es geht nicht mehr nur darum, Dokumente zu erstellen, sondern darum, dass Prozesse tatsächlich gelebt werden – im Alltag, in der Krise, in der gesamten digitalen Infrastruktur. Der Anspruch ist hoch: Resilienz muss messbar, steuerbar und überprüfbar sein – und zwar institutionenweit.
Dabei greift die Regulierung tief in bestehende Strukturen ein. Erstmals kommen viele IT-Dienstleister, die bisher im Hintergrund arbeiteten, durch DORA direkt in den Fokus der Bankenaufsicht. Ob Informationsregister, IKT-Vorfälle oder Drittparteirisiken: Die Anforderungen an Governance, Risiko- und Incident-Management steigen erheblich. Die Referenten zeigten auf, dass der aktuelle Umsetzungsstand in der Praxis stark variiert – insbesondere in den Dimensionen Governance & Strategie, IKT-Risikomanagement, Drittparteiensteuerung, Vorfallmanagement, Business Continuity Management sowie Testing.
Ein besonderer Schwerpunkt lag auf dem Threat-Led Penetration Testing (TLPT). Wer dieses verpflichtende Testverfahren unterlässt, riskiert empfindliche Sanktionen – laut Jens Bläser bis zu 5 Millionen Euro. Auch eine Nichtmeldung von IKT-bezogenen Vorfällen kann teuer werden. Verstöße gegen DORA betreffen nicht nur das FinmadiG, sondern ebenso VAG und KWG. Damit wird deutlich: Die digitale operative Resilienz ist kein Spezialthema mehr, sondern rückt ins Zentrum regulatorischer Aufsicht.
Trotz aller Anforderungen und Risiken bleiben gewisse Einschränkungen. Reinhardt und Bläser betonten, dass auch ein vollständig DORA-konformes Institut nicht automatisch vor digitalen Angriffen geschützt ist. Wenn Angriffe im Hintergrund unentdeckt bleiben, Daten extrahiert und Spuren verwischt werden, können selbst umfangreiche Resilienzmaßnahmen ins Leere laufen. DORA decke zwar alle Phasen eines Angriffs ab – vom Eindringen bis zur Datenausleitung –, doch letztlich komme es auf die konsequente Umsetzung und operative Wirksamkeit an.
Fazit der beiden Deloitte-Experten: DORA bringt ohne Zweifel ein neues Resilienzniveau in die Finanzbranche – jedoch nur dann, wenn die Regeln nicht nur dokumentiert, sondern auch täglich gelebt und geprüft werden. Der Weg zur echten Widerstandsfähigkeit ist damit nicht nur ein regulatorischer, sondern vor allem ein kultureller und technologischer Transformationsprozess.
Themen: Bankenrating | Kommentare deaktiviert für DORA: Regulatorische Pflicht oder echter Resilienztest für den Finanzsektor?
Kommentare geschlossen.
Börse hören. Interviews zu aktuellen Ratingfragen im Börsen Radio Network. Hier klicken für alle Aufzeichnungen mit Dr. Oliver Everling seit 2006 als Podcasts.
