DORA im Jahr 2026: Was uns 15 Monate der Durchsetzung gelehrt haben

Was DORA ist, in einem Absatz

DORA ist der harmonisierte EU-Rahmen für die digitale operationale Resilienz im gesamten Finanzsektor. Sie gilt für fast alle regulierten Finanzunternehmen (Banken, Versicherungen, Vermögensverwalter, Zahlungsdienstleister, Krypto-Asset-Dienstleister und weitere), zusammen mit ihren IKT-Dienstleistern, selbst wenn diese Anbieter außerhalb der EU ansässig sind. Sie trat am 16. Januar 2023 in Kraft und wurde am 17. Januar 2025. Die Verordnung basiert auf fünf Säulen: IKT-Risikomanagement, Meldung IKT-bezogener Vorfälle, Tests zur digitalen operationalen Resilienz, IKT-Drittparteien-Risikomanagement und Informationsaustausch über Cyberbedrohungen.

Wo wir im April 2026 stehen

Die 15-Monats-Marke ist ein nützlicher Zeitpunkt, da mehrere Meilensteine des ersten Zyklus nun erreicht wurden.

Die ersten Einreichungen für das Informationsregister sind erfolgt. Finanzunternehmen haben ihre ersten Informationsregister (RoI) Anfang 2025 bei den nationalen zuständigen Behörden eingereicht, wobei die konsolidierten Register die ESAs bis zum 30. April 2025 erreichten. Die niederländische Zentralbank, die deutsche BaFin, FINMA-nahe Schweizer Unternehmen mit EU-Bezug und andere NCAs haben nun alle einen vollständigen Zyklus durchlaufen. Branchen-Feedback, auch von der AFME, war offen: Die Einreichungen des ersten Zyklus waren schwierig, mit fragmentierten Zeitplänen zwischen den nationalen Behörden, inkonsistenten Leitlinien und Überraschungen bei den Validierungsregeln. Der zweite Zyklus, der im Frühjahr 2026 fällig ist, wird voraussichtlich reibungsloser verlaufen, zeigt aber bereits, dass die Datenqualität und nicht die Datenerfassung die eigentliche Herausforderung ist.

Die ersten CTPPs wurden benannt. Im November 2025 benannten die ESAs die erste Tranche kritischer IKT-Drittanbieter (CTPPs), eine Gruppe von etwa 19 Anbietern, deren Dienstleistungen für den EU-Finanzsektor nun unter direkter EU-weiter Aufsicht stehen. Die Benennungen haben praktische Konsequenzen sowohl für die Anbieter (die mit EU-Aufsichtsengagement, Gebühren und formellen Berichtspflichten konfrontiert sind) als auch für Finanzunternehmen (deren Drittanbieterregister nun den CTPP-Status widerspiegeln müssen und deren vertragliche Vereinbarungen mit diesen Anbietern einer genaueren Prüfung unterliegen).

Die Regeln für die Untervergabe sind finalisiert. Die Regulierungsstandards (RTS) für die IKT-Untervergabe wurden im März 2025 nach langwierigen Verhandlungen zwischen den ESAs und der Europäischen Kommission verabschiedet. Dies ist wichtig, da die Untervergabe der Bereich ist, in dem die meisten Drittparteirisiken tatsächlich liegen, und die RTS den Aufsichtsbehörden eine klarere Grundlage bieten, um kritische Fragen zu Abhängigkeitsketten zu stellen.

TLPT geht von der Theorie in die Praxis über. Institutionen, die für Threat-Led Penetration Testing (TLPT) als relevant eingestuft wurden, befinden sich nun in aktiven Scoping-Gesprächen. TLPT ist keine jährliche Hygieneübung, sondern ein ernsthaftes, mehrmonatiges, nachrichtendienstlich gesteuertes Programm, und die erste Welle von Institutionen erfährt gerade, wie ernst es ist.

Was die fünf DORA-Säulen tatsächlich erfordern

Mit einem Abstand von 15 Monaten ist es möglich, jede Säule weniger abstrakt zu beschreiben.

• ‍IKT-Risikomanagement. Ein dokumentiertes, vom Vorstand verantwortetes Rahmenwerk. Die Verantwortung liegt beim Leitungsorgan, nicht beim CISO. In der Praxis wollen die Aufsichtsbehörden Nachweise sehen, dass der Vorstand das Rahmenwerk gelesen, diskutiert und genehmigt hat und dass Governance-Artefakte (Protokolle von Ausschusssitzungen, Genehmigungen, Eskalationsaufzeichnungen) dies untermauern.‍
• Meldung von IKT-bezogenen Vorfällen. Schwerwiegende IKT-bezogene Vorfälle müssen der zuständigen Behörde innerhalb eines engen Zeitrahmens gemeldet werden: erste Meldung innerhalb von Stunden, Zwischenmeldung innerhalb von 72 Stunden, Abschlussbericht innerhalb eines Monats. Die Klassifizierungsschwellen sind der operativ anspruchsvollste Teil. In den Jahren 2025 und Anfang 2026 haben sich die Aufsichtsbehörden besonders dafür interessiert, ob Institutionen zu viele oder zu wenige Vorfälle melden und ob die Klassifizierung gegenüber den RTS vertretbar ist.
• ‍Tests zur digitalen operationellen Resilienz. Ein Testprogramm, das von Schwachstellenanalysen bis hin zu vollständigen TLPTs für benannte Unternehmen reicht. Penetrationstests sind für Banken nichts Neues. TLPT, mit seiner Bedrohungsanalyse-gesteuerten Umfangsbestimmung und Red-Team-Mechanismen, ist für die meisten neu, und die ersten Engagements dauern deutlich länger, als die Institutionen geplant hatten.‍
• IKT-Drittparteirisikomanagement. Hier floss der Großteil der Anstrengungen im Jahr 2025 hinein, und hier wird auch der Großteil der Anstrengungen im Jahr 2026 fortgesetzt. Das Informationsregister ist das Ergebnis, aber die eigentliche Arbeit ist die zugrunde liegende Disziplin: zu verstehen, woher IKT-Dienste stammen, welche kritische oder wichtige Funktionen unterstützen, wo Sub-Outsourcing-Ketten Konzentrationsrisiken einführen und ob Verträge tatsächlich die von DORA geforderten Klauseln enthalten.‍
• Informationsaustausch über Cyber-Bedrohungen. In der Praxis die Säule mit dem geringsten Aufwand, aber es wird erwartet, dass sie sich 2026 weiterentwickelt, wenn branchenspezifische Informationsaustauschvereinbarungen ausgereift sind.

Die fünf Dinge, die sich tatsächlich als schwierig erwiesen haben

Betrachtet man die letzten 15 Monate, so haben sich bestimmte Muster institutionenübergreifend, unabhängig von ihrer Größe, wiederholt.

• ‍Datenqualität des Informationsregisters. Die Einreichungen des ersten Zyklus wurden abgeschlossen, aber die Rückmeldungen aus Validierungsregeln und NCA-Prüfungen zeigten erhebliche Qualitätsmängel auf. Freitextfelder wurden verwendet, wo kontrollierte Vokabulare erwartet wurden. Entitätskennungen waren inkonsistent. Sub-Outsourcing-Beziehungen waren unterrepräsentiert. Der Zyklus 2026 dreht sich für viele Institutionen weniger um den Aufbau des Registers als vielmehr um dessen Reparatur.‍
• Abbildung kritischer oder wichtiger Funktionen. Das Informationsregister (RoI) ist um kritische oder wichtige Funktionen (CIFs) herum organisiert, aber die Abbildung von Geschäftsprozessen über CIFs zu unterstützenden IKT-Diensten ist nicht trivial, insbesondere bei Universalbanken mit langen Altsystemen. Diese Abbildung korrekt zu erstellen, ist eine Voraussetzung für alles andere.‍
• Vertragliche Nachbesserung in großem Umfang. DORA verlangt spezifische Klauseln in IKT-Verträgen, die CIFs abdecken, einschließlich Prüfrechten, Exit-Strategien, Transparenz bei Sub-Outsourcing und Resilienzpflichten. Das Umschreiben oder Ergänzen Tausender Verträge innerhalb eines Zeitfensters von 12 bis 18 Monaten war eine erhebliche rechtliche und operative Belastung, und die Nachbesserung ist bei den meisten Institutionen noch nicht abgeschlossen.‍
• Transparenz bei Multi-Cloud- und Multi-Jurisdiktions-Umgebungen. Hybride und Multi-Cloud-Umgebungen erschweren es, jederzeit nachzuweisen, wo sensible Daten tatsächlich verarbeitet und gespeichert werden. Dies war schon vor DORA eine Herausforderung. DORA hat es lediglich zu einer Prüfungsfrage gemacht.‍
• Regulierungsübergreifende Kohärenz. DORA, NIS-2, DSGVO und (für Schweizer Institutionen) die FINMA-Richtlinien behandeln alle überlappende Bereiche aus unterschiedlichen Blickwinkeln. Institutionen, die mehreren Regelwerken unterliegen, haben festgestellt, dass eine einmalige Harmonisierung der Kontrollen mehr Wert hat, als die Fragen jeder Aufsichtsbehörde einzeln zu beantworten.

Was SecureSafe CEO Alexander Sommer gesagt hat

„Es reicht nicht mehr aus, die eigene technische Infrastruktur abzusichern. Banken und Finanzdienstleister müssen jederzeit nachweisen können, wie sensible Daten intern und extern verarbeitet, gespeichert und weitergegeben werden.“ — Alexander Sommer, CEO, SecureSafe, zitiert in Springer Professional.

Fünfzehn Monate später liest sich die Aussage weniger als Warnung, sondern vielmehr als Beschreibung der aktuellen Aufsichtsrealität. Dies wiederholt und über die gesamte Lieferkette hinweg nachzuweisen, ist das, was DORA zu einem festen Bestandteil der Aufgabe gemacht hat.

Was jetzt hilft

Das praktische Playbook ist ausgereift. Für Institutionen, die noch aufholen müssen, oder für diejenigen, die sich auf den zweiten RoI-Zyklus vorbereiten, helfen drei Dinge konstant.

• ‍Eine saubere Gap-Analyse. Keine Checkliste, sondern ein echter Vergleich zwischen dem, was die Regulierung verlangt, und dem, was die Institution tatsächlich nachweisen kann. Die 2025 festgestellten Lücken unterschieden sich von den Lücken, die Institutionen 2024 erwartet hatten.‍
• Eine disziplinierte Funktion für das Drittanbieter-Management. Zentrale Verantwortung für den RoI, zentrale Vertragsmuster, zentrale Kritikalitätsklassifizierung. Die Institutionen, die dies frühzeitig umgesetzt haben, haben nun weniger Schwierigkeiten im zweiten Zyklus.‍
• Tools, die Audit-Trails als Nebeneffekt erzeugen. Überwachungs-, Berichts- und Incident-Response-Tools, die standardmäßig nachweisbare Beweise generieren, anstatt dass Beweise nachträglich rekonstruiert werden müssen.

Wie SecureSafe DORA-konforme Operationen unterstützt

SecureSafe, betrieben von DSwiss AG, basiert auf einer Architektur, die direkt auf mehrere DORA-relevante Erwartungen für den Umgang mit sensiblen Daten und Dokumenten abgestimmt ist.

• ‍Datenstandort Schweiz, unter Schweizer Rechtsprechung (revDSG / FADP), mit Tier-III-Rechenzentren und dreifacher Redundanz. Für EU-Finanzinstitute, die SecureSafe im Rahmen grenzüberschreitender Verträge nutzen, bedeutet dies ein klares ICT-Drittanbieterprofil mit definierten rechtlichen und operativen Grenzen.‍
• Verschlüsselung und Zero-Knowledge-Architektur: AES-256 im Ruhezustand, TLS während der Übertragung, Umschlagverschlüsselung und ein Zero-Knowledge-Modell, bei dem SecureSafe-Mitarbeiter im Normalbetrieb keinen Zugriff auf entschlüsselte Kundeninhalte haben. Ausnahmezugriffe sind durch das Vier-Augen-Prinzip (M-von-N-Genehmigung), zeitlich begrenzte Just-in-Time-Workflows und unveränderliche Protokollierung geschützt.‍
• Identitäts- und Zugriffsmanagement: MFA-Erzwingung, SSO über SAML und OIDC, SCIM-basierter Benutzerlebenszyklus, RBAC- und ABAC-Zugriffsmodelle sowie umfassende Audit-Protokolle, die den Nachweis bei Bedarf unterstützen.‍
• Zusicherung: ISO/IEC 27001-Zertifizierung, Ausrichtung an revDSG / FADP und DSGVO sowie Unterstützung der DORA- und NIS-2-Anforderungen für Institutionen, die diesen Regelwerken unterliegen.

Diese Eigenschaften allein machen ein Institut nicht DORA-konform. Die Konformität wird vom Finanzinstitut selbst festgestellt, nicht von einem Anbieter. Sie reduzieren jedoch den Aufwand, eine bestimmte Art von ICT-Drittanbietervereinbarung sauber im Informationsregister und in Audit-Gesprächen zu dokumentieren.