DORA-Jahrestag: Finanzbranche unter verschärfter Aufsicht

Die EU-Digitalregulierung DORA ist seit einem Jahr in Kraft – und der Druck auf Banken und Versicherer steigt. Eine neue Kooperation mit britischen Aufsehern verschärft die Kontrolle von Tech-Giganten wie AWS und Microsoft.

Brüssel. Genau ein Jahr nach dem Start des europäischen Digital Resilience Act (DORA) tritt die Finanzaufsicht in eine neue Phase ein. Statt Vorbereitung steht nun der Nachweis robuster IT-Systeme im Fokus. Ein neues Abkommen zwischen EU- und UK-Aufsehern unterstreicht diese Entwicklung: Es etabliert einen formalen Rahmen für Informationsaustausch und koordinierte Überwachung kritischer Technologieanbieter.

Das Memorandum of Understanding wurde am 14. Januar 2026 zwischen den Europäischen Aufsichtsbehörden (EBA, EIOPA, ESMA) und ihren britischen Pendants, darunter die Bank of England und die Financial Conduct Authority, unterzeichnet. Ziel ist es, das Risikomanagement für Drittanbieter zu verbessern, die operative Widerstandsfähigkeit zu stärken und den regulatorischen Aufwand für grenzüberschreitend tätige Unternehmen zu verringern.

Für rund 22.000 Finanzinstitute in der EU war das erste DORA-Jahr eine Herausforderung. Die Vorschriften decken alles ab – von IT-Risikomanagement über Störfallmeldungen bis zu Resilienztests. Trotz erheblicher Investitionen in neue Sicherheitsprotokolle hinken viele Unternehmen den Anforderungen hinterher.

Passend zum Thema DORA — viele Finanzinstitute kämpfen mit IT‑Resilienz und Drittanbieterrisiken. Der kostenlose E‑Book‑Report „Cyber Security Awareness Trends“ fasst aktuelle Bedrohungen, neue gesetzliche Vorgaben (inkl. KI‑Regulierung) und praxiserprobte Schutzmaßnahmen zusammen. Mit konkreten Checklisten, Priorisierungs‑Tools und sofort umsetzbaren Maßnahmen hilft er IT‑ und Compliance‑Teams, Prüfungen vorzubereiten und Sicherheitslücken gezielt zu schließen. Jetzt kostenlosen Cyber-Security-Guide herunterladen

Besonders schwierig gestaltet sich das Management von Drittanbieterrisiken. Die fünf Kernpfeiler der Verordnung legen großen Wert auf die gesamte Lieferkette. Die Pflicht zur Führung eines detaillierten Vertragsregisters mit allen IT-Dienstleistern bereitet vielen Instituten Kopfzerbrechen. Kompliziert wird dies durch die notwendige Transparenz bei Unterauftragnehmern und die Bewertung von Konzentrationsrisiken.

Die Compliance-Kosten sind erheblich: Viele Unternehmen berichten von Aufwendungen in Millionenhöhe. Neben Budgetengpässen fehlt es auch an qualifiziertem Personal für die Umsetzung der anspruchsvollen DORA-Anforderungen.

Mit der Ende 2025 abgeschlossenen Implementierungsphase tritt 2026 eine Wende ein: Von der Planung geht es zum Nachweis. Sowohl EBA als auch ESMA haben operative Resilienz ganz oben auf ihre Agenda gesetzt. Die Aufseher werden klare Belege fordern – durch strenge Tests, vollständige Risikoregister und ausgereifte Meldeverfahren.

Ein Meilenstein des ersten Jahres war die offizielle Einstufung von 19 Unternehmen als kritische Drittanbieter. Darunter Tech-Giganten wie AWS, Google Cloud und Microsoft. Sie unterliegen nun der direkten und verschärften Aufsicht durch die europäischen Behörden. Das neue MoU mit den UK-Behörden stärkt diese Kontrolle auf internationaler Ebene.

Die EU-Kommission wird zudem am heutigen Jahrestag einen Bericht vorlegen, der prüft, ob der DORA-Geltungsbereich auf Wirtschaftsprüfer und Prüfungsgesellschaften ausgeweitet werden soll. Diese Überprüfung könnte die Reichweite der Verordnung erheblich vergrößern.

Resilienz als Wettbewerbsvorteil

Im zweiten Jahr verändert DORA die Beziehung zwischen Finanzunternehmen und ihren Technologielieferanten grundlegend. Anbieter von SaaS, PaaS und IaaS sehen sich mit verstärkten Due-Diligence-Anfragen und dem Druck konfrontiert, vertraglich höhere Resilienzstandards zu garantieren. Cybersicherheit ist kein einfaches Compliance-Häkchen mehr, sondern eine Überlebensfrage.

Experten raten dazu, Automatisierung und KI zu nutzen, um Compliance-Aufwände zu straffen, Störfälle schneller zu erkennen und Sicherheitsteams zu entlasten. Das Ziel ist eine durchgängige Compliance-Kultur in der gesamten Lieferkette.

Die in DORA kodifizierten Prinzipien – Lieferkettentransparenz, systematisches Risikomanagement und operative Kontinuität – werden zum globalen Vorbild für andere regulierte Branchen. Für EU-Finanzinstitute wird es entscheidend sein, über reine Compliance hinauszugehen und digitale Widerstandsfähigkeit als langfristigen Wettbewerbsvorteil zu begreifen. Nur so lässt sich Vertrauen stärken und operative Stabilität in einer zunehmend komplexen digitalen Landschaft gewährleisten.

PS: Automatisierung und KI sollen Compliance entlasten — die EU‑KI‑Regeln bringen aber neue Pflichten. Der kostenlose Umsetzungsleitfaden zur EU‑KI‑Verordnung erklärt Risikoklassen, Kennzeichnungspflichten und die Dokumentationsanforderungen, die Unternehmen jetzt beachten müssen, damit KI‑gestützte Lösungen rechtssicher bleiben. Ein kompakter Fahrplan, um KI‑Projekte compliant einzusetzen und Prüfungen souverän zu bestehen. Jetzt den kostenlosen KI-Umsetzungsleitfaden herunterladen