Viele Unternehmen betrachten regulatorische Vorgaben zunächst als zusätzliche Belastung. Neue Gesetze bringen neue Pflichten, mehr Dokumentation, strengere Kontrollen – und das alles kostet Zeit, Geld und Nerven. Auch beim Digital Operational Resilience Act (DORA) war die erste Reaktion in manchen Vorständen und IT-Abteilungen verhalten. „Schon wieder eine EU-Verordnung, die uns Arbeit macht“, lautete der Tenor. Doch wer DORA nur als Pflichtübung versteht, übersieht das Potenzial, das in dieser Verordnung steckt. Richtig umgesetzt, kann DORA nicht nur helfen, Risiken zu reduzieren und Compliance sicherzustellen, sondern auch zu einem echten Wettbewerbsvorteil werden. Resilienz ist in einer digitalisierten Wirtschaft nicht nur eine Frage der Sicherheit – sie ist ein entscheidender Faktor für Vertrauen, Reputation und langfristigen Erfolg.

Das beginnt mit einem Blick auf die Grundidee hinter DORA. Die Verordnung will nicht einfach nur Mindeststandards für die IT-Sicherheit festlegen, sondern die gesamte digitale Widerstandsfähigkeit von Finanzunternehmen und ihren Dienstleistern stärken. Das umfasst Risikomanagement, Vorfallsmeldung, Resilienztests, den Umgang mit Drittparteien und den Informationsaustausch im Sektor. Wer diese fünf Säulen konsequent umsetzt, ist nicht nur gesetzeskonform, sondern auch deutlich robuster gegenüber Cyberangriffen, Systemausfällen oder Lieferkettenstörungen. Diese Robustheit ist kein Selbstzweck – sie sorgt dafür, dass das Unternehmen in Krisensituationen handlungsfähig bleibt, Kundenbeziehungen stabil hält und Schäden minimiert.

Der Digital Operational Resilience Act, kurz DORA, ist mehr als nur ein weiteres EU-Regelwerk. Er ist ein Paradigmenwechsel in der Art und Weise, wie Finanzunternehmen und ihre Dienstleister digitale Resilienz verstehen und umsetzen müssen. Mit dem Stichtag 17. Januar 2025 rückt die Frist für die vollständige Umsetzung immer näher, und in vielen Organisationen ist die Erkenntnis gereift: Wer jetzt nicht mit einem strukturierten Fahrplan startet, wird später unter Zeitdruck geraten und riskieren, halbherzige Lösungen einzuführen, die weder den regulatorischen Anforderungen noch den eigenen Sicherheitsbedürfnissen gerecht werden. Der Einstieg in ein DORA-Compliance-Projekt erfordert Klarheit, Prioritätensetzung und ein Vorgehen, das nicht nur den Gesetzestext abarbeitet, sondern den gesamten Ansatz der digitalen Resilienz verinnerlicht. Es geht nicht darum, einen dicken Ordner mit Richtlinien zu füllen, sondern darum, eine Organisation so aufzustellen, dass sie auch unter massiven digitalen Störungen weiter handlungsfähig bleibt.

Der erste Schritt ist die Bestandsaufnahme. Bevor Maßnahmen geplant werden können, muss klar sein, wo die Organisation heute steht. Dazu gehört eine Analyse der vorhandenen Prozesse im IKT-Risikomanagement, der bestehenden Meldeverfahren für Vorfälle, der Testlandschaft, der Steuerung von Drittparteien und der Beteiligung an Informationsaustauschinitiativen. Diese Bestandsaufnahme sollte nicht oberflächlich bleiben, sondern systematisch und auf Basis der fünf DORA-Säulen erfolgen. Dabei wird oft sichtbar, dass manche Bereiche gut entwickelt sind, während andere kaum Strukturen haben. Gerade bei der Incident-Response oder der formalen Lieferantenbewertung zeigt sich in vielen Unternehmen noch erheblicher Handlungsbedarf.

Wenn man sich mit dem Digital Operational Resilience Act – kurz DORA – beschäftigt, stellt sich schnell die Frage, wen diese neue EU-Verordnung eigentlich betrifft. Auf den ersten Blick scheint die Antwort einfach: „Die Finanzbranche.“ Doch wer genauer hinschaut, erkennt, dass DORA nicht nur Banken und Versicherungen ins Visier nimmt, sondern einen weitaus größeren Kreis von Unternehmen – und dass manche Akteure überrascht sein könnten, wie direkt sie unter die neuen Vorgaben fallen. Die EU hat das Gesetz bewusst breit gefasst, um nicht nur die großen, offensichtlichen Player zu erfassen, sondern das gesamte digitale Ökosystem, das den europäischen Finanzmarkt stützt. Die Begründung ist einfach: Digitale Resilienz funktioniert nur dann, wenn nicht nur die sichtbarsten Akteure abgesichert sind, sondern auch alle kritischen Verbindungen dazwischen.

Beginnen wir mit der Kernzielgruppe. Banken und Kreditinstitute gehören selbstverständlich zu den Unternehmen, die DORA direkt betrifft. Das Gleiche gilt für Versicherungsunternehmen, Rückversicherer und Wertpapierfirmen. Auch Betreiber von Handelsplätzen und zentrale Gegenparteien, also Einrichtungen, die zwischen Käufer und Verkäufer im Wertpapierhandel stehen, fallen klar unter den Geltungsbereich. Ebenfalls eingeschlossen sind Betreiber von Zahlungssystemen sowie Verwahrstellen und zentrale Wertpapierverwahrstellen. Damit stellt DORA sicher, dass die zentrale Infrastruktur des europäischen Finanzmarkts auf digitale Störungen vorbereitet ist.

Seit Jahren diskutieren Politik, Wirtschaft und IT-Sicherheits-Expert:innen über die Frage, wie man die digitale Widerstandsfähigkeit (Resilienz) von Finanzunternehmen in Europa einheitlich, verbindlich und zukunftsfähig gestalten kann. Cyberangriffe, Systemausfälle und Abhängigkeiten von kritischen Dienstleistern sind längst nicht mehr theoretische Risiken, sondern harte Realität. Mit dem Digital Operational Resilience Act – kurz DORA – hat die Europäische Union nun ein Regelwerk geschaffen, das genau hier ansetzt: einheitliche, verbindliche und umfassende Anforderungen an den Umgang mit IKT-Risiken in der Finanzbranche. Das Ziel ist klar: Finanzunternehmen sollen in der Lage sein, auch unter extremen digitalen Störungen weiter handlungsfähig zu bleiben. Doch was heißt das konkret? Und warum betrifft es so viele Unternehmen viel direkter, als manche denken?

Was steckt hinter DORA?