Am Tag, an dem DORA anwendbar wurde, endete kein Projekt – es begann ein Dauerzustand. Kaum irgendwo wird das deutlicher als bei der Resilienz von Drittparteien. Die Jahre zuvor hatten viele Häuser in Fragebögen, Vertragsanhängen und Zertifikaten einen hinreichenden Nachweis gesehen, dass ihre Auslagerungen „unter Kontrolle“ seien. Heute weiß jeder, der operative Verantwortung trägt: Kontrolle beginnt nicht im PDF, sondern im Betrieb. Sie beginnt dort, wo Informationsflüsse, Schnittstellen, Protokolle, Wiederanläufe, Meldungen und Entscheidungen sich tatsächlich bewegen. Und sie endet nicht mehr an der Unternehmensgrenze. „Third Party Resilience“ ist zur Kernkompetenz geworden – fachlich, technisch, organisatorisch, juristisch. Der Satz „Nach DORA ist vor der Prüfung“ bringt es auf den Punkt: Wer jetzt nicht in einen belastbaren Betriebsmodus wechselt, wird die nächste Aufsichtsrunde nicht nur als Formalie, sondern als Stresstest erleben.

Von der Auslagerung zur Abhängigkeit: Warum die Messlatte gestiegen ist

Die Modernisierung der Finanz-IT hat drei Bewegungen zusammengeführt: Cloudifizierung kritischer Kernprozesse, Spezialisierung entlang der Wertschöpfungskette und ein exponentielles Wachstum an Software-as-a-Service in Fachbereichen. Was als Effizienz- und Innovationsmotor begann, hat die Systemkopplung dramatisch erhöht. Eine Authentifizierungsstörung in einem globalen IAM-Dienst, eine Aktualisierung im Zahlungs-Gateway, eine veränderte Drosselungslogik in einer API-Plattform – schon kleine Ereignisse strahlen heute weit in Geschäftsprozesse hinein. DORA hat diese Realität nicht geschaffen, aber sie hat sie regulatorisch sichtbar gemacht: Verantwortlichkeit bleibt im Institut, auch wenn Leistung extern erbracht wird. Das ist keine Drohung, es ist eine Einladung zur Professionalität. Wer die Kaskaden versteht, steuert; wer sie ignoriert, hofft.

D ie Ära der wohlgeordneten Checklisten ist vorbei. Was lange als erstrebenswerter Zustand galt – „prüfungsreif“, „compliant“, „auditfähig“ – wirkt 2025 wie ein Raster aus einer anderen Zeit. Nicht, weil Gesetze unwichtiger geworden wären. Im Gegenteil: Nie zuvor griffen so viele Regelwerke gleichzeitig ineinander. Aber Compliance ist nicht mehr das Ziel, sondern die Einstiegshürde. Die wirkliche Führungsaufgabe heißt heute Governance: sichtbar steuern, wirksam priorisieren, unterbrechungsfrei reagieren – und das auf Basis von Evidenzen, die täglich entstehen. Wer 2025 nur Vorgaben abarbeitet, hat verloren. Wer Governance als Produktionsfaktor begreift, gewinnt Geschwindigkeit, Vertrauen und Krisenfestigkeit.

Dieser Beitrag beleuchtet, was sich im Kern verschoben hat: von Pflichten zu Fähigkeiten, von Papier zu Prozessen, von Kontrollen zu Kompetenz. Er zeigt, warum DORA, NIS2, AI Act, CRA, CSRD & Co. kein Wirrwarr sind, sondern ein einziger, klarer Imperativ: Bau dir eine Organisation, die beweisen kann, was sie kann. Und zwar nicht im Jahresbericht, sondern wenn es darauf ankommt.

Vertrauen ist die Währung des modernen Wirtschaftssystems. Ohne Vertrauen, dass Lieferanten liefern, Dienstleister leisten, Plattformen stabil bleiben und Updates sicher sind, stünde jede Organisation still. Doch genau an diesem Punkt entsteht ein Paradox: Je mehr wir auslagern, standardisieren und „as-a-Service“ konsumieren, desto öfter liegt der kritischste Teil unserer Wertschöpfung außerhalb unserer direkten Kontrolle. Lieferketten – ob physisch, digital oder organisatorisch – werden damit zur Achillesferse. Wer sie nur verwaltet, statt sie aktiv zu führen und zu prüfen, sammelt Risiken an genau den Stellen, die Angreifer lieben: dort, wo viele Pfade zusammenlaufen, Privilegien sich bündeln, Transparenz abnimmt und Verantwortung verschwimmt.

Dieser Beitrag blickt hinter die Buzzwords, ordnet typische Schwachstellen, zeigt konkrete Angriffswege – und vor allem: er macht greifbar, wie „Vertrauen, aber prüfen“ als Führungsprinzip funktioniert. Nicht als lähmendes Misstrauen, sondern als strukturierte, messbare Praxis, die Resilienz schafft.

Es beginnt oft mit einem Formular: zweihundert Fragen, die jeder Lieferant ausfüllen soll; Häkchen bei „ja/nein“, Freitextfelder für „bitte beschreiben“, angeheftet ein PDF mit Zertifikaten. Man schickt es an zehn, fünfzig, hundert Drittparteien – und spürt Erleichterung, wenn die Antwort im Posteingang landet. Doch die Erleichterung ist trügerisch. Spätestens beim ersten Lieferkettenvorfall zeigt sich: Fragebögen sind keine Feuerlöschanlage. Third-Party Risk Management (TPRM), das vor allem aus Kontrolle, Formalitäten und verspäteter Dokumentation besteht, liefert die Illusion von Sicherheit – aber nicht die Fähigkeit, Risiken zu verhindern, zu erkennen und gemeinsam zu bewältigen.

2026 markiert in vielen Häusern einen Wendepunkt. Die Schlagzahl von NIS2-Pflichten, DORA-Anforderungen, Branchennormen, Audit-Nachweisen, SBOM-Erwartungen und KI-Integrationen hat TPRM aus der Compliance-Ecke geholt und in die operative Führung geschoben. Aus „kontrollieren“ wird „kooperieren“. Aus „prüfen“ wird „prüfen und beweisen“. Aus „Dienstleister“ wird „Mitgestalter“. Diese Verlagerung ist kein weicher Kulturwunsch, sondern harte Ökonomie: Nur wer Lieferanten zur Partnerschaft befähigt, erhält die Geschwindigkeit, Transparenz und Resilienz, die moderne Geschäftsmodelle benötigen.

Es beginnt selten mit einem direkten Angriff auf das eigene Haus. Häufiger startet die Kettenreaktion einige Sprünge entfernt: ein „Minor Incident“ bei einem SaaS-Anbieter, eine Schwachstelle in einer File-Transfer-Lösung, ein überprivilegierter Account beim Managed Service Provider, ein Update, das im Build-Prozess eines Partners kompromittiert wurde. Für die Öffentlichkeit sind das zunächst nur Randnotizen. Für Betreiber kritischer oder wichtiger Dienste können es jedoch die Sekunden sein, in denen aus einem Fremdproblem eine eigene Meldepflicht wird. Spätestens mit NIS2 ist klar: Wer auf Lieferketten setzt (und wer tut das nicht?), trägt Verantwortung – und zwar nicht nur für die Prävention, sondern auch für die Meldung. Dieses „NIS2 im Nacken“-Gefühl ist kein Aktionismus, sondern Ausdruck einer Realität, in der Abhängigkeiten Teil des Kernbetriebs sind.

Dieser Beitrag erklärt, warum Lieferkettenereignisse unter NIS2 meldepflichtig werden können, wie sich Meldewege, Schwellen und Verantwortlichkeiten in der Praxis anfühlen, welche Governance-Bausteine jetzt zählen – und wie man den Spagat schafft zwischen Transparenz, Tempo und Verlässlichkeit. Nicht als trockene Gesetzeslektüre, sondern als Betriebsanleitung für den Ernstfall.