DORA ist seit dem 17. Januar 2025 anzuwenden. Für Finanzunternehmen bedeutet das: Digitale Resilienz ist nicht mehr nur ein Thema der IT-Abteilung. Sie wird zur Frage der Unternehmensführung.
Der Digital Operational Resilience Act verschiebt den Blick von isolierter IT-Sicherheit auf nachweisbare Widerstandsfähigkeit im digitalen Betrieb. Es geht nicht nur darum, ob Systeme geschützt sind. Es geht darum, ob ein Institut seine Risiken kennt, Vorfälle erkennt, Meldewege beherrscht, Wiederanlaufprozesse testen kann und gegenüber Management und Aufsicht belastbare Nachweise vorlegen kann.
Das klingt zunächst technisch. Ist es aber nur zur Hälfte. Die andere Hälfte heißt Governance.
Bildquelle: KI-generiert | Beschreibung: Symboldbild für Überwachung und Governance“
Viele Unternehmen haben IT-Sicherheit lange vor allem als Schutzfrage verstanden: Firewalls, Zugriffsrechte, Backups, Patches. Alles wichtig. Alles weiterhin richtig.
DORA verlangt jedoch mehr: Risiken, Kontrollen, Assets, Provider, Vorfälle und Tests müssen fachlich zusammengeführt werden. Nicht als lose Sammlung einzelner Maßnahmen, sondern als operatives System.
Damit wird digitale Resilienz zu einer Managementaufgabe. Das Leitungsorgan muss stärker in Strategie, Reviews und Risikoappetit eingebunden werden. Rollen müssen klarer getrennt werden: Management, Kontrollfunktion und Revision dürfen nicht in einem freundlichen Nebel aus Zuständigkeiten verschwinden.
Anders gesagt: DORA fragt nicht nur, ob es eine Policy gibt. DORA fragt, ob die Policy im Betrieb funktioniert.
Ein zentrales Thema ist Transparenz über IKT-Systeme, Anwendungen und Abhängigkeiten. Institute müssen wissen, welche Systeme sie einsetzen, welche Geschäftsprozesse davon abhängen und welche Anbieter daran beteiligt sind.
Ohne diese Sicht bleibt Risikosteuerung lückenhaft. Man kann schließlich nur schützen, testen und wiederherstellen, was man kennt.
Gerade im Finanz- und Versicherungssektor ist das anspruchsvoll. Viele Prozesse hängen an internen Systemen, Cloud-Anbietern, Software-Dienstleistern, spezialisierten Plattformen und weiteren IKT-Drittdienstleistern. DORA rückt diese Abhängigkeiten stärker in den Steuerungs- und Aufsichtskontext.
Digitale Resilienz zeigt sich nicht im Organigramm. Sie zeigt sich im Ernstfall.
Deshalb spielen Vorfallmanagement, Resilienztests, Wiederherstellung und Kommunikation eine zentrale Rolle. Institute müssen Vorfälle erkennen, klassifizieren, behandeln und bei schwerwiegenden Fällen melden können. Gleichzeitig müssen Backup-, Wiederanlauf- und Restore-Prozesse regelmäßig getestet werden.
Entscheidend ist dabei nicht allein, dass Tests stattfinden. Entscheidend ist, was aus ihnen folgt: Findings müssen dokumentiert, priorisiert und in konkrete Verbesserungen überführt werden.
So wird Nachweisfähigkeit selbst zum Steuerungsobjekt. Policies, Ausnahmen, Reviews, Findings, Entscheidungen und Kontrollen müssen belegbar sein. Nicht, weil Dokumentation besonders romantisch wäre. Sondern weil ohne Evidenz keine belastbare Steuerung entsteht.
DORA betrifft nicht nur interne Systeme. Auch IKT-Drittdienstleister und kritische Provider rücken stärker in den Fokus.
Verträge, Provider-Steuerung, Exit-Strategien und das Register of Information werden damit zu praktischen Bausteinen der Resilienz. Unternehmen müssen nachvollziehen können, welche Dienstleister für welche Funktionen relevant sind und wo kritische Abhängigkeiten entstehen.
Das ist besonders wichtig, weil moderne Finanzprozesse selten vollständig im eigenen Haus stattfinden. Cloud, Plattformen, Softwareanbieter und spezialisierte Dienstleister sind längst Teil des operativen Betriebs. Wer sie nicht sauber steuert, steuert einen Teil seines eigenen Risikos nicht.
Für die Umsetzung kommt es nicht darauf an, möglichst viele Dokumente zu produzieren. Entscheidend ist, ein tragfähiges Betriebsmodell aufzubauen.
Praktisch bedeutet das:
Das ist keine reine IT-Aufgabe. Es ist auch kein reines Legal-Projekt. DORA liegt genau dort, wo Governance praktisch werden muss: zwischen IT, Informationssicherheit, Compliance, Risikomanagement, Fachbereichen und Management.
DORA ist mehr als IT-Security. DORA ist ein operativer Führungs-, Kontroll- und Nachweisrahmen für den digitalen Betrieb im Finanzsektor.
Wer DORA nur als zusätzliche regulatorische Pflicht versteht, wird vor allem mehr Dokumentation erzeugen. Wer DORA als Governance-Aufgabe versteht, kann digitale Resilienz strukturierter, prüfbarer und managementtauglicher aufbauen.
K11 unterstützt Unternehmen dabei, regulatorische Anforderungen in belastbare Umsetzungsprogramme zu übersetzen – von der Governance-Verankerung über Gap Assessments bis zu Nachweisen, Meldewegen und Management-Reporting.