Die europäische Finanzbranche steht vor einem entscheidenden Resilienz-Test. Vierzehn Monate nach Inkrafttreten des Digital Operational Resilience Act (DORA) offenbaren aktuelle Meldepflichten massive Umsetzungsprobleme. Nach dem kritischen Stichtag vom 20. März zeigt eine Branchenumfrage: Zwei Drittel der Institute sind nicht vollständig vorbereitet. Ab sofort drohen bei Verstößen empfindliche Strafen.

Anzeige

Die neuen Anforderungen an die digitale Betriebsstabilität und Cyber-Sicherheit stellen viele Unternehmen vor enorme Herausforderungen. Dieser kostenlose Experten-Report unterstützt Geschäftsführer und IT-Verantwortliche dabei, aktuelle Bedrohungen und gesetzliche Vorgaben ohne Budget-Explosion zu meistern. Experten-Report zur Cyber Security 2024 jetzt sichern

Die erste Bewährungsprobe ist gescheitert

Die vergangene Woche war ein Hochrisiko-Test für Tausende Banken, Versicherer und Fonds in der EU. Gemäß Artikel 28 der DORA-Verordnung mussten sie bis zum 20. März ein umfassendes Register für Informations- und Kommunikationstechnologie (IKT) einreichen. Dieses dokumentiert jeden Vertrag mit externen IT-Dienstleistern. Die Daten werden nun an die europäischen Aufsichtsbehörden (EBA, EIOPA, ESMA) übermittelt.

Doch der Prozess erwies sich als härter als erwartet. Eine aktuelle McKinsey-Studie unter großen Finanzinstituten zeigt: Nur etwa ein Drittel fühlt sich für alle DORA-Anforderungen gewappnet. Die komplexe Struktur des Registers, das präzise Verknüpfungen zwischen Dienstleistungen und kritischen Geschäftsfunktionen erfordert, stellt die größte Hürde dar.

Die Kosten sind immens. Schätzungen zufolge beliefen sich die Compliance-Ausgaben für 96 Prozent der Institute auf zwischen zwei und fünf Millionen Euro. Dennoch bezeichnet fast die Hälfte der Branche das IKT-Register als die größte Herausforderung des gesamten regulatorischen Rahmens.

Die unsichtbare Gefahr: Risiken in der Lieferkette

Ein neuer Schwerpunkt der Aufsicht im Jahr 2026 ist das Risiko durch Subunternehmer („Fourth-Party Risk“). Wurden 2025 noch primär Verträge mit großen Cloud-Anbietern wie Microsoft Azure oder Amazon AWS geprüft, muss die Branche nun tiefere Einblicke gewähren. Institute müssen nachweisen, dass sie auch die kritischen Zulieferer ihrer Hauptdienstleister überwachen.

Die Aufseher wollen kein „Papiertiger“-Compliance mehr sehen. Stattdessen fordern sie konkrete Nachweise für Business-Impact-Analysen. Diese müssen Dominoeffekte abbilden, die beim Ausfall eines Subunternehmers entstehen. Ziel ist es, systemische Zusammenbrüche durch einen einzigen Schwachpunkt in der digitalen Infrastruktur zu verhindern.

Die Identifizierung dieser kritischen Partner legt oft bisher undokumentierte Abhängigkeiten in veralteten Systemen offen. Besonders schwierig gestaltet sich die Aushandlung von Prüfrechten in Verträgen mit globalen Tech-Giganten. Zur Bewältigung dieser grenzüberschreitenden Komplexität haben die europäischen Aufsichtsbehörden kürzlich eine Vereinbarung mit britischen Stellen wie der Bank of England unterzeichnet.

Von der Theorie zur Praxis: Die Ära der aktiven Durchsetzung beginnt

Die Stimmung in der Branche hat sich spürbar verändert. 2026 gilt als das Jahr der aktiven Aufsichtsdurchsetzung. Während 2025 als Übergangsjahr für Politikentwicklung galt, beginnt nun die Phase der „Datenqualitäts-Audits“. Die Aufseher wechseln von der Prüfung grober Rahmenwerke zur Forderung nach Echtzeitnachweisen für Resilienz.

Nationale Aufsichtsbehörden sind bereit, ihre Vollmachten nach Artikel 50 der DORA voll auszuschöpfen. Diese umfassen hohe Geldstrafen und im Extremfall den Entzug der Lizenz für Institute mit anhaltenden Mängeln im digitalen Risikomanagement. Ein jüngster Resilienz-Bericht der EU-Kommission betont, dass der harmonisierte EU-Rahmen essenziell für den Umgang mit immer komplexeren Cyber-Bedrohungen ist.

Anzeige

Während DORA die finanzielle Resilienz fokussiert, verschärfen neue KI-Gesetze die Compliance-Lage für technologiegetriebene Unternehmen zusätzlich. Dieser kostenlose Leitfaden zeigt Geschäftsführern, wie sie KI-Systeme richtig klassifizieren und die Dokumentationsanforderungen rechtssicher erfüllen. Kostenlosen Umsetzungsleitfaden zur KI-Verordnung herunterladen

Zudem rückt Digital Operational Resilience Testing in den Fokus. Während threat-led penetration tests (TLPT) nur für systemrelevante Institute Pflicht sind, müssen in diesem Zyklus alle Unternehmen grundlegende Testprogramme vorweisen. Sie müssen beweisen, dass sie Störungen nicht nur erkennen, sondern ihre kritischsten Dienste auch innerhalb definierter Fristen wiederherstellen können.

Lehren aus globalen Ausfällen und der Weg zur Stabilität

Die Dringlichkeit der aktuellen DORA-Meilensteine wird oft mit dem globalen CrowdStrike-Ausfall von 2024 begründet. Dieser Vorfall, der Banken- und Zahlungssysteme weltweit lähmte, ist das Lehrbeispiel für die Notwendigkeit der Verordnung. Er bewies, dass digitales Betriebsrisiko keine reine IT-Angelegenheit mehr ist, sondern eine systemische Gefahr für die globale Wirtschaftsstabilität darstellt.

Als Antwort darauf priorisiert das Arbeitsprogramm der Aufsichtsbehörden für 2026 den Aufsichtsrahmen für kritische IKT-Dienstleister. Dieser ermöglicht es Regulatoren, Technologieunternehmen direkt zu überwachen, von denen der Finanzsektor abhängt. Die erste Gruppe dieser Anbieter wurde bereits im Juli 2025 benannt und unterliegt nun direkten Prüfungen.

Die Integration von Künstlicher Intelligenz (KI) in Finanzdienstleistungen verschärft die Lage zusätzlich. Da Institute zunehmend KI-gestützte Analysen nutzen, beobachten Aufseher, wie diese Technologien in den DORA-Rahmen passen. Künftige Überarbeitungen der technischen Standards dürften die einzigartigen Resilienz-Herausforderungen autonomer Systeme gezielt adressieren.

Ausblick: Kontinuierliche Resilienz als Wettbewerbsvorteil

DORA wird sich voraussichtlich von einem statischen Regelwerk zu einer kontinuierlichen, technologiegetriebenen Fähigkeit entwickeln. Die Liste kritischer IKT-Anbieter soll jährlich aktualisiert werden, die nächste größere Revision steht noch 2026 an. Das regulatorische Netz wird sich dabei voraussichtlich auf spezialisierte Fintech- und KI-Dienstleister ausweiten.

Zudem wird der Fokus auf die Einrichtung einer zentralen EU-Meldestelle für IKT-Vorfälle liegen. Diese Zentralisierung, die in Machbarkeitsstudien diskutiert wird, würde die Kommunikation bei größeren Incidents über die Union hinweg beschleunigen und eine koordiniertere Reaktion auf großangelegte Cyberangriffe ermöglichen.

Die Botschaft der aktuellen Meldepflichten ist klar: Digitale Widerstandsfähigkeit ist keine optionale „IT-Aufgabe“ mehr, sondern eine Grundvoraussetzung für den Marktzugang. Institute, die die aktuelle „Datenqualitäts-Prüfung“ bestehen und ihr Management von Fourth-Party-Risiken nachweisen, könnten daraus einen Wettbewerbsvorteil in einem zunehmend fragilen digitalen Ökosystem ziehen. Mit dem finalen EU-weiten Übermittlungstermin am 31. März erhält die Aufsicht erstmals einen umfassenden, systemweiten Blick auf das IKT-Konzentrationsrisiko in Europa. Diese Daten werden die Aufsichtsprioritäten für den restlichen Jahrzehnt maßgeblich bestimmen.