Ein Jahr DORA: So geht es für Finanzunternehmen weiter

Der Digital Operational Resilience Act (DORA) ermöglicht ein europaweit einheitliches IKT-Risikomanagement. Zudem unterstützt die Verordnung die zuständigen Aufsichtsbehörden dabei, anhand von Vorfallsmeldungen ein Cyberrisiko-Lagebild zu erstellen, sowie Drittpartei- und Konzentrationsrisiken besser zu überwachen. 

Ein Jahr DORA: Die Zwischenbilanz der BaFin 

Um die operative Resilienz gemeinsam zu stärken, müssen Finanzunternehmen die DORA-Vorgaben seit dem 17. Januar 2025 vollständig in ihr Risikomanagement integrieren. Am 4. Dezember 2025 zog die Bundesanstalt für Finanzaufsicht (BaFin) im Rahmen der Veranstaltung „IT-Aufsicht im Finanzsektor: Das erste Jahr DORA“ Bilanz und gab einen Ausblick. 

In den vergangenen zwölf Monaten wurden der Aufsicht demnach mehr als 600 schwerwiegende IKT-Vorfälle gemeldet. Die Statistik zeigt, dass Cyberangriffe kein theoretisches Szenario, sondern Realität sind – auch wenn sich laut BaFin bislang keine größeren Systemschäden ereigneten. 

Erste Einblicke aus den aufsichtlichen DORA-Prüfungen 

Zusätzlich gaben BaFin und Bundesbank praktische Hinweise für die Prüfung. Das aufsichtliche DORA-Prüfungsvorgehen ist modulweise nach den Themenfeldern aus dem Digital Operational Resilience Act konzipiert.  

Für Finanzunternehmen ergeben sich daraus die folgenden Handlungsfelder: 

1. Governance und Organisation: 
   Finanzunternehmen müssen ihre DORA-Strategie sowie die schriftlich fixierte Ordnung zentral und konsistent dokumentieren. Die Ziele und die Risikotoleranzschwelle sollen möglichst quantitativ definiert und regelmäßig überwacht werden. Zudem ist das Leitungsorgan aktiv in die Überwachung und Genehmigung einzubinden. 
2. IKT-Risikomanagementrahmen: 
   Kritische oder wichtige Funktionen müssen anhand klarer und umfassender Kriterien ermittelt werden. Es sollen vollständige und aktuelle Inventare gepflegt werden, ergänzt durch möglichst automatisierte Datenqualitätskontrollen. Für die Umsetzung und Überwachung von Maßnahmen sind klare Verantwortlichkeiten und Prozesse festzulegen. Zudem sind die Unabhängigkeit und Wirksamkeit der IKT-Kontrollfunktion sicherzustellen. 
3. IKT-Drittparteienrisikomanagement: 
   Aufgrund des Transformationsjahrs 2025 wurde dieses Themenfeld für 2026 hervorgehoben. 
4. Schutz und Prävention: 
   Finanzunternehmen müssen ein flächendeckendes Schwachstellenmanagement etablieren, wobei automatisierte Scans durchgeführt, verbindliche Bearbeitungsfristen festzulegen und zentral nachzuverfolgen sind. Entsprechend den führenden Praktiken und Normen müssen flächendeckend Sicherheitsmaßnahmen implementiert und regelmäßig risikobasiert getestet werden. Zudem müssen Sicherheitsanforderungen bei IKT-Drittdienstleistern vertraglich möglichst klar geregelt und deren Einhaltung regelmäßig kontrolliert werden. 
5. Identitätsmanagement und Zugangskontrollen: 
   Hierzu wurden keine konkreten Hinweise genannt. 
6. Erkennung: 
   Mindestens alle IKT-Systeme, die kritische oder wichtige Funktionen unterstützen, müssen neben der intakten Protokollierung an das Security Information and Event Management (SIEM) angebunden sein. Die Verschlüsselung und der Schutz der Integrität von Logdaten sind dabei konsequent umzusetzen. Die zugrundeliegenden Use Cases sind bedrohungsorientiert zu entwickeln und regelmäßig zu testen. Zudem sind klare, dokumentierte Abläufe für die Alarmbearbeitung und Eskalation – auch außerhalb der Geschäftszeiten – zu etablieren. 
7. IKT-Betrieb: 
   Hierzu wurden keine konkreten Hinweise genannt. 
8. IKT-Projekte und Anwendungsentwicklung (inkl. IDV): 
   Hierzu wurden keine konkreten Hinweise genannt. 
9. IKT-Geschäftsfortführungsmanagement: 
   Die Wiederherstellungsziele sind im Einklang mit der festgelegten Risikotoleranzschwelle durch konkrete Pläne und Maßnahmen umzusetzen. Finanzunternehmen müssen ihre Notfall- und Wiederherstellungspläne stets vollständig und aktuell halten, sowie regelmäßige und möglichst realitätsnahe Tests durchführen. Die Mitarbeitenden sollen hinsichtlich Notfallplänen und Maßnahmen kontinuierlich sensibilisiert werden. Zudem ist die Nachverfolgung von Mängeln sicherzustellen und die vertragliche und organisatorische Einbindung von IKT-Drittdienstleistern zu gewährleisten. 
10. IKT-Revision: 
    Besonders herausgestellt wurde, dass es sich hierbei um ein neuartiges Fokus-Thema handelt. 

Betroffene Finanzunternehmen wurden im ersten Jahr schwerpunktmäßig und individuell nach drei bis fünf dieser Themen geprüft. 

Worauf müssen sich Finanzunternehmen bei der DORA-Prüfung einstellen? 

Die aufsichtlichen DORA-Prüfungen werden stärker auf die individuellen Gegebenheiten der Finanzunternehmen zugeschnitten. Die Herausforderungen ähneln denen unter xAIT, wobei der Fokus auf regelmäßigen Tests und der Stärkung der operativen Resilienz liegt. Zudem sind weitere Nachschauprüfungen für die Jahre 2026 und 2027 vorgesehen. 

Wie Baker Tilly Sie unterstützt 

Baker Tilly unterstützt dabei die DORA-Anforderungen effizient und konform zu adressieren. 

• Wir begleiten Sie in allen Phasen einer aufsichtlichen DORA-Prüfung oder bereiten Sie hierauf (auch modulweise) proaktiv vor. 
• Wir übernehmen die Aufgabe der IT-Revision (Co-Sourcing). 
• Wir prüfen Ihr dienstleistungsbezogenes IKS (Third Party Assurance gem. IDW PS 951, ISAE 3402 o.ä.).