DORA in der Praxis. Regulierung mit Augenmaß statt Bürokratie-Falle.
Ein Gespräch aus dem LabtaTalk-Podcast mit Jochen Friedrich, Leiter des Kompetenzcenters Governance, Risk und Compliance der Intero Consulting
Im Januar 2025 wurde es ernst. Der Digital Operational Resilience Act (DORA) ist verbindlich für alle Finanzdienstleister und deren kritische IT-Partner in Kraft getreten. Das Ziel war es, die digitale Widerstandsfähigkeit der Branche europaweit auf ein einheitlich hohes Niveau bringen.
In der aktuellen LabtaTalk-Podcastfolge spricht Sven Mawby (Labtagon GmbH) mit Jochen Friedrich, Partner und Leiter des Kompetenzcenters Governance, Risk & Compliance bei Intero Consulting, darüber, wie Unternehmen diese Vorgaben in der Praxis umsetzen und welche Stolperfallen es zu vermeiden gilt.
DORA hat klare Ziele aber auch viele Fragen
DORA ist eine EU-Verordnung und damit unmittelbar geltendes Recht in allen Mitgliedstaaten. Sie bringt nicht nur Banken und Versicherer, sondern auch deren IT-Dienstleister und Zulieferer in die Pflicht. Die Kernanforderungen sind klar definiert.
- ICT-Risikomanagement
systematische Identifikation, Bewertung und Steuerung von IT-Risiken - Incident Reporting
Meldepflicht schwerwiegender Cybersecurity-Vorfälle an die zuständige nationale Aufsicht (in Deutschland: BaFin) - Operationale Resilienz
regelmäßige Tests, Simulationen und Übungen zur Absicherung kritischer Prozesse - Drittparteienrisikomanagement
vollständige Erfassung, Klassifizierung und Risikobewertung aller IT-relevanten Drittparteien - Informationsaustausch
freiwillige Kooperation zur Erkennung und Abwehr von Cyber-Bedrohungen auf Branchenebene
Insbesondere das Drittparteienrisikomanagement gilt aktuell als der größte Aufwandstreiber. Wo bislang nur große und besonders kritische Auslagerungen im Blick standen, verlangt DORA jetzt einen vollständigen Überblick – inklusive Bewertung und gegebenenfalls Vertragsänderungen für alle IT-relevanten Lieferanten.
Die Herausforderung liegt zwischen Rechtssicherheit und Alltagstauglichkeit
Jochen Friedrich berichtet aus der Praxis, dass viele Unternehmen auf eine „Sicher-ist-sicher“-Strategie setzen und dabei über das Ziel hinausschießen.
Als Beispiel führt er an, dass Schulungen zu DORA nicht nur für relevante Rollen, sondern pauschal für alle internen und externen Mitarbeiter angesetzt werden. Oder es werden fast alle Lieferanten als kritisch eingestuft, was riesige Kaskaden an Prüf- und Dokumentationspflichten auslöst.
Das Problem ist, dass solche Übererfüllungen Ressourcen binden, ohne das eigentliche Schutzniveau spürbar zu erhöhen. Stattdessen entstehen Strukturen, die schwerfällig sind und die Organisation unnötig belasten.
Risikoproportionalität als Schlüssel
Die Verordnung lässt ausdrücklich Spielraum für Proportionalität. Das bedeutet, alle Maßnahmen müssen im Verhältnis zum individuellen Risikoprofil stehen.
Ein wirksamer Ansatz besteht aus vier Schritten.
- Risikoprofil definieren
Welche Prozesse, Systeme und Partner sind tatsächlich geschäftskritisch? - Bestehende Standards nutzen
etwa VIT, BIT, ISO 27001 oder BSI-Grundschutz als solide Basis. - Gezielt Lücken schließen
Anpassungen dort vornehmen, wo DORA tatsächlich neue Anforderungen stellt. - Operationalisierbarkeit sicherstellen
Prozesse so gestalten, dass sie im Alltag funktionieren, nicht nur auf dem Papier.
Jochen Friedrich betont: „Es geht nicht darum, Dinge wegzulassen, sondern darum, die richtigen Prioritäten zu setzen, damit Umsetzung und Betrieb handhabbar bleiben.“
DORA im regulatorischen Ökosystem
DORA steht nicht allein. Es gibt enge Verzahnungen mit anderen Regulierungen wie NIS2 oder dem Cyber Resilience Act. Während NIS2 eine breitere Unternehmensbasis adressiert, zielt DORA mit höherer Detailtiefe auf den Finanzsektor. Für Unternehmen, die bereits hohen Standards folgen, lässt sich die Lücke oft mit überschaubarem Zusatzaufwand schließen, sofern gezielt vorgegangen wird.
Der Blick nach vorn
Noch ist unklar, wie einheitlich nationale Aufsichtsbehörden DORA prüfen werden. Die ersten Prüfungen konzentrieren sich oft auf die formale und organisatorische Umsetzung. In den kommenden Jahren dürfte der Fokus stärker auf die tatsächliche operative Wirksamkeit rücken.
Besonders spannend ist die Möglichkeit, dass Aufsichtsbehörden künftig Clusterrisiken identifizieren. Dabei geht es zum Beispiel um Situationen, in denen sich zu viele Marktteilnehmer auf denselben kritischen Dienstleister verlassen, woraus sich anschließend konkrete Handlungsempfehlungen oder sogar verbindliche Auflagen ableiten können.
Fazit aus diesem Gespräch
DORA ist mehr als eine Compliance-Checkliste. Es ist ein strategisches Programm zur Stärkung der digitalen Resilienz im Finanzsektor.
Wer den Umsetzungsweg pragmatisch und risikoorientiert geht, erreicht nicht nur Rechtssicherheit, sondern auch nachhaltige Stabilität und Handlungsfähigkeit.
Oder wie Jochen Friedrich es im Podcast formuliert:
„Die beste Umsetzung ist die, die im Alltag funktioniert und nicht nur im Audit-Ordner.“
Hören Sie die vollständige Diskussion im LabtaTalk-Podcast
Darin erfahren Sie, wie Intero Consulting Unternehmen bei der Umsetzung unterstützt, wo die größten Effizienzpotenziale liegen und welche Interpretationsspielräume klug genutzt werden können.
Hier geht es zur Episode 8
Sven Mawby im Gespräch mit Jochen Friedrich, Intero Consulting
Weitere Informationen zum Thema Dora
DORA-Anforderungen im Vertragsmanagement umsetzen
