DORA Compliance
Der Status Quo: Geht so
Die meisten betroffenen Sektoren haben es geschafft und pro forma eine Konformität hergestellt. Wirklich gelebt wird die Richtlinie aber noch nicht. Auf dem Papier ist sie sauber, in der Realität noch nicht tragfähig. In den Lücken verstecken sich aber noch immer Risiken für die Unternehmen. Was können Sie tun?
Die größten Hürden und Schwachstellen
Das ROI
Das “Register of Information” (gemäß Artikel 28 Absatz 3 DORA) hat sich als die größte operative Hürde herausgestellt.
Hintergrund: In Deutschland kämpfen Institute primär mit der Identifikation der gesamten Sub-Dienstleistungskette. In einem europäischen Testlauf konnten nur 6,5 % der teilnehmenden Firmen alle 116 Datenqualitätsprüfungen bestehen.
Die Subdienstleistungskette
Laut Statistiken entstehen dabei die häufigsten Validierungsfehler im MVP-Portal.
Hintergrund: Viele Unternehmen haben eine fragmentierte Dienstleisterlandschaft. Es fällt ihnen schwer, alle Angaben zu Subunternehmern (Chain of Outsourcing) zu machen, da sie keine vertragliche Handhabe oder keine automatisierten Prozesse haben, um diese Informationen von ihren Primärdienstleistern einzufordern. Dies macht wiederum eine eindeutige Zuordnung für die Aufsicht unmöglich.
Die Governance
In der Prüfungspraxis der BaFin zeigt sich, dass Strategien für digitale Resilienz oft nicht hinreichend dokumentiert sind oder keine messbaren Ziele und Risikotoleranzschwellen enthalten.
DORA legt fest, dass die oberste Verantwortung für das IKT-Risikomanagement bei der Geschäftsführung liegt und nicht delegiert werden kann. Geschäftsführer, die keine regelmäßigen IT-Sicherheitsschulungen nachweisen können oder deren Risikomanagementrahmen lückenhaft ist, riskieren im Jahr 2026 nicht nur Bußgelder für das Unternehmen, sondern auch persönliche Konsequenzen.
Die Workflows
Oft fehlt die Verknüpfung zwischen dem technischen System und der unterstützten kritischen Geschäftsfunktion. Sicherheitsmaßnahmen erfolgen häufig nach dem Gießkannenprinzip.
Schätzungen gehen davon aus, dass mittelgroße Institute etwa 5 bis 7 Vollzeitäquivalente (FTEs) allein für die Compliance-Anstrengungen binden müssen. Dieser Aufwand nimmt mit der Größe des Unternehmens natürlich deutlich zu. Bestehende Teams werden überlastet, wodurch notwendige proaktive Maßnahmen wie Bedrohungssimulationen oder Penetrationstests (TLPT) auf das absolute Minimum reduziert werden.
Die beste Strategie: Echte Verankerung
Schwierigkeiten erstmal anzuerkennen hilft ja immer. Schaffen Sie anschließend wirkliche Entlastung, indem Sie dafür sorgen, dass DORA auch von allen „gelebt“ werden kann. Nach unserer Erfahrung sind es die folgenden vier Knackpunkte, die verbessert werden müssen.
Klare Verantwortlichkeiten
Prozesse, Rollen und Verantwortlichkeiten müssen praxistauglich werden, nicht nur theoretisch definiert sein. Schaffen Sie eindeutige Zuständigkeiten dort, wo sie heute noch diffus sind.
Praxistaugliche Prozesse
Teams sollten bei der Umwandlung der Prozesse eingebunden werden, damit sie wirklich gemanaged und gelebt werden können. Eine echte Befähigung der neuen Rollen ist notwendig. Ernennen Sie Verantwortliche, die dafür sorgen, dass Prozesse kontinuierlich weiter verbessert werden und transparent bleiben. Erst dann wächst der Mehrwert für das Unternehmen.
Handlungsfähige Führung
Verantwortung kann nicht einfach verlagert oder vergrößert werden, ohne dass Zielkonflikte und Reibung entstehen. Diese sollten sehr schnell angegangen und gelöst werden statt sie nur zu moderieren.
Echte Audit-Readiness
Wenn Findings nachhaltig behoben werden sollen, muss hier erst einmal Klarheit und Offenheit entstehen, auch wenn es anfangs unbequem ist. Geben Sie Rückendeckung auf oberster Führungsebene. Stellen Sie die notwendigen Ressourcen zur Verfügung, auch wenn es schwerfällt. So erhöhen Sie die Audit-Kompetenz auf allen Ebenen und gewinnen Sie am Ende mehr durch die Richtlinie.
Shape the process: Das DORA Empowerment Program
Sind Sie bereit, DORA erfolgreich in Ihrem Unternehmen zu verankern?
Das DORA Empowerment Program wurde speziell dafür entwickelt – gemeinsam mit unserem größten Kunden im Finanzsektor.
Oder rufen Sie uns an und vereinbaren Sie einfach einen kostenlosen Beratungstermin.
Mo – Fr von 9 bis 17 Uhr
Für diese Branchen lohnt es sich besonders, stärker in Verankerung zu investieren
Finanzsektor
Banken, Versicherungen, Payment
Durch neue Richtlinien wie DORA und Nis-2 kommen immer wieder neue Herausforderungen auf die IT-Abteilungen zu und sie müssen die Veränderungen schnell und effizient umsetzen.
Investment
Wertpapiere, Fonds
Vor allem der zunehmende Grad der Digitalisierung als Basis für diesesn Sektor ist hier entscheidend. DORA soll die Handlungsfähigkeit dieser Unternehmen sichern.
Vermittler
Broker, Crowdfunding
In diesem Sektor sind vor allem Finanzdaten im Umlauf, die vor Angriffen geschützt werden müssen. Durch Sicherheitslücken hier kann ein Angreifer tiefer in das Finanzsystem eindringen.
Der statistische Deep-Dive: DORA 2026
#Compliance #DORA
#Resilienz
Deutsche Unternehmen kämpfen: Wie sieht es aus mit unserer Resilienz nach Verordnung (EU) 2022/2554?
Das Netzwerk-Event rund um alle digitalen Themen
Finden Sie Partner, vernetzen Sie sich!
03. Juli 2026 | Hammerbrook | Hamburg
Allgemeiner Kontakt
Sie haben ganz andere Fragen oder wollen endlich wissen, wie Sie eine Einladung zu unserem legendären Sommerfest bekommen?
Hier geht es zu unserem Kontaktformular.