BLOG

BLOG

Categories:   All Categories
Suggested keywords
x
Font size: +
  Print
10 minutes reading time (1985 words)

Wer muss ran? – Diese Unternehmen trifft DORA direkt

IT
3606 Hits
Wer muss ran? – Diese Unternehmen trifft DORA direkt Wer muss ran? – Diese Unternehmen trifft DORA direkt

Wenn man sich mit dem Digital Operational Resilience Act – kurz DORA – beschäftigt, stellt sich schnell die Frage, wen diese EU‐Verordnung eigentlich betrifft. Auf den ersten Blick scheint die Antwort einfach: „Die Finanzbranche.“ Doch wer genauer hinschaut, erkennt, dass DORA nicht nur Banken und Versicherungen ins Visier nimmt, sondern einen weitaus größeren Kreis von Unternehmen – und dass manche Akteure überrascht sein könnten, wie direkt sie unter die neuen Vorgaben fallen. Die EU hat den Anwendungsbereich bewusst breit gefasst, um nicht nur die großen, offensichtlichen Player zu erfassen, sondern das gesamte digitale Ökosystem, das den europäischen Finanzmarkt stützt. Die Logik dahinter ist simpel und schlüssig: Digitale Resilienz funktioniert nur dann, wenn nicht nur die sichtbarsten Akteure abgesichert sind, sondern auch alle kritischen Verbindungen dazwischen.

Der Grundgedanke: Resilienz entlang der gesamten Wertschöpfungskette

DORA ist konzipiert als Querschnittsregelwerk über den Finanzsektor hinweg. Statt einzelne Institutionstypen isoliert zu betrachten, verknüpft die Verordnung die betriebliche Widerstandsfähigkeit von Finanzunternehmen mit der ihrer IKT‐Lieferkette (Informations- und Kommunikationstechnologie). Das bedeutet: Ein Institut, das seine Kernprozesse verlässlich betreibt, ist nur dann wirklich resilient, wenn auch die technischen Dienstleister, auf die es sich stützt, robust, transparent und gut gesteuert sind. Genau deshalb erfasst DORA sowohl die „klassischen“ Finanzunternehmen als auch – direkt oder indirekt – die Drittparteien, die deren digitale Grundversorgung sicherstellen, etwa Cloud-, Rechenzentrums-, Software-, Sicherheits- oder Kommunikationsanbieter.

Die Kernzielgruppe: Institute und Unternehmen des Finanzsektors

Zur unstrittigen Kernzielgruppe zählen die großen Säulen der Finanzwirtschaft. Das sind insbesondere:

  • Kreditinstitute (Banken) in all ihren Ausprägungen.
  • Versicherungsunternehmen und Rückversicherer, also Gesellschaften, die Risken zeichnen bzw. Risiken von Versicherern übernehmen.
  • Wertpapierfirmen und Investmentdienstleistungsunternehmen, also Akteure, die z. B. Handel, Ausführung oder Portfoliomanagement erbringen.
  • Betreiber von Handelsplätzen sowie zentrale Gegenparteien (CCPs), die als Clearingstellen fungieren.
  • Zentrale Wertpapierverwahrstellen (CSDs) und Verwahrstellen (Depotbanken), die für die sichere Verwahrung, Abwicklung und Verwaltung von Wertpapieren sorgen.
  • Betreiber von Zahlungssystemen und zentrale Zahlungsinfrastrukturen.

Damit adressiert DORA die Knotenpunkte des europäischen Finanzmarktes: Orte, an denen Abwicklung, Verwahrung, Handel und Zahlungsverkehr zusammenlaufen – also genau dort, wo Ausfälle oder Angriffe schnell systemische Auswirkungen entfalten.

Mehr als „nur“ die Großen: Breite Erfassung weiterer Finanzmarktteilnehmer

Die Reichweite geht bewusst darüber hinaus. DORA umfasst auch vielfältige Finanzmarktakteure, die in der Öffentlichkeit weniger sichtbar sind, aber für das Funktionieren des Systems essenziell. Dazu gehören unter anderem:

  • Verwaltungsgesellschaften und KVGs (UCITS/OGAW-ManCos) sowie AIF-Manager (AIFMD), die Investmentfonds managen.
  • Pensionskassen/Einrichtungen der betrieblichen Altersversorgung (je nach Ausgestaltung), sofern sie in den einschlägigen sektoralen EU-Rechtsakten referenziert werden.
  • Datenbereitstellungsdienste und Marktdateninfrastrukturen, z. B. Approved Publication Arrangements (APAs), Approved Reporting Mechanisms (ARMs), Consolidated Tape Provider (CTP).
  • Transaktions-/Handelsregister und Securitisation-Repositories, die der Markttransparenz dienen.
  • Ratingagenturen und Administratoren kritischer Benchmarks, deren Bewertungen bzw. Referenzgrößen in Verträgen und Risikomodellen eine zentrale Rolle spielen.
  • Anbieter von Zahlungsdiensten (Zahlungsinstitute) sowie E-Geld-Institute.

Die Verordnung verzahnt so das gesamte Spektrum von Anlage, Handel, Abwicklung, Verwahrung, Berichtswesen und Zahlungsverkehr – ein Netz, das nur so stark ist wie seine schwächste (digitale) Verbindung.

Krypto-Dienstleister: Ein klares Signal in Richtung Zukunftsmärkte

Besonders bemerkenswert ist die Aufnahme von Krypto-Dienstleistern in den DORA-Kosmos – also etwa Handelsplätze für Krypto-Assets, Verwahrer (Wallet-Anbieter/Custodians) und weitere Erbringer von Diensten rund um digitale Vermögenswerte, soweit sie unter die einschlägigen EU-Regime fallen. Das Signal ist unmissverständlich: Die EU betrachtet die operative Resilienz auch in jungen, dynamischen Segmenten nicht als freiwillige Zugabe, sondern als Voraussetzung für Marktreife. Wer Krypto-Assets für EU-Kunden anbietet, wird künftig die gleiche Sprache der Resilienz sprechen müssen wie klassische Institute – in Prozessen, Tests, Meldungen, Verträgen und im Umgang mit Drittanbietern.

Zahlungsverkehr und E-Geld: Hohe Taktung, hohe Kritikalität

Zahlungsdienste und E-Geld-Emission sind die „Blutbahnen“ der Realwirtschaft. Unterbrechungen treffen Verbraucher und Firmen direkt – an der Kasse, im Online-Shop, in der Lohn- und Gehaltszahlung. Deshalb unterliegen auch Zahlungsinstitute und E-Geld-Institute den DORA-Pflichten. Die proportionalen Anforderungen können je nach Größe und Risikoprofil variieren, die Grundidee aber bleibt: belastbare IKT-Risikosteuerung, geübte Incident-Prozesse, getestete Wiederanlauf-Szenarien, wirksame Kontrolle der Dienstleister.

Versicherungen, Rückversicherer und Altersvorsorge: Daten- und Prozesslastigkeit

Auch Versicherer und Rückversicherer sind vollumfänglich adressiert – Branchen mit hoher Datenintensität (Underwriting, Schaden, Aktuariat) und vielfältigen Auslagerungen (z. B. Bestandsführungssysteme, Schadenplattformen, Cloud-Analytics). Je nach nationaler Ausgestaltung können auch Pensions-/Vorsorgeeinrichtungen erfasst sein. Entscheidend ist stets der Bezug zu den sektorspezifischen EU-Rechtsakten, auf die DORA verweist: Deren Definitionen entscheiden darüber, ob ein Unternehmen als Finanzunternehmen im Sinne von DORA gilt.

Kapitalmarktinfrastruktur: Die neuralgischen Knoten

Für Handelsplätze, CCPs und CSDs gilt: Deren IKT-Stabilität ist gleichbedeutend mit Marktstabilität. DORA fordert hier entsprechend reife Testlandschaften (inklusive adversarischer Tests), eng getaktete Meldeprozesse, belastbare Business-Continuity- und Disaster-Recovery-Fähigkeiten sowie eine lückenlose Steuerung von IKT-Drittparteien. Der Maßstab ist hoch, die Begründung eindeutig: Ein Ausfall kann binnen Minuten marktweit spürbar werden.

Asset Management und Daten-/Berichtsservices: Das „Bindegewebe“ des Marktes

Fondsgesellschaften, Vermögensverwalter und Datenbereitsteller stehen oft weniger im Rampenlicht, sind aber für Transparenz, Abrechnung und Governance unverzichtbar. DORA adressiert diese Rolle, indem es Anforderungen an IKT-Risikomanagement, Vorfallsteuerung, Testen, Drittparteienkontrolle und Informationsaustausch auf sie anwendet. Wer z. B. Transaktionsdaten aggregiert oder veröffentlicht, muss sicherstellen, dass diese Dienste auch unter Störungen verlässlich arbeiten – sonst bröckelt Marktintegrität.

IKT-Drittparteien: Direkt betroffen – oder indirekt sehr nah dran

Ein Alleinstellungsmerkmal von DORA ist der explizite Fokus auf IKT-Drittparteien. Zwei Ebenen sind dabei zu unterscheiden:

  1. Alle IKT-Dienstleister, die für Finanzunternehmen tätig sind, sind indirekt betroffen – denn Finanzunternehmen müssen sie vertraglich an DORA-kompatible Anforderungen binden (Sicherheit, Resilienz, Meldepflichten, Auditrechte, Exit-Pläne). Wer Software, Cloud, Hosting, Netze, Managed Security, Identitäts-/Zugangsmanagement, Monitoring, Kommunikationsdienste oder ähnliche Leistungen erbringt, wird diese Anforderungen in Ausschreibungen und Verträgen spüren – unabhängig davon, ob der Dienstleister selbst als „kritisch“ eingestuft wird.
  2. Ein kleiner Kreis besonders wichtiger IKT-Drittparteien wird vom europäischen Aufsichtssystem direkt überwacht (Stichwort kritische IKT-Drittparteien). Dazu zählen vor allem große Cloud-/Hyperscaler-Anbieter und andere Provider, deren Ausfall massive sektorweite Effekte hätte. Für sie gelten zusätzliche Pflichten und eine direkte behördliche Aufsicht – ein Novum, das die Bedeutung der Lieferkette für die Systemstabilität unterstreicht.

Kurz: IKT-Anbieter müssen sich darauf einstellen, dass DORA-Anforderungen zum De-facto-Standard in ihren Kundenbeziehungen werden – vom technischen Nachweis bis zur auditfesten Prozess- und Vertragsgestaltung.

Außerhalb der EU – und trotzdem im Spiel: Drittlandsanbieter mit EU-Kunden

DORA gilt unmittelbar in der EU. Drittlandsanbieter, die Dienstleistungen für EU-Finanzunternehmen erbringen, sind dennoch betroffen – spätestens durch die Vertragsanforderungen ihrer EU-Kunden. Wenn sie als kritisch eingestuft werden, können sogar aufsichtliche Pflichten direkt an sie adressiert werden. Das schafft einen extraterritorialen Wirkungsbereich: Wer den EU-Finanzmarkt bedienen will, muss EU-Resilienzkriterien erfüllen – unabhängig vom eigenen Sitz.

Proportionalität: Nicht alle gleich – aber alle mit Pflicht

DORA verankert das Prinzip der Proportionalität. Umfang und Tiefe der Maßnahmen richten sich nach Größe, Komplexität, Risikoprofil und Bedeutung für das Finanzsystem. Kleine und mittlere Unternehmen werden also nicht über denselben Kamm geschoren wie Großinstitute. Aber: Herausfallen ist in der Praxis selten. Ein kleines Fintech mit Zahlungsdienstlizenz muss genauso ein tragfähiges IKT-Risikomanagement etablieren, Vorfälle klassifizieren und melden, die Drittparteiensteuerung dokumentieren und Resilienztests betreiben – nur eben in angemessenem Zuschnitt.

Indirekte Betroffenheit: Wenn der Kunde DORA „weiterreicht“

Auch Unternehmen, die nicht als Finanzunternehmen gelten, können faktisch DORA-Pflichten spüren, wenn sie für regulierte Kunden arbeiten. Beispiele:

  • Softwarehäuser mit Kernbanking-Modulen, die in Instituten laufen.
  • Managed-Security-Provider, die SOC-Leistungen für Versicherer erbringen.
  • Kommunikations-/Netzbetreiber, die Verfügbarkeits-SLAs für Handelssysteme garantieren.
  • Betriebsführer von Cloud-Plattformen, die Fonds-Back-Office-Systeme hosten.

Hier werden DORA-Anforderungen über Verträge, Kontrollrechte, Meldewege, Nachweise und Testteilnahmen zur Realität. Wer sich frühzeitig darauf einstellt, wird als „DORA-ready“ bevorzugter Partner – wer zögert, riskiert Ausschlüsse aus sensiblen Projekten.

Gruppen, Niederlassungen, Auslagerungen: Die Detailfragen im Alltag

In der Umsetzung tauchen häufig Abgrenzungsfragen auf, z. B.:

  • Konzernbezug: Gilt DORA auf Gruppenebene? Welche Pflichten treffen Tochtergesellschaften? Hier ist maßgeblich, welche Einheiten unter die jeweiligen sektoralen Rechtsakte fallen und wie Auslagerungen bzw. konzerninterne Dienstleistungen vertraglich und organisatorisch gestaltet sind.
  • EU-Niederlassungen von Drittlandinstituten: Sie unterliegen in der Regel den EU-Regelungen, soweit die jeweilige sektorale Regulierung dies vorsieht – damit rücken DORA-Pflichten unmittelbar in den Fokus.
  • Geteilte Verantwortung (Cloud): Wer ist für was zuständig? DORA fordert klare, überprüfbare Zuständigkeitsabgrenzungen im Shared-Responsibility-Modell – technisch und vertraglich.

Praxisnahe Beispiele: Wer (un)erwartet in den Anwendungsbereich fällt

  • Das Zahlungs-Fintech mit E-Geld-Lizenz und Cloud-Only-Architektur: DORA-Pflichtprogramm – vom IKT-Risikomanagement über Meldeprozesse bis zur Drittparteiensteuerung und Exit-Strategie.
  • Die Fonds-KVG mit ausgelagertem Portfoliomanagement-System: DORA-Pflichten für die KVG; der Software-/Hosting-Partner wird mit DORA-Anforderungen vertraglich eingebunden.
  • Der Versicherer mit SOC-Outsourcing: DORA-Pflichten für den Versicherer; der MSSP liefert Nachweise, nimmt an Tests teil und erfüllt Melde-/Kooperationspflichten.
  • Der Krypto-Custodian mit EU-Kunden: DORA-Pflichten analog zu klassischen Verwahrstellen – besonders beim Schutz und der Wiederherstellung kritischer Schlüssel- und Wallet-Infrastrukturen.
  • Der US-Cloud-Provider für EU-Banken: Mindestens indirekt (vertraglich) betroffen; bei kritischer Einstufung direkte Aufsichtspflichten in der EU.

Was DORA konkret verlangt – und warum das die Betroffenheit schärft

Wen DORA erfasst, der muss konkret liefern: ein IKT-Risikomanagement, das lebt; Incident-Prozesse mit klaren Fristen und Rollen; Resilienztests vom Schwachstellen-Scan bis zum adversarischen Test; Drittparteiensteuerung mit harten Mindestklauseln, Audit- und Exit-Rechten; und die Bereitschaft, Informationen zu Bedrohungen strukturiert auszutauschen. Diese Pflichten sind nicht „nice to have“, sondern aufsichtsrechtlich durchsetzbar – mit Prüfungen, Anordnungen und spürbaren Sanktionen. Genau dadurch wird die Frage „Bin ich betroffen?“ mehr als akademisch: Sie entscheidet darüber, ob ein Unternehmen seine Geschäftsbeziehungen im regulierten Umfeld halten und ausbauen kann.

Mythen und Fehleinschätzungen: Was oft falsch verstanden wird

  • „DORA betrifft nur Großbanken.“ Falsch. Die Breite des Anwendungsbereichs ist Absicht – auch kleinere regulierte Akteure und ihre Dienstleister sind an Bord (proportional, aber verbindlich).
  • „Wir sind nur Softwarelieferant, DORA geht uns nichts an.“ Indirekt sehr wohl: Ihre Kunden werden DORA-Klauseln, Nachweise und Tests verlangen.
  • „Außerhalb der EU sind wir sicher.“ Nicht, wenn Sie EU-Kunden haben. DORA wirkt über Verträge – und bei kritischer Einstufung sogar mit direkter Aufsicht in der EU.
  • „Wir sind zu klein, um betroffen zu sein.“ Klein bedeutet proportional – nicht frei von Pflichten.
  • „Ein ISO-Zertifikat reicht.“ Hilft, aber ersetzt DORA nicht. DORA hat eigene, sektorale Schwerpunkte (z. B. meldepflichtige Vorfälle, TLPT-Anforderungen, Drittparteienaufsicht).

Selbstcheck: Fünf Fragen, die schnell Klarheit bringen

  1. Erbringen Sie eine regulierte Finanzdienstleistung in der EU – oder sind Sie als Institut, Versicherer, Vermögensverwalter, Zahlungs-/E-Geld-Anbieter, Marktinfrastruktur oder Daten-/Berichtsprovider zugelassen?
  2. Stützen EU-Finanzunternehmen ihre kritischen Prozesse auf Ihre IKT-Leistungen (Cloud, Hosting, Software, Netz, Security)?
  3. Passieren durch Ihre Systeme Kundengelder, Transaktionsdaten oder Marktdaten – direkt oder indirekt?
  4. Sind Sie Teil internationaler Lieferketten, in denen EU-Finanzunternehmen auf Ihre Verfügbarkeit und Sicherheit angewiesen sind?
  5. Sind Sie Drittlandsanbieter mit EU-Kunden in regulierten Segmenten?

Je öfter Sie „ja“ sagen, desto wahrscheinlicher ist eine direkte oder indirekte Betroffenheit – und desto dringlicher ist ein geordneter DORA-Fahrplan.

Was das für die nächsten Schritte bedeutet

  • Betroffenheit sauber klären: Unternehmensgegenstand, Lizenzen, Kundenbasis und Outsourcing-Landschaft gegen die in DORA referenzierten Sektorregime spiegeln.
  • Lieferkette kartieren: Welche IKT-Drittparteien stützen kritische Services? Welche Verträge brauchen Nachschärfung (Sicherheit, Auditrechte, Exit, Meldewege)?
  • IKT-Risiko und Incident-Prozesse überprüfen: Klassifikation, Eskalation, 24/7-Erreichbarkeit, Meldefristen, Forensik, Kommunikationspläne.
  • Testlandschaft planen: Vom Restore-Test über Tabletop-Übungen bis zu adversarischen Szenarien – mit klaren Abstellmaßnahmen.
  • Proportionalität nutzen, Lücken schließen: „Angemessen“ heißt nicht „minimal“ – sondern passend zum Risiko.

Damit wird DORA nicht zur Bedrohung, sondern zur Chance: Wer früh „DORA-ready“ ist, wird zum verlässlichen Partner – für Institute, für Aufsichten und für Kunden.

Fazit: DORA wirft ein breites Netz – und das ist Absicht

Unterm Strich lässt sich sagen: Die Reichweite von DORA ist bewusst breit angelegt, um systemische Risiken einzudämmen. Betroffen sind nicht nur die großen Banken oder Versicherungen, die in der öffentlichen Wahrnehmung den Finanzsektor prägen, sondern auch eine Vielzahl kleinerer Marktteilnehmer und technologischer Dienstleister. Wer heute noch glaubt, nicht in den Anwendungsbereich zu fallen, sollte die in DORA referenzierten Kategorien genau prüfen – und ebenso die eigenen Abhängigkeiten. Denn spätestens wenn ein regulierter Kunde Anforderungen an seine Lieferanten stellt, wird DORA für viele Unternehmen Realität – ob sie wollen oder nicht.

Für Unternehmen, die direkt unter DORA fallen, bedeutet das eine klare Pflicht zur Umsetzung der Vorgaben. Für indirekt Betroffene ist es eine strategische Weichenstellung: Proaktiv vorbereiten und als „DORA-tauglicher“ Anbieter punkten – oder mittelfristig Aufträge verlieren, weil die Compliance-Schwelle nicht erreicht wird. Die Frage ist nicht, ob man sich mit DORA auseinandersetzen muss, sondern wie schnell man damit beginnt – und wie konsequent man die eigene Rolle im finanziellen Digital-Ökosystem denkt. Genau darin liegt die eigentliche Stärke von DORA: Es macht sichtbar, dass digitale Resilienz keine Insel­begabung ist, sondern ein Gemeinschaftsprojekt entlang der gesamten Wertschöpfungskette.

2
Tweet
Tags:
Resilienz EU DORA
×
Stay Informed

When you subscribe to the blog, we will send you an e-mail when there are new updates on the site so you wouldn't miss them.

Informationssicherheit ohne Internet? Kaum vorstel...
Vom Passwortklau zur Cyberkrise – So haben sich An...

About the author

Markus Groß

Markus Groß

Subscribe to updates from author Unsubscribe to updates from author Markus Groß

Markus Groß ist Gründer und Administrator dieses Blogs und verfügt über umfassende Erfahrung in strategischen IT-Themen. Sein fachlicher Schwerpunkt liegt auf IT-Governance und Compliance, insbesondere in der Anwendung von COBIT, der Umsetzung regulatorischer Anforderungen wie DORA oder NIS2 und dem Aufbau belastbarer Steuerungsstrukturen. Im Bereich Service-Management bringt er langjährige Praxis mit ITIL sowie der Einführung von Best Practices ein.

Ein weiterer Kernbereich seiner Arbeit ist die Informationssicherheit, mit besonderem Fokus auf den Aufbau und die Weiterentwicklung von ISMS nach ISO27001 sowie BSI IT-Grundschutz, die Entwicklung von Sicherheitsstrategien und die Umsetzung von BYOD-Konzepten. Darüber hinaus ist Markus Groß versiert im Projektmanagement und wendet Methoden wie PRINCE2, LEAN/SIX SIGMA und agile Ansätze gezielt an, um Projekte effizient und erfolgreich zu steuern.

In seinen Beiträgen verbindet er fundierte Analysen mit praxisnahen Empfehlungen. Sein Ziel ist es, Leserinnen und Lesern tiefgehende, sachlich fundierte Einblicke zu geben, die sie in der strategischen Ausrichtung ebenso unterstützen wie in der operativen Umsetzung von IT-, Sicherheits- und Compliance-Vorhaben.

Author's recent posts
More posts from author

Related Posts

Image
We use cookies

We use cookies on our website. Some of them are essential for the operation of the site, while others help us to improve this site and the user experience (tracking cookies). You can decide for yourself whether you want to allow cookies or not. Please note that if you reject them, you may not be able to use all the functionalities of the site.

Ok Decline
More information | Imprint