Der Digital Operational Resilience Act (DORA – Verordnung (EU) 2022/2554) ist seit dem 17. Januar 2025 verbindlich anzuwenden (DORA: Cybersicherheitsregeln für den Finanzsektor – datenschutzticker.de). Mit der Verordnung wurde ein einheitlicher europäischer Rechtsrahmen zur Stärkung der digitalen operationalen Resilienz von Finanzunternehmen geschaffen. DORA regelt insbesondere Anforderungen an das IKT-Risikomanagement, die Meldung schwerwiegender IKT-Vorfälle, die Steuerung von IKT-Drittparteienrisiken sowie Maßnahmen zur Stärkung der Cybersicherheit im Finanzsektor.
Anlässlich des ersten Jahrestages der Anwendbarkeit von DORA veranstaltete die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) eine virtuelle Konferenz unter dem Titel „IT-Aufsicht im Finanzsektor – das erste Jahr DORA“. BaFin – Reden – Keynote zur „IT-Aufsicht im Finanzsektor: Das erste Jahr DORA“
Im Rahmen dieser Veranstaltung hielt Nikolas Speer, Exekutivdirektor der Bankenaufsicht, am 4. Dezember 2025 eine Rede zur bisherigen Umsetzung der Verordnung.
DORA als gemeinsamer Rahmen von Aufsicht und Unternehmen
In seiner Rede betonte Speer die gemeinsame Verantwortung von Aufsicht und beaufsichtigten Unternehmen, DORA als langfristigen regulatorischen Rahmen zu sehen, der dauerhaft im Risikomanagement der Institute zu verankern sei.
Nach einem Jahr praktischer Anwendung hätten sich mehrere zentrale Erkenntnisse herauskristallisiert. So zeige insbesondere die Erfassung von über 600 gemeldeten IKT-Vorfällen, dass Cyberangriffe keine bloß theoretische Gefahr darstellen, sondern eine reale und praxisrelevante Bedrohung für den Finanzsektor seien. Entscheidend sei daher nicht mehr die Frage, ob ein Schaden eintrete, sondern wann und wie die Funktionsfähigkeit der Institute im Schadensfall aufrechterhalten werden könne.
Cyberangriffe gehörten mittlerweile zum Alltag, ebenso wie die Notwendigkeit, operationelle Resilienz als gemeinschaftliche Aufgabe von Unternehmen und Aufsicht zu begreifen. Zwar verfüge der Finanzsektor über ein hohes Sicherheitsniveau, gleichwohl nehme die Zahl der Vorfallsmeldungen weiter zu. Finanzunternehmen seien insbesondere wegen des Umgangs mit Geld und sensiblen Daten ein attraktives Ziel für Angriffe, so Speer.
DORA als Instrument zur Bewältigung wachsender Cyberrisiken
Vor dem Hintergrund der zunehmenden Bedrohungslage werde die Bedeutung von DORA weiter zunehmen. Aufgabe der Verordnung sei es, Risiken frühzeitig erkennbar zu machen und einen strukturierten Umgang mit ihnen zu ermöglichen. DORA stelle hierfür ein einheitliches Instrument bereit und schaffe zugleich die Grundlage für konsistentes Handeln durch sektorübergreifend einheitliche Anforderungen im europäischen Finanzsektor.
Speer appellierte ausdrücklich daran, DORA am Beispiel der Aufsicht selbst auch als integralen Bestandteil des unternehmensinternen Risikomanagements zu begreifen und aktiv zu nutzen.
Standpunkt nach einem Jahr DORA
Mithilfe der DORA-Vorgaben erhält die Aufsicht nach Speer strukturierte IKT-Vorfallsmeldungen von Finanzunternehmen und kann auf dieser Grundlage fortlaufend ein aktuelles Cyber-Lagebild für den Finanzsektor erstellen. Dies ermöglicht es, Risiken besser zu verstehen, einzuordnen und gezielt darauf zu reagieren. Zugleich werden auf dieser Basis die aufsichtsrechtlichen Instrumente zur Bewältigung von Cyberkrisen kontinuierlich weiterentwickelt.
Parallel zur Einführung von DORA wurde zudem der German Financial Cyber Crisis Roundtable in der nationalen Krisenkoordination etabliert und bereits erfolgreich erprobt. Speer verwies in diesem Zusammenhang auch auf eine konkrete Störungsfälle des Zahlungsdienstleisters PayPal. Dieses Beispiel habe hier insbesondere die Relevanz eines funktionierenden Informationsaustauschs zwischen Unternehmen und Aufsicht gezeigt.
Darüber hinaus gewinnt das IKT-Drittparteienrisikomanagement zunehmend an Bedeutung. DORA ermöglicht es den europäischen Aufsichtsbehörden, kritische IKT-Dienstleister intensiver zu überwachen. Gleichwohl bleibt es Aufgabe der Unternehmen, Konzentrationsrisiken eigenverantwortlich zu erkennen, zu steuern und zu bewältigen. DORA bietet hierfür den rechtlichen Rahmen, ersetzt jedoch nicht die Verantwortung der Unternehmen
Ausblick auf technologische Entwicklungen: KI und Quantencomputing
Abschließend gab Speer einen Ausblick auf zukünftige technologische Entwicklungen, insbesondere Künstliche Intelligenz (KI) und Quantencomputing. DORA biete auch im Umgang mit KI-Systemen eine geeignete Grundlage zur Behandlung der damit verbundenen IKT-Risiken. KI sei bereits heute ein wesentlicher Bestandteil der Wertschöpfungsketten vieler Finanzunternehmen und werde durch die Aufsicht bereits im Rahmen eines eigenen KI-Roundtables beobachtet. Eine Orientierungshilfe zu IKT-Risiken beim Einsatz von KI in Finanzunternehmen kündigt Speer in diesem Zusammenhang bereits an.
Ebenso erfordere das Thema Quantencomputing frühzeitige Vorbereitung. Die quantensichere Ausgestaltung von Systemen müsse bereits bedacht werden. In diesem Zusammenhang kündigte der Exekutivdirektor an, dass die BaFin die Einführung eines entsprechenden Regelungsrahmens für die kommenden Jahre prüfe.
Fazit
Nach einem Jahr DORA wird deutlich, dass die Verordnung einen zentralen Beitrag zur Bewältigung von Cyberrisiken im Finanzsektor leisten könne. Die Verordnung ist weitaus mehr als eine reine Compliance-Anforderung. Die von der BaFin hervorgehobene Zahl gemeldeter IKT-Vorfälle unterstreicht, dass Cyberrisiken ein strukturelles Risiko für den Finanzsektor darstellen und entsprechend dauerhaft vorbereitet und bewältigt werden müssen. Voraussetzung ist jedoch, dass Unternehmen die Instrumente von DORA aktiv nutzen und wirksam in ihr Risikomanagement integrieren. DORA ist mithin aktiv zu nutzen, um Risiken frühzeitig zu identifizieren und sich organisatorisch wie technisch auf Cyberkrisen vorzubereiten.
Wie Speer betont, stärken Unternehmen dadurch nicht nur die Resilienz ihres eigenen Unternehmens, sondern leisten zugleich einen Beitrag zur Stabilität des gesamten Finanzsystems. DORA kennzeichnet folglich auch nach einem Jahr den Beginn eines fortlaufenden Umsetzungsprozesses, der sich in Zukunft auch auf weitere und wesentliche Faktoren und Risiken einstellen muss.
