DORA: Was Forschung&Aufsicht fordern–und was COOs jetzt umsetzen müssen

Der Digital Operational Resilience Act (DORA) ist mehr als ein Regulierungspapier – er ist ein Praxisrahmen für COOs, um Cyber-Resilienz, ICT-Risikomanagement und Outsourcing-Strategien im Unternehmen zukunftssicher aufzustellen.

Während Studien und Aufsichtsbehörden die Risiken klar benennen, liegt die Umsetzung in deiner Verantwortung als COO.

Wissenschaftlicher&regulatorischer Kontext

Konzentrationsrisiken im Fokus: Die EBA und ESMA betonen, dass Abhängigkeiten von wenigen kritischen IKT-Drittanbietern (Cloud, Outsourcing) eine systemische Bedrohung darstellen. Deshalb überwachen die ESAs diese künftig gemeinsam mit den nationalen Behörden wie der BaFin – inklusive Vor-Ort-Inspektionen undExit-Strategien .

Proportionalitätsprinzip: Nach BaFin-Hinweisen gilt: ICT Business Continuity Management muss dokumentiert und getestet werden, aber die Intensität hängt von der Größe und Kritikalität des Instituts ab .

Wirtschaftliche Dimension: Die EU-Kommission schätzt die Schäden durch Cyber-Incidents auf bis zu 180 Mrd. € pro Jahr – und sieht DORA als Schlüssel zur Schadensbegrenzung .

Praxisorientierte Umsetzung für COOs

Die Aufsicht nennt konkrete Instrumente, die du sofort in dein COO-Reportingübernehmen kannst:

Resilienz-KPIs steuern:

Mean Time to Detect (MTTD)

Mean Time to Recover (MTTR)

Anteil getesteter Notfallpläne Von BaFin und ESAs als Best Practices empfohlen .

Kritikalität von IKT-Dienstleistern bewerten:

Einteilung in hoch/mittel/gering.

Pflicht zu Exit-Klauseln und Audit-Rechten .

Jährliche Krisenübungen durchführen:

BaFin schreibt vor, dass Notfall- und Resilienzpläne regelmäßig getestet werden müssen – auch simulationsgestützt .

Praxisbeispiel aus der Aufsicht

Ein COO einer mittelgroßen Bank konnte durch die Einführung eines ICT-Resilienz-Dashboards und regelmäßige DORA-konforme Krisentests die Wiederanlaufzeit kritischer Systeme nach einem Cybervorfall von 1 Stunde auf 15 Minuten reduzieren.

Bei einer anschließenden Prüfung durch die Aufsicht verbesserte sich der Audit-Score im Bereich ICT Business Continuity&Outsourcing von 75 % auf 93 % – ein entscheidender Fortschritt, um sowohl BaFin- als auch EBA-Anforderungen zuverlässig zu erfüllen.

Fazit für COOs

Die Wissenschaft liefert die Belege: Konzentrationsrisiken und fehlende Resilienz verursachen Milliardenverluste.

Die Aufsicht gibt die Richtung vor: Kritikalität, KPIs, Tests und Dokumentation.

Als COO musst du das in die operative Steuerung übersetzen: klare Kennzahlen, funktionierendes Drittanbieter-Management, gelebte Notfallübungen.

Mit Executive Education CCO sicherst du dir das notwendige Rüstzeug, um DORA nicht nur „abzuhaken“, sondern als strategischen Vorteil zu nutzen.

Alle Quellen:

EBA DORA-Framework ,

BaFin Dokumentationsanforderungen&Umsetzungshinweise , Guidance Notes ,

ESMA Digital Finance&DORA ,

EBA/ESAs Aufsichtüber kritische Drittanbieter .

Posted by on 9. Januar 2026.

Tags: marketing