Ein Jahr DORA: Die Schonfrist ist vorbei
Zwei Themen kristallisieren sich dabei aktuell besonders heraus.
Erstens: Critical Third Party Provider– die gefährliche Illusion der Auslagerung
Die europäische Benennung kritischer IKT-Drittanbieter stellt eine Zäsur dar. Erstmals wird dort angesetzt, wo sich Abhängigkeiten real bündeln. Das sorgt für mehr Transparenz, Vergleichbarkeit und neue Eingriffsmöglichkeiten der Aufsicht. Zwar schafft dieser Schritt für viele Instituteeine gewisse Entlastung, aber keine Entwarnung. Denn die Verantwortung bleibt dort, wo sie nach Auffassung der Aufsicht hingehört: bei den Instituten selbst. Die neue Aufsicht über kritische Dienstleister ergänzt das eigene Risikomanagement, ersetzt es aber nicht. Institute müssen weiterhin begründen können, warum sie bestimmte Anbieter für kritische Funktionen einsetzen, wie sie die Substituierbarkeit bewerten und welche Exit-Szenarien tragfähig sind. DORA schafft hierfür den Rahmen und die Vergleichbarkeit – die konkrete Steuerung bleibt Teil der unternehmerischen Verantwortung.
Auch die auf der BaFin-Veranstaltung„IT-Aufsicht im Finanzsektor“ genannte Zahl von über 600 schwerwiegenden Vorfällen im ersten DORA-Jahr ist in diesem Kontext zu sehen (www.bafin.de/SharedDocs/Veranstaltungen/DE/250725_it_aufsicht_im_finanzsektor.html). Sie klingt dramatisch, ist aber vor allem Ausdruck von Cluster-Effekten: ein Vorfall bei einem großen Dienstleister, viele betroffene Institute, viele Meldungen. Das Problem ist nicht die Meldequote, sondern die strukturelle Abhängigkeit. Und die lässt sich nicht outsourcen, auch nicht unter europäischer Aufsicht. Die Konzentrationsrisiken, die sichheute bei Cloud-Computing und Softwarelösungen bemerkbar machen, werden sich zudem über kurz oder lang auch durch Künstliche Intelligenz ergeben.
Zweitens: Resilienz-Testing– der unterschätzte Kraftakt
In den kommenden Jahren wird sich der Charakter von DORA noch stärker beim Thema Resilienz-Testing zeigen. Zwar haben viele Institute Testprogramme aufgesetzt und methodisch sauber beschrieben. Der nächste Schritt ist jedoch anspruchsvoller: Die Tests müssen regelmäßig, realitätsnah und wirksam durchgeführt werden. Allein im Rahmen des Drittparteienrisikomanagements müssen die Institute alle drei Jahre bedrohungsorientierte Penetrationstests durchführen. Diese stellen eine extreme organisatorische und finanzielle Belastung dar.
Der Maßstab hat sich dabei verschoben. Es zählt nicht mehr die Frage „Ist das System sicher?“, sondern „Kann das Institut weiterarbeiten, während es angegriffen wird?“. Dies lässt sich nicht simulieren, ohne die Finanzbranche massiv unter Druck zu setzen. Threat-Led-Penetrationstests im laufenden Betrieb, End-to-End-Szenarien und Purple Teaming – also das Zusammenspiel der eigenen IT-Security-Spezialisten als angreifendes und verteidigendes Team – beschäftigen Sicherheits-, Betriebs- und Fachbereiche über Monate hinweg. Spätestens hier zeigt sich, ob Rollen, Schwellenwerte und Eskalationswege tatsächlich gelebt werden oder nur beschrieben sind. Die Ergebnisse lassen sich auch nicht wegdokumentieren. Sie verlangen vielmehr nach Priorisierung, Budget, Umsetzung und Management-Entscheidungen. Genau hier wird die Aufsicht in den kommenden Jahren hinschauen: nicht auf die Existenz von Konzepten, sondern auf deren Wirksamkeit. Das heißt, auf Ergebnisse, abgeleitete Maßnahmen und deren tatsächliche Umsetzung.
Fazit: 2026 ist der eigentliche Startpunkt von DORA
Die Signale sind eindeutig: Die Ramp-up-Phase von DORA ist abgeschlossen. Wer das verstanden hat, kann die Verordnung 2026 zu dem machen, wofür sie gedacht ist: eine gute Gelegenheit, die eigene operationale Resilienz zu stärken.
Dieser Kommentar und das Bild in höherer Auflösung können unter www.pr-com.de/companies/ntt-data abgerufen werden.
Categories: Allgemein
No Responses Yet
You must be logged in to post a comment.