FinTech & Financial Services 15.10.2025

Ein Jahr DORA: Was die BaFin jetzt prüft – und wo Finanzinstitute nachbessern müssen

8 Min. Lesezeit

Seit Januar 2025 gilt der Digital Operational Resilience Act in der gesamten EU. Die BaFin hat seitdem über 600 schwerwiegende IT-Vorfälle bei Finanzinstituten registriert. Strafzahlungen von bis zu einem Prozent des weltweiten Tagesumsatzes drohen. Die Toleranzphase ist vorbei – 2025 ist das Jahr der Durchsetzung. Wer jetzt noch Lücken im IT-Risikomanagement hat, riskiert mehr als ein Bußgeld.

Das Wichtigste in Kürze

600+ schwerwiegende IT-Vorfälle seit DORA-Inkrafttreten im Januar 2025 bei der BaFin gemeldet – Tendenz steigend. (BaFin IT-Aufsicht, 2025)
Strafzahlungen bis 1 Prozent des globalen Tagesumsatzes pro Verstoß möglich – das kann für Großbanken zweistellige Millionenbeträge bedeuten.
24-Stunden-Meldepflicht für kritische IT-Vorfälle – viele Institute haben ihre Incident-Response-Prozesse noch nicht angepasst.
IT-Drittparteien-Risikomanagement ist laut BaFin die größte Schwachstelle – Finanzinstitute unterschätzen die Abhängigkeit von externen IT-Dienstleistern.
Informationsregister-Pflicht: Alle IT-Dienstleister müssen in einem strukturierten Register erfasst und an die BaFin gemeldet werden.

Was DORA konkret verlangt

DORA ist keine Empfehlung und kein Rahmenwerk. Es ist eine EU-Verordnung mit direkter Wirkung in allen Mitgliedstaaten. Betroffen sind Banken, Versicherungen, Wertpapierfirmen, Zahlungsdienstleister, Krypto-Dienstleister und ihre kritischen IT-Zulieferer. Die Verordnung definiert fünf Säulen, die jedes Institut umsetzen muss.

● IKT-Risikomanagement: Finanzunternehmen brauchen ein dokumentiertes Framework für die Identifikation, den Schutz, die Erkennung und die Wiederherstellung nach IT-Vorfällen. Das betrifft nicht nur die IT-Abteilung – die Geschäftsleitung trägt persönliche Verantwortung.

● Incident Reporting: Schwerwiegende IT-Vorfälle müssen innerhalb von 24 Stunden an die BaFin gemeldet werden. Ein Zwischenbericht folgt nach 72 Stunden, der Abschlussbericht nach einem Monat.

● Resilience Testing: Regelmäßige Tests der digitalen Betriebsstabilität – von einfachen Schwachstellenscans bis zu Threat-Led Penetration Testing (TLPT) für systemrelevante Institute.

● Drittparteien-Risikomanagement: Jeder Vertrag mit IT-Dienstleistern muss DORA-konforme Klauseln enthalten. Ausstiegsstrategien sind Pflicht.

● Informationsaustausch: Freiwilliger, aber erwünschter Austausch von Cyber-Bedrohungsinformationen zwischen Finanzinstituten.

Das Problem

600+

schwerwiegende IT-Vorfälle seit Januar 2025
registriert bei der BaFin (IT-Aufsicht 2025)

Die Konsequenz

1 %

des globalen Tagesumsatzes als Strafzahlung
pro Verstoß gegen DORA-Anforderungen

Wo die BaFin genau hinschaut

Die BaFin hat im Februar 2026 einen Workshop zur Einreichung der Informationsregister durchgeführt. Das Signal ist klar: Die Aufsicht will wissen, welche IT-Dienstleister Finanzinstitute nutzen und wie abhängig sie von einzelnen Anbietern sind. Cloud-Hyperscaler wie AWS, Azure und Google Cloud stehen dabei im Fokus.

Laut BaFin-Angaben sind die häufigsten Schwachstellen bei Prüfungen: unvollständiges Schwachstellenmanagement, fehlende Exitstrategien bei IT-Dienstleistern und mangelhaftes Incident-Reporting. Viele Institute haben zwar Prozesse definiert, aber nie unter realen Bedingungen getestet. DORA verlangt genau das – und die BaFin prüft, ob die Tests tatsächlich stattfinden.

Besonders kritisch: die Überschneidung mit NIS2. Beide Regulierungen fordern IT-Risikomanagement und Incident Reporting – aber mit unterschiedlichen Fristen und Definitionen. Finanzinstitute, die in mehreren EU-Ländern operieren, müssen beide Frameworks gleichzeitig bedienen.

„Viele Finanzinstitute haben bei Schwachstellenmanagement und Dienstleister-Risikobewertung noch erheblichen Nachholbedarf.“

BaFin IT-Aufsicht, Rede zur DORA-Umsetzung, Dezember 2025

Das Drittparteien-Problem

Der Kern von DORA ist die Erkenntnis: Finanzinstitute sind nur so resilient wie ihre schwächste IT-Abhängigkeit. Ein Ausfall bei einem Cloud-Provider kann dutzende Banken gleichzeitig treffen. Ein kompromittierter Zahlungsdienstleister kann eine Kettenreaktion auslösen.

DORA verlangt deshalb ein vollständiges Register aller IT-Dienstleister mit Kritikalitätsbewertung. Jeder Vertrag muss Klauseln zu Datenzugang, Audit-Rechten, Subunternehmer-Transparenz und Exitstrategien enthalten. Die Europäischen Aufsichtsbehörden (ESAs) werden zudem kritische IT-Drittanbieter direkt beaufsichtigen – eine Premiere in der europäischen Finanzregulierung.

Für mittelständische Finanzdienstleister bedeutet das: Jeder SaaS-Vertrag, jede Cloud-Instanz, jeder externe IT-Support muss dokumentiert und bewertet werden. Das ist ein erheblicher Aufwand – aber die Alternative sind Bußgelder und im schlimmsten Fall der Verlust der Lizenz.

Zeitplan und Prioritäten

DORA gilt seit dem 17. Januar 2025. Es gibt keine Übergangsfrist mehr. Die BaFin kann sofort prüfen und sanktionieren. Trotzdem gibt es eine De-facto-Priorisierung: Systemrelevante Institute werden zuerst geprüft, kleinere Finanzdienstleister haben etwas mehr Zeit – aber nicht unbegrenzt.

Die wichtigsten Meilensteine für 2025 und 2026:

● Informationsregister einreichen: Die BaFin sammelt die IT-Dienstleister-Register und leitet sie an die ESAs weiter. Wer hier unvollständig meldet, fällt sofort auf.

● TLPT-Pflicht für systemrelevante Institute: Threat-Led Penetration Tests nach TIBER-EU-Framework müssen durchgeführt und dokumentiert werden.

● Direkte Aufsicht kritischer IT-Anbieter: Die ESAs werden erstmals Cloud-Hyperscaler und große IT-Dienstleister direkt beaufsichtigen.

Was Finanzinstitute jetzt tun sollten

Die gute Nachricht: Wer bereits seine IT-Landschaft modernisiert und BAIT/VAIT umgesetzt hat, hat einen Vorsprung. Die schlechte Nachricht: DORA geht deutlich weiter als die bisherigen deutschen Anforderungen.

Drei Sofortmaßnahmen, die jedes Institut umsetzen sollte: Erstens ein Gap-Assessment zwischen bestehendem IT-Risikomanagement und DORA-Anforderungen. Zweitens die Vervollständigung des IT-Dienstleister-Registers mit Kritikalitätsbewertung. Drittens ein Test des Incident-Reporting-Prozesses – nicht auf dem Papier, sondern als Simulation unter realen Bedingungen.

DORA ist kein Projekt mit einem Enddatum. Es ist ein dauerhafter Betriebszustand. Finanzinstitute, die das verstanden haben, investieren nicht in einmalige Compliance-Projekte, sondern in Strukturen, die digitale Resilienz zum festen Bestandteil des operativen Betriebs machen.

Häufige Fragen

Wer ist von DORA betroffen?

Alle Finanzunternehmen in der EU: Banken, Versicherungen, Wertpapierfirmen, Zahlungsinstitute, E-Geld-Institute, Krypto-Dienstleister und deren kritische IT-Zulieferer. Auch FinTechs und Neobanken fallen unter DORA.

Wie hoch sind die Strafen bei DORA-Verstößen?

Bis zu ein Prozent des durchschnittlichen weltweiten Tagesumsatzes – pro Tag, bis der Verstoß behoben ist. Für eine Großbank mit 10 Milliarden Euro Jahresumsatz bedeutet das rund 274.000 Euro pro Tag.

Was ist der Unterschied zwischen DORA und NIS2?

DORA ist spezifisch für den Finanzsektor und als EU-Verordnung direkt anwendbar. NIS2 ist eine Richtlinie, die in nationales Recht umgesetzt werden muss und branchenübergreifend gilt. Für Finanzinstitute hat DORA Vorrang (lex specialis), aber NIS2-Anforderungen können zusätzlich greifen.

Müssen auch kleine Finanzdienstleister DORA umsetzen?

Ja, aber es gilt ein Proportionalitätsprinzip. Kleinere Institute müssen nicht dieselben aufwändigen Tests durchführen wie systemrelevante Banken. Die Grundanforderungen an IT-Risikomanagement, Incident Reporting und Drittparteien-Management gelten aber für alle.

Was ist das Informationsregister nach DORA?

Ein strukturiertes Verzeichnis aller IT-Dienstleister, die ein Finanzinstitut nutzt. Es enthält Vertragsinformationen, Kritikalitätsbewertungen und Abhängigkeitsanalysen. Das Register muss der BaFin auf Anforderung vorgelegt werden und dient als Basis für die Überwachung systemischer IT-Risiken.

Weiterführende Lektüre

Quelle Titelbild: Pexels / Markus Winkler

Evernine Media GmbH

Tobias Massow ist Geschäftsführer der Evernine Media GmbH und Herausgeber von MyBusinessFuture. Er verantwortet die strategische Ausrichtung des Magazins und des gesamten MBF Media Netzwerks mit vier B2B-Fachmagazinen für IT-Entscheider im deutschsprachigen Raum.

Das digitale Angebot der Krankenkassen

Die deutschen Krankenkassen haben bereits digitale Angebote. Die Mehrheit der Mitglieder wissen jedoch ... »

Digital Business & Future 03.10.2020

Davos: Nachhaltigkeit durch Digitalisierung

Das 50. Jubiläum des Weltwirtschaftsforum in Davos Ende Januar 2020 soll ganz im Zeichen von Nachhaltigkeit ... »

Unsere Experten & Partner