Ein Jahr DORA: Die Schonfrist ist vorbei
Autor: Andreas Seibert, Head of FSI Regulatory&Compliance DACH bei NTT DATA
(IINews) - 13. Januar 2026– Nach zwölf Monaten DORA ist eines klar: Die Verordnung hat ihre Feuertaufe vielleicht hinter sich – die eigentliche Arbeit für die Finanzinstitute beginnt jedoch erst jetzt. Das erste Jahr war geprägt von Aufbauarbeit, Orientierung und dem Versuch, Ordnung in ein komplexes Regelwerk zu bringen. Register sind gefüllt, Prozesse beschrieben, Zuständigkeiten definiert. Das ist gelungen – aber es war auch der bequemere Teil. Ab 2026 geht es nicht mehr nur um Strukturen, sondern um Routine bilden und Belastbarkeit. Denn die BaFin beziehungsweise die europäischen Aufsichtsbehörden haben ein klares Ziel: operationale Resilienz statt lediglich Compliance. DORA ist also kein Projekt mit Enddatum, sondern ein umfangreicher Maßnahmenkatalog, der ab sofort im Tagesgeschäft umgesetzt werden muss und vom Gesetzgeber eingefordert wird. Kurzum: Die Branche steht jetzt (wieder) am Startpunkt.
Zwei Themen kristallisieren sich dabei aktuell besonders heraus.
Erstens: Critical Third Party Provider– die gefährliche Illusion der Auslagerung
Die europäische Benennung kritischer IKT-Drittanbieter stellt eine Zäsur dar. Erstmals wird dort angesetzt, wo sich Abhängigkeiten real bündeln. Das sorgt für mehr Transparenz, Vergleichbarkeit und neue Eingriffsmöglichkeiten der Aufsicht. Zwar schafft dieser Schritt für viele Instituteeine gewisse Entlastung, aber keine Entwarnung. Denn die Verantwortung bleibt dort, wo sie nach Auffassung der Aufsicht hingehört: bei den Instituten selbst. Die neue Aufsicht über kritische Dienstleister ergänzt das eigene Risikomanagement, ersetzt es aber nicht. Institute müssen weiterhin begründen können, warum sie bestimmte Anbieter für kritische Funktionen einsetzen, wie sie die Substituierbarkeit bewerten und welche Exit-Szenarien tragfähig sind. DORA schafft hierfür den Rahmen und die Vergleichbarkeit – die konkrete Steuerung bleibt Teil der unternehmerischen Verantwortung.
Auch die auf der BaFin-Veranstaltung„IT-Aufsicht im Finanzsektor“ genannte Zahl von über 600 schwerwiegenden Vorfällen im ersten DORA-Jahr ist in diesem Kontext zu sehen (www.bafin.de/SharedDocs/Veranstaltungen/DE/250725_it_aufsicht_im_finanzsektor.html). Sie klingt dramatisch, ist aber vor allem Ausdruck von Cluster-Effekten: ein Vorfall bei einem großen Dienstleister, viele betroffene Institute, viele Meldungen. Das Problem ist nicht die Meldequote, sondern die strukturelle Abhängigkeit. Und die lässt sich nicht outsourcen, auch nicht unter europäischer Aufsicht. Die Konzentrationsrisiken, die sichheute bei Cloud-Computing und Softwarelösungen bemerkbar machen, werden sich zudem über kurz oder lang auch durch Künstliche Intelligenz ergeben.
Zweitens: Resilienz-Testing– der unterschätzte Kraftakt
In den kommenden Jahren wird sich der Charakter von DORA noch stärker beim Thema Resilienz-Testing zeigen. Zwar haben viele Institute Testprogramme aufgesetzt und methodisch sauber beschrieben. Der nächste Schritt ist jedoch anspruchsvoller: Die Tests müssen regelmäßig, realitätsnah und wirksam durchgeführt werden. Allein im Rahmen des Drittparteienrisikomanagements müssen die Institute alle drei Jahre bedrohungsorientierte Penetrationstests durchführen. Diese stellen eine extreme organisatorische und finanzielle Belastung dar.
Der Maßstab hat sich dabei verschoben. Es zählt nicht mehr die Frage „Ist das System sicher?“, sondern „Kann das Institut weiterarbeiten, während es angegriffen wird?“. Dies lässt sich nicht simulieren, ohne die Finanzbranche massiv unter Druck zu setzen. Threat-Led-Penetrationstests im laufenden Betrieb, End-to-End-Szenarien und Purple Teaming – also das Zusammenspiel der eigenen IT-Security-Spezialisten als angreifendes und verteidigendes Team – beschäftigen Sicherheits-, Betriebs- und Fachbereiche über Monate hinweg. Spätestens hier zeigt sich, ob Rollen, Schwellenwerte und Eskalationswege tatsächlich gelebt werden oder nur beschrieben sind. Die Ergebnisse lassen sich auch nicht wegdokumentieren. Sie verlangen vielmehr nach Priorisierung, Budget, Umsetzung und Management-Entscheidungen. Genau hier wird die Aufsicht in den kommenden Jahren hinschauen: nicht auf die Existenz von Konzepten, sondern auf deren Wirksamkeit. Das heißt, auf Ergebnisse, abgeleitete Maßnahmen und deren tatsächliche Umsetzung.
Fazit: 2026 ist der eigentliche Startpunkt von DORA
Die Signale sind eindeutig: Die Ramp-up-Phase von DORA ist abgeschlossen. Wer das verstanden hat, kann die Verordnung 2026 zu dem machen, wofür sie gedacht ist: eine gute Gelegenheit, die eigene operationale Resilienz zu stärken.
Dieser Kommentar und das Bild in höherer Auflösung können unter www.pr-com.de/companies/ntt-data abgerufen werden.
NTT DATA ist in der DACH-Region Teil der NTT DATA Unternehmensgruppe. Mit einem jährlichen globalen Umsatz vonüber 30 Milliarden US-Dollar ist sie ein führender Anbieter von Business- und Technologie-Services, die 75 Prozent der Fortune Global 100 zu ihren Kunden zählt. Gruppenweit engagiert sich NTT DATA für den Erfolg seiner Kunden und ist bestrebt, die Gesellschaft mit verantwortungsvollen Innovationen positiv zu verändern. Sie ist einer der weltweit führenden Anbieter von KI und digitalen Infrastrukturen. Außerdem bietet sie einzigartige Fähigkeiten bei der Enterprise-Skalierung von KI, Cloud, Security, Konnektivität, Rechenzentren und Application Services. Mit Beratung und Branchenlösungen unterstützt NTT DATA Unternehmen und die Gesellschaft dabei, sicher und nachhaltig in eine digitale Zukunft aufzubrechen. Als Global Top Employer verfügt die Unternehmensgruppeüber Expertinnen und Experten in mehr als 70 Ländern. Darüber hinaus bietet sie Kunden ein robustesÖkosystem mit Innovationszentren sowie etablierten Partnern und Start-ups. NTT DATA ist Teil der NTT Group, die jedes Jahr mehr als 3 Milliarden US-Dollar in Forschung und Entwicklung investiert. Weitere Informationen unter https://nttdata.com
NTT DATA Deutschland SE
Cornelia Spitzer, BA
Press Manager DE | AT | CH
Tel.: +43 664 8847 8903
E-Mail: cornelia.spitzer(at)nttdata.com
PR-COM
Christina Haslbeck
Senior Account Manager
Tel.: +49-89-59997-702
E-Mail: christina.haslbeck(at)pr-com.de
NTT DATA Deutschland SE, NTT Germany AG&Co. KG und NTT Switzerland SA geben die obige Mitteilung gemeinschaftlich bekannt.
Datum: 13.01.2026 - 12:54 Uhr
Sprache: Deutsch
News-ID 2223625
Anzahl Zeichen: 0
Kontakt-Informationen:
Ansprechpartner: Christina Haslbeck
Stadt:
München
Telefon: +49-89-59997-702
Kategorie:
Internet
Meldungsart: Unternehmensinfos
Versandart: Veröffentlichung
Freigabedatum: 13.01.2026
Dieser Fachartikel wurde bisher 9 mal aufgerufen.
Der Fachartikel mit dem Titel:
"Ein Jahr DORA: Die Schonfrist ist vorbei"
steht unter der journalistisch-redaktionellen Verantwortung von
NTT DATA (Nachricht senden)
Beachten Sie bitte die weiteren Informationen zum Haftungsauschluß (gemäß TMG - TeleMedianGesetz) und dem Datenschutz (gemäß der DSGVO).