Organisations- und Führungskonzepte Sicherheitskonzepte

DORA: Finanzmarktregulierung trifft IT-Risikomanagement

26. November 2025
von Holger Berens
Protection concept. Protect mechanism, system privacy. Vector illustration.
© Alex - stock.adobe.com

Der Artikel zeigt, dass der Digital Operational Resilience Act (DORA) über den Finanzsektor hinaus als Blaupause für ganzheitliche Unternehmensresilienz dienen kann – als praxisorientiertes Leitmodell für Stabilität, Compliance und nachhaltige Sicherheit in einer vernetzten Wirtschaft.

Inhaltlich steht DORA in enger Kongruenz zu NIS-2 und dem KRITIS-Dachgesetz – alle drei Regelwerke basieren auf dem Prinzip der Resilienz als gesetzlicher Managementpflicht. Das Acht-Phasen-Modell der Resilienz bietet dabei ein verbindendes Ordnungsprinzip, das physische und digitale Sicherheit integriert und Resilienz als kontinuierlichen Lebenszyklus abbildet.

Einheitlicher Rechtsrahmen für digitale Widerstandsfähigkeit

Die zunehmende Digitalisierung des Finanzsektors und die damit verbundenen Risiken durch Cyberangriffe, Systemstörungen und Abhängigkeiten von IT-Dienstleistern haben die Europäische Union veranlasst, mit DORA einen einheitlichen Rechtsrahmen für digitale Widerstandsfähigkeit zu schaffen.

Die Verordnung (EU) 2022/2554, die ab dem 17. Januar 2025 unmittelbar in allen Mitgliedstaaten gilt, verpflichtet Banken, Versicherungen, Wertpapierfirmen, Zahlungsdienstleister und andere Finanzmarktakteure, ihre digitale Resilienz ganzheitlich zu stärken. Ziel ist nicht allein die Abwehr von IT-Bedrohungen, sondern die kontinuierliche Aufrechterhaltung wesentlicher Geschäftsprozesse – auch unter Krisenbedingungen.

DORA ergänzt und konkretisiert damit die bestehenden europäischen Sicherheitsrahmen: die NIS-2-Richtlinie, die digitale Informationssicherheit für kritische und wesentliche Einrichtungen vorschreibt, und das KRITIS-Dachgesetz, das die physische Resilienz von Anlagen, Lieferketten und Personal adressiert. Zusammen bilden diese drei Instrumente ein abgestimmtes europäisches System für Resilienz – digital, physisch und organisatorisch.

Kernanforderungen des DORA-Rahmens

Die DORA-Verordnung definiert fünf zentrale Handlungsfelder, die Finanzunternehmen und ihre IT-Dienstleister gleichermaßen betreffen:

  • Erstens müssen Institute ein IKT-Risikomanagementsystem etablieren, das digitale Risiken strukturiert identifiziert, bewertet und steuert. Dieses System bildet die Grundlage für sämtliche organisatorischen und technischen Maßnahmen.
  • Zweitens verpflichtet DORA zu einem standardisierten Vorfallmanagement. Schwerwiegende IT-Störungen und Cybervorfälle müssen innerhalb festgelegter Fristen an die zuständigen Behörden – in Deutschland insbesondere BaFin und Deutsche Bundesbank – gemeldet werden.
  • Drittens schreibt DORA regelmäßige Belastungs- und Penetrationstests vor, um die tatsächliche operative Widerstandsfähigkeit der IT-Systeme zu überprüfen.
  • Viertens legt die Verordnung großen Wert auf das Management von Drittparteienrisiken. Unternehmen bleiben auch dann verantwortlich, wenn sie kritische IT-Leistungen an externe Anbieter oder Cloud-Dienstleister auslagern. Verträge müssen Sicherheitsanforderungen, Reaktionszeiten und Exit-Strategien verbindlich festlegen.
  • Und fünftens fördert DORA den strukturierten Informationsaustausch über Cyberbedrohungen und Sicherheitsvorfälle innerhalb sicherer Kooperationsnetzwerke, um ein gemeinsames Lagebild zu schaffen.

Mit diesen Elementen wandelt sich IT-Sicherheit zu einem integralen Bestandteil der Unternehmenssteuerung – messbar, überprüfbar und dauerhaft beaufsichtigt.

Gemeinsame DNA mit NIS-2 und KRITIS-Dachgesetz

DORA, NIS-2 und das KRITIS-Dachgesetz folgen einer gemeinsamen sicherheitspolitischen Logik: Resilienz als gesetzlich verankerte Pflicht zur Aufrechterhaltung wesentlicher Dienste.

Während NIS-2 die Informationssicherheit sektorübergreifend stärkt und das KRITIS-Dachgesetz den physischen Schutz kritischer Infrastrukturen regelt, konzentriert sich DORA auf die digitale operative Widerstandsfähigkeit des Finanzsektors.

Trotz unterschiedlicher Anwendungsbereiche fordern alle drei Regelwerke dieselben Grundprinzipien:

  • eine systematische Risikoanalyse,
  • die Implementierung von Schutzmaßnahmen,
  • Notfall- und Krisenorganisationen,
  • Melde- und Berichtspflichten,
  • den Nachweis von Wirksamkeit sowie
  • die Einbindung von Liefer- und Dienstleistungsketten.

Diese strukturelle und inhaltliche Übereinstimmung macht die drei Regelwerke kongruent und komplementär zugleich – sie beschreiben dieselben Managementprozesse, übertragen auf verschiedene Sektoren und Risikodimensionen.

Acht-Phasen-Modell als verbindendes Ordnungsprinzip

Die Umsetzung von DORA lässt sich ideal an das Acht-Phasen-Modell der Resilienz anlehnen, das als praxisbewährtes Rahmenwerk dient. Dieses Modell bildet den vollständigen Lebenszyklus von Krisenprävention, Reaktion und Erholung ab – und überträgt sich nahtlos auf die digitale Dimension:

  • In der ersten Phase (Verhindern) liegt der Fokus auf dem Erkennen und Minimieren digitaler Risiken. Dazu gehören Schwachstellenmanagement, Bedrohungsanalysen, Patch-Prozesse und der Aufbau einer Zero-Trust-Architektur.
  • Die zweite Phase (Schützen) umfasst technische und organisatorische Sicherheitsmaßnahmen wie Firewalls, Verschlüsselung, Netzsegmentierung, Backup-Strategien und Notstromversorgung, die den Kernbetrieb absichern.
  • In der dritten Phase (Reagieren) werden bei einem Sicherheitsvorfall klare Handlungsanweisungen aktiviert: Incident-Response-Teams werden alarmiert, Kommunikationswege geöffnet und Erstmaßnahmen eingeleitet.
  • Darauf folgt die vierte Phase (Abwehren) in der operative Gegenmaßnahmen erfolgen – von der Isolierung kompromittierter Systeme über Wiederherstellungsmaßnahmen bis zur digitalen Forensik.
  • Die fünfte Phase (Folgen begrenzen) konzentriert sich auf Business-Continuity-Maßnahmen, etwa durch alternative Transaktionswege, Redundanzen oder temporäre Notprozesse, um den Geschäftsbetrieb aufrechtzuerhalten.
  • In der sechsten Phase (Auffangen) stehen Schadensbewertung, Nachbereitung, rechtliche Aufarbeitung und psychologische Unterstützung betroffener Mitarbeitender im Vordergrund.
  • Die siebte Phase (Bewältigen) leitet aus den gewonnenen Erkenntnissen konkrete Verbesserungen ab: Prozesse, Sicherheitsarchitekturen und Schulungen werden angepasst.
  • Schließlich führt die achte Phase (Erholen) zu einer systematischen Weiterentwicklung – die Organisation lernt aus der Krise, etabliert neue Kennzahlen und macht Resilienz zu einem kontinuierlichen Verbesserungsprozess.

Dieses Phasenmodell verdeutlicht, dass DORA nicht nur technische Sicherheitsmaßnahmen fordert, sondern eine ganzheitliche Managementlogik, die den gesamten Zyklus von Risiko, Reaktion und Regeneration umfasst – identisch mit den Ansätzen in NIS-2 und KRITIS-Dachgesetz.

Resilienz in der digitalen Lieferkette

Ein zentrales Element von DORA ist die Verpflichtung, Drittparteien und Cloud-Dienstleister in das Resilienzmanagement einzubeziehen. Finanzinstitute müssen nachweisen, dass auch ausgelagerte Prozesse den regulatorischen Anforderungen genügen.

Dies umfasst vertraglich definierte Sicherheitsstandards, regelmäßige Audits, Risikoanalysen zu Abhängigkeiten sowie Notfall- und Exit-Pläne. Damit etabliert DORA – analog zum KRITIS-Dachgesetz – eine rechtliche Verantwortungskette, die über die Unternehmensgrenzen hinausreicht und die gesamte digitale Lieferkette erfasst. So entsteht ein Netz gegenseitiger Sicherung, das die Resilienz des Gesamtsystems stärkt und sektorübergreifende Risiken abmildert.

DORA als Blaupause für unternehmensweite Resilienz

Auch wenn DORA formal nur den Finanzsektor betrifft, ist seine Methodik universell anwendbar. Jedes Unternehmen, das seine digitale Betriebskontinuität sichern will, kann die Prinzipien der Verordnung adaptieren.

Durch Anwendung des Acht-Phasen-Modells entsteht eine einheitliche Resilienzarchitektur, die physische und digitale Sicherheit integriert, Compliance-Anforderungen aus NIS-2, DORA und KRITIS abdeckt und eine konsistente Sicherheitskultur fördert.

Unternehmen, die diese Logik verankern, erhöhen nicht nur ihre Krisenfestigkeit, sondern auch ihre Wettbewerbsfähigkeit, denn digitale Resilienz wird zunehmend zum Ausschluss- oder Vergabekriterium in Lieferketten.

Integration physischer und digitaler Resilienz

Die Grenzen zwischen physischer und digitaler Sicherheit verschwimmen zusehends. Ein Angriff auf IT-Systeme kann physische Prozesse lahmlegen; umgekehrt können physische Störungen digitale Infrastruktur gefährden.

Deshalb ist eine integrierte Betrachtung beider Dimensionen notwendig. Das Acht-Phasen-Modell bietet den konzeptionellen Rahmen dafür: Es verknüpft Sicherheitsarchitektur, Krisenorganisation und Risikomanagement zu einem ganzheitlichen Resilienzsystem, das unabhängig vom Störungsursprung funktioniert.

Damit entsteht ein europäischer Resilienzstandard, der nicht in einzelnen Sektoren verharrt, sondern Sicherheit, Stabilität und Lernfähigkeit als dauerhafte Führungsaufgabe versteht.

Fazit

Der Digital Operational Resilience Act markiert den Übergang von punktueller IT-Sicherheit zu einem umfassenden Konzept operativer Widerstandsfähigkeit. Zusammen mit der NIS-2-Richtlinie und dem KRITIS-Dachgesetz bildet er das Fundament einer neuen europäischen Sicherheitsarchitektur.

Das Acht-Phasen-Modell erweist sich dabei als verbindendes Ordnungsprinzip – ein universeller Leitfaden, der die Anforderungen aller drei Regelwerke zusammenführt und praxisgerecht operationalisiert.

Resilienz wird damit zur strategischen und dauerhaften Managementpflicht. Sie schützt nicht nur Systeme und Daten, sondern sichert die Funktionsfähigkeit von Organisationen, Lieferketten und letztlich der gesamten europäischen Wirtschaft.

Das könnte Sie auch interessieren