Was die neue EU-Verordnung für Banken, Vermögensverwalter und IT-Dienstleister bedeutet – und warum digitale Resilienz jetzt über Vertrauen, Regulierung und wirtschaftliches Überleben entscheidet.
Stellen Sie sich vor: Eine Bank ruft am Montagmorgen ihr Rechenzentrum auf – und nichts funktioniert. Online-Banking gestört, interne Systeme eingefroren, Kunden verunsichert. Was früher als Ausnahme galt, ist heute ein realistisches Szenario. Denn mit der fortschreitenden Digitalisierung des Finanzsektors wachsen auch die Risiken: Cyberangriffe, Systemausfälle, Datenlecks – all das kann nicht nur ein einzelnes Institut gefährden, sondern die Stabilität des gesamten Finanzmarkts untergraben. Genau hier setzt DORA an.
Die Verordnung über digitale operationale Resilienz im Finanzsektor (DORA) markiert einen Paradigmenwechsel: Statt bloßer Empfehlungen oder branchenspezifischer Vorschriften formuliert die EU erstmals ein einheitliches, verbindliches Regelwerk, das alle Finanzunternehmen und ihre IT-Dienstleister erfasst – von der Großbank bis zur Kryptoplattform. Die Botschaft ist klar: IT-Störungen sind kein Randthema mehr, sondern aufsichtsrelevante Risiken, die juristisch sauber erfasst, gemeldet und gemanagt werden müssen. Und das nicht irgendwann, sondern ab Januar 2025 verpflichtend.
Dr. Thomas Schulte, Rechtsanwalt in Berlin und langjähriger Experte für Bankaufsichts- und Finanzmarktrecht, stellt fest: „DORA zwingt die Branche, IT-Risiken mit der gleichen Ernsthaftigkeit zu behandeln wie Kredit- oder Marktrisiken. Das betrifft nicht nur Technik – das betrifft das gesamte rechtliche und organisatorische Fundament der Institute.“
In der Praxis heißt das: Jedes Unternehmen im Finanzsektor muss künftig IT-Vorfälle systematisch erfassen, bewerten und innerhalb enger Fristen an die zuständigen Aufsichtsbehörden melden. Doch damit nicht genug: Die Anforderungen an Tests, Backup-Systeme, Verträge mit Drittanbietern und betriebliche Krisenpläne steigen dramatisch. Wer sich nicht vorbereitet, riskiert nicht nur Sanktionen, sondern auch den Vertrauensverlust am Markt. Dr. Peter Riedi, Volkswirt und Finanzexperte im Fürstentum Liechtenstein, ergänzt die wirtschaftliche Perspektive: „Digitale Resilienz ist kein technisches Add-on, sondern ein systemischer Stabilitätsfaktor. In einer vernetzten Finanzwelt sind Kettenreaktionen bei IT-Vorfällen nicht nur wahrscheinlich – sie sind in ihrer Tragweite unterschätzt. DORA ist eine längst überfällige wirtschaftspolitische Reaktion auf diese stille Verwundbarkeit.“
Diese neue Ära digitaler Verantwortung stellt Juristen, Compliance-Verantwortliche und IT-Abteilungen gleichermaßen vor Herausforderungen – und Chancen. Denn wer frühzeitig reagiert, kann aus der Pflicht eine Stärke machen. In der folgenden Analyse zeigt Dr. Thomas Schulte, welche rechtlichen Anforderungen DORA konkret mit sich bringt, wie Unternehmen sich vorbereiten sollten – und welche Fehler teuer werden können.
Digitale Resilienz als regulatorisches Fundament
DORA wurde mit dem Ziel eingeführt, die Möglichkeiten von Finanzunternehmen zu festigen, sich gegen digitale Risiken zu wappnen, insbesondere gegen Vorfälle, die die Informations- und Kommunikationstechnologie (IKT) betreffen. Der Begriff „digitale operationale Resilienz“ meint nicht weniger als die Fähigkeit eines Instituts, auch unter widrigsten technologischen Bedingungen betriebsfähig zu bleiben. Dies umfasst sowohl präventive Maßnahmen, Reaktionsstrategien als auch die nachträgliche Aufarbeitung von sicherheitsrelevanten Ereignissen.
„Die Anforderungen von DORA markieren einen Paradigmenwechsel in der Regulierung des Finanzwesens. Erstmals wird nicht nur die Tatsache eines Vorfalls betrachtet, sondern der gesamte Prozess von Entstehung, Meldung und Nachverfolgung gesetzlich konkretisiert“, erläutert Dr. Schulte. Eine Besonderheit besteht in der Einheitlichkeit: Während bisher unterschiedliche Normen wie die PSD II-Richtlinie oder das BSI-Gesetz galten, integriert DORA diese Vorgaben sektorübergreifend und ersetzt sie, wo es präzisere Regelungen gibt. Dr. Riedi dazu: „Resilienz bedeutet nicht, dass Ausfälle nie passieren – sondern dass Systeme so gebaut sind, dass sie nicht kollabieren. Der Gesetzgeber trägt dieser Erkenntnis Rechnung, aber viele Unternehmen agieren hier noch mit Illusionen statt mit Plan.“
Pflichten im Falle von IKT-Vorfällen
Ein IKT-bezogener Vorfall im Sinne der DORA ist definiert als ein ungeplantes Ereignis, das die Sicherheit von Netzwerken und Informationssystemen verletzt und sich negativ auf die Datenverfügbarkeit oder Dienstleistungen auswirkt. Das klingt zunächst technisch, hat jedoch tiefgreifende juristische Konsequenzen. Finanzinstitute sind nach Artikel 17 DORA verpflichtet, ein umfassendes Managementverfahren für solche Vorfälle aufzubauen. Dies umfasst unter anderem die Überwachung, Protokollierung und – falls erforderlich – auch die Meldung an die zuständigen Behörden.
Dieser Prozess ist nicht optional. Die Meldung schriftlich dokumentierter Informationssicherheitsvorfälle wird zur bindenden Pflicht, wenn diese unter die in Artikel 18 festgelegten Schweregrade fallen. Maßgebend hierfür ist die Einstufung durch regulatorische technische Standards, sogenannte RTS. Bei besonders gravierenden Ereignissen, die etwa Zahlungsdienste massiv beeinträchtigen, greift die Meldepflicht zwingend.
„Hier liegt eine klare Verschiebung von reinen Handlungsempfehlungen hin zu einem strengen Ordnungsrahmen vor“, unterstreicht Dr. Schulte. „Die Rechtsfolgen unterlassenen Meldens könnten künftig nicht nur aufsichtsrechtlich, sondern auch haftungsrechtlich relevant werden – etwa bei Verstößen gegen die Berichtspflichten gemäß § 54b KWG.“
BaFin als zentrale Meldestelle
Der Clou am neuen System: BaFin fungiert als zentrale Meldestelle für alle DORA-pflichtigen Meldungen. Bei Bedarf gibt sie diese an das Bundesamt für Sicherheit in der Informationstechnik (BSI), die betreffenden europäischen Aufsichtsbehörden (ESMA, EBA, EIOPA) und gegebenenfalls auch an die Europäische Zentralbank weiter. Damit entsteht eine einheitliche und abgestimmte Berichtskette, die Streuverluste verhindert und Transparenz sicherstellt.
Eine interessante juristische Dimension dieses Systems liegt in der sogenannten lex specialis-Regel. Diese klassische Regel aus der juristischen Methodik besagt, dass die speziellere Norm die allgemeinere verdrängt. Dr. Schulte betont die klare Ordnungsstruktur: „Die lex specialis-Regel stellt sicher, dass DORA oberste Geltung hat, wenn parallele Regelwerke wie die NIS2-Richtlinie weniger konkret oder umfassend sind. Dieser Vorrang ist für rechtsanwender klar und pragmatisch – ein Gewinn für die Rechtssicherheit.“ Aber Dr. Riedi mahnt zur Weitsicht: „Die Vernetzung zwischen Banken, Zahlungsdienstleistern, Fondsplattformen und Cloud-Anbietern bedeutet, dass ein Vorfall immer auch ein Risiko für andere ist. Die BaFin wird zum Sammelpunkt für diese Gefahren – aber sie darf nicht zum Flaschenhals werden.“
Freiwillige Meldung von Bedrohungen als Frühwarnsystem
Neben den verpflichtenden Meldewegen führt DORA auch ein freiwilliges System ein, mittels dessen Finanzinstitute bedeutsame Bedrohungen melden können, die potenziell zu einem Vorfall führen könnten. Diese Meldungen sind nicht verpflichtend, fördern jedoch den Informationsaustausch und ermöglichen den Behörden, Risiken frühzeitig zu identifizieren.
„Ein solches Instrument ist bereits aus dem Bereich der Luftfahrt-Sicherheitsberichte bekannt. Auch dort ermöglichen Frühwarnsysteme die präventive Intervention – im Finanzsektor ist das ein absoluter Mehrwert bei der Abwehr systemischer Risiken“, so Dr. Schulte.
Umsetzung und Herausforderungen für die Praxis
Zahlreiche Akteure im Finanzmarkt stehen derzeit vor der Herausforderung, die neuen normativen Vorgaben aus DORA in ihre Unternehmensstruktur und –prozesse zu integrieren. Dies ist keine bloße Formalität, sondern erfordert substanzielle organisatorische Anpassungen. IT-Abteilungen müssen gemeinsam mit der Compliance neue Prozesse etablieren, Kommunikationsketten definieren und klare Kriterien für Meldeschwellen einführen.
Während Großbanken bereits mit der Implementierung robuster IT-Compliance-Systeme begonnen haben, stehen kleinere Institute vor gewaltigen Herausforderungen. Dr. Schulte verweist auf das Prinzip der verhältnismäßigen Umsetzung in Artikel 4 DORA, betont aber: „Auch kleine Institute tragen Verantwortung – und können sich nicht auf Ressourcenmangel berufen. Die Haftung ist nicht größenabhängig.“
Dr. Riedi bringt es ökonomisch auf den Punkt: „Sicherheitslücken sind nicht nur Compliance-Fragen – sie sind Reputationsrisiken, Kundentreiber und im Zweifel Existenzfragen. Wer DORA nicht ernst nimmt, zahlt vielleicht nicht mit Geld, aber mit Vertrauen – und das ist unersetzlich.“
Unternehmensinterne Relevanz und Exkulpation
Eine häufig gestellte Frage lautet, ob die Umsetzung der DORA-Vorschriften auch haftungsrechtliche Pflichten für Geschäftsleiter abdecken kann. Hierzu Dr. Schulte: „Ganz klar ja – bei ordnungsgemäßer und nachweisbarer Umsetzung können sich Geschäftsleiter unter Umständen exkulpieren, sollten doch einmal Schäden durch IT-Vorfälle entstehen. Dies betrifft nicht nur die Innenhaftung, sondern auch Erklärungsbedarfe gegenüber der BaFin im Rahmen ihrer aufsichtsrechtlichen Funktion.“
Im Klartext: Compliance schützt – und wird durch DORA erstmals in dieser Tiefe in den Kontext der IT-Sicherheit gestellt. Die enge Verzahnung von Informatik und Jura erzeugt neue Berufsbilder im Compliance-Management und neue Anforderungen an die juristische Beratung von Finanzinstituten.
Schlussbetrachtung: DORA als juristisch-ökonomischer Meilenstein
Die Verordnung DORA bringt einen entscheidenden Schritt hin zur sektorübergreifenden Harmonisierung von Anforderungen an digitale Resilienz. Sie zwingt Unternehmen, IT-Sicherheit als strategisches Element zu begreifen – nicht als Nebenabteilung. Juristisch wird die Verzahnung von Datenschutz, Finanzaufsicht und Risikomanagement konkreter als je zuvor.
Dr. Thomas Schulte empfiehlt Unternehmen daher, die Vorgaben frühzeitig und mit juristischer Begleitung umzusetzen: „Die Zeit der freiwilligen Empfehlungen ist vorbei. DORA verlangt konkrete, dokumentierte Maßnahmen – und das mit haftungsrechtlicher Relevanz.“
Dr. Peter Riedi ergänzt: „Resilienz ist die neue Währung vertrauenswürdiger Finanzinstitute. Wer sie nicht im Portfolio hat, verliert – nicht nur Kunden, sondern seine Daseinsberechtigung in einem vernetzten System.
Fazit: DORA ist kein Compliance-Feigenblatt, sondern das Rückgrat eines künftigen Finanzsystems, das robust, verlässlich und kontrolliert auf die Herausforderungen des digitalen Zeitalters reagiert. Wer das heute nicht erkennt, läuft Gefahr, morgen nicht mehr handlungsfähig zu sein.
