Digital Operational Resilience Act
DORA ist etabliert – aber es sind auch weitere Finanzunternehmen neu betroffen und erste Prüfungsergebnisse liegen vor.
DORA ist etabliert – aber es sind auch weitere Finanzunternehmen neu betroffen und erste Prüfungsergebnisse liegen vor.
Seit der Veröffentlichung des Digital Operational Resilience Act (DORA) im Amtsblatt der EU am 27.12.2022 gibt es wohl kein betroffenes Finanzunternehmen, welches kein DORA Projekt aufgesetzt hat. Oft beginnend mit einer DORA Gap Analyse und, darauf basierend, dann der Schließung von Gaps zur Erreichung der DORA Compliance und Verbesserung der Resilienz.
Allein die schiere Anzahl der Artikel aus der DORA selbst erforderte eine frühzeitige Auseinandersetzung mit den enthaltenen Anforderungen. Hinzu kam eine Vielzahl Regulatory Technical Standards (RTS), Implementing Technical Standards (ITS) und Guidelines, welche die Anforderungen konkretisierten. Erschwerend wirkte hier, dass die Veröffentlichung der RTS und ITS sich zum Teil weit in das Jahr 2025 hineinzog.
Zusätzlich zum Vorgabenumfang zeichnet sich DORA aufgrund der Verwobenheit und Abhängigkeit der Inhalte voneinander durch eine erhebliche Komplexität aus. Dies erschwerte die Analyse, im Sinne eines Ende-zu-Ende Verständnisses, und die Handhabbarkeit der Umsetzung in der Organisation.
Die Erfahrungen aus dem Abgleich von DORA/RTS/ITS mit dem Status Quo in den Finanzunternehmen (plenum DORA Gap Analyse) zeigten schnell auf, dass die richtige Vorgehensweise, Analysetiefe und Bewertungs-/Planungsansätze wichtige Voraussetzungen für eine erfolgreiche und zeitgerechte Umsetzung sind. Insbesondere die durch plenum durchgeführte Verdichtung der DORA-Vorgaben in 10 Handlungsfelder erwies sich als alltagstaugliche, handhabbare Struktur für die Kunden.
Die ermittelten Umsetzungsaufwände waren durchgängig hoch. Zwar immer abhängig von der Compliance mit bestehenden Regularien, aber auch in der Detaillierung und Regelungstiefe begründet.
plenum war vorrangig in konzeptionellen Fragestellungen, z.B. zur Anpassung von Leit- und Richtlinien mittels Good Practices im IKT-Risikomanagementrahmen und der Governance als Berater und Sparringspartner gefragt. Darüber hinaus hat plenum auch bei der Bewältigung operativer Tasks, wie z.B. der Durchführung von Risikoanalysen/Due Diligence-Prüfungen im IKT-Drittdienstleistermanagement, unterstützt.
Auch wenn die Leit-/Richtlinien, Checklisten und Templates vorliegen, gilt es jetzt, die vorgegebenen Verfahren in die Praxis zu überführen und die Transformation in die Linie sicherzustellen. Zudem stehen oft Optimierungen, wie z.B. die Ablösung von Excel-basierten Formaten, zur Professionalisierung und Ressourcenentlastung an.
In der Vergangenheit haben Aufsichtsmitteilungen, wie z.B. zur Ausgestaltung des IKT-Risikomanagementrahmens, operative Hilfestellung für die Umsetzung gegeben. Weitere Aufsichtsmitteilungen und die fortgeführten Q&A der Aufsicht enthalten auch zukünftig zu beobachtende Inhalte für eine Anpassung.
Des Weiteren befinden sich nicht alle Finanzunternehmen in der gleichen Phase der DORA Umsetzung. Dazu gehören insbesondere „weitere Finanzunternehmen“, die ab dem 01.01.2027 der DORA unterliegen. Diese Unternehmen befinden sich dadurch i.d.R. in einer vergleichsweise frühen Phase der Analyse oder Umsetzung.
Darüber hinaus wird seit 2025 DORA aufsichtlich geprüft. Vorliegende plenum Praxiserfahrungen (z.B. Prüfungs-Ergebnisse) geben wertvolle Hinweise, wie Umsetzungen aufsichtlich beurteilt werden; insbesondere für Finanzunternehmen bei denen eine Prüfung noch ansteht.
Nach Abschluss der DORA Projekte rückt die nachhaltige Verankerung der Anforderungen in der Linienorganisation in den Fokus.
Erfahren Sie, wie wir die Überführung regulatorischer Vorgaben in operative Prozesse, Rollen und Abläufe unterstützen.
Durch das Finanzmarktdigitalisierungsgesetz (FinmadiG) müssen weitere Finanzunternehmen ab dem 01.01.2027 DORA und die flankierenden RTS/ITS umsetzen.
Die Vorgaben-Inhalte sind dabei reduziert – Stichwort „vereinfachter IKT-Risikomanagementrahmen“ - jedoch immer noch sehr umfangreich und herausfordernd.
Gehören Sie zu den Finanzunternehmen, die zum 01.01.2027 DORA ready sein müssen und möchten mehr erfahren, was bis dahin zu tun ist?
Seit etwa Mitte 2025 wird die Umsetzung der DORA Vorgaben von Prüfteams der Aufsicht in den Finanzunternehmen geprüft.
plenum hat einige Kunden auf diese Prüfung vorbereitet, sie in der Prüfung begleitet und bei der Beurteilung der Feststellungen und daraus entspringenden Maßnahmen beraten.
Unsere Prüfungserfahrungen aus der Praxis bieten den Finanzunternehmen einen echten Mehrwert in organisatorischen und fachlichen Aspekten.
plenum führt seit vielen Jahren sehr erfolgreich regulatorische Projekte für die IT von Finanzunternehmen durch. In den letzten Jahren haben wir diese Expertise und Erfahrung auch im Kontext DORA sammeln und Good Practices zum Nutzen unserer Kunden einsetzen können.
Mit unserem in jeder Phase praxisbewährten Vorgehen bieten wir Ihnen eine verlässliche und pragmatische Begleitung auf Ihrer „Road to Resilience & DORA Compliance“, damit Sie sich wieder voll auf Ihr Kerngeschäft konzentrieren können.
DORA Prüfungsvorbereitung
DORA in Finanzunternehmen