DORA: Welche IT-Nachweise Finanzunternehmen jetzt brauchen
Mit DORA (DORA – Digital Operational Resilience Act – Bafin), das seit Januar 2025 vollumfänglich gilt, hat sich der Umgang mit IT-Sicherheit im Finanzsektor grundlegend verändert. Unternehmen müssen Sicherheitsmaßnahmen nicht nur technisch umsetzen, sondern auch umfassend dokumentieren und prüffähig nachweisen können. Besonders wichtig werden dabei Risikoanalysen, Sicherheitsrichtlinien, Incident-Response-Prozesse, Backup- und Wiederherstellungskonzepte sowie regelmäßige Sicherheitsprüfungen. Gleichzeitig steigen die Anforderungen an Reporting und kontinuierliche Überwachung deutlich an. Neu ist dabei vor allem, dass die Geschäftsleitung diese Maßnahmen aktiv billigen und regelmäßig überprüfen muss – IT-Compliance ist damit auch im Finanzsektor zur Führungsaufgabe geworden.
Auch externe IT-Dienstleister geraten stärker in den Fokus. Finanzunternehmen müssen nachvollziehbar bewerten können, welche Risiken durch Cloud-Anbieter, Managed Service Provider oder andere technische Partner entstehen. Verträge mit IT-Dienstleistern müssen künftig klare Regelungen zu Sicherheitsanforderungen, Auditrechten und Incident-Meldepflichten enthalten. Dadurch gewinnt die Dokumentation von Sicherheitsmaßnahmen entlang der gesamten Lieferkette an Bedeutung. Besonders kleinere Finanzunternehmen unterschätzen diesen Punkt häufig – dabei kann eine unzureichend abgesicherte Drittpartei schnell zur eigenen Schwachstelle werden.
Viele Unternehmen stehen deshalb vor der Herausforderung, bestehende IT-Strukturen nicht nur sicherer, sondern auch deutlich transparenter aufzubauen. Themen wie Logging, Monitoring, Nachweisfähigkeit und Management-Reporting entwickeln sich zunehmend zu zentralen Bestandteilen moderner IT-Compliance. Konkret bedeutet das: Sicherheitsvorfälle müssen lückenlos erfasst, bewertet und innerhalb enger Fristen an die zuständigen Behörden gemeldet werden. Wer hier frühzeitig strukturierte Prozesse aufbaut, ist nicht nur regulatorisch auf der sicheren Seite, sondern stärkt gleichzeitig das Vertrauen von Kunden, Partnern und Aufsichtsbehörden.
Für viele Finanzunternehmen bedeutet DORA deshalb einen grundlegenden Wandel in der IT-Organisation. Es reicht nicht mehr, Sicherheit als technisches Thema zu behandeln. Wer die Anforderungen ernst nimmt, schafft die Grundlage für eine resiliente und zukunftsfähige IT – und ist gleichzeitig besser gegen Cyberangriffe geschützt.