Payment Agenda 2025, Teil 3: Digital Operational Resilience Act (DORA)
DORA: Neue EU-Verordnung stärkt digitale Resilienz im Finanzsektor

Garching near Munich, 03.06.2025 (PresseBox) - Am 17. Januar 2025 ist der Digital Operational Resilience Act (DORA) der Europäischen Union in Kraft getreten. Diese umfassende Verordnung zielt darauf ab, den Finanzsektor der EU vor den wachsenden Herausforderungen von Cyber-Angriffen und IT-Risiken zu schützen. Für Banken, Finanzinstitute und insbesondere Payment-Service Provider (PSPs) markiert DORA einen bedeutenden Wendepunkt. In diesem Teil unserer Payment Agenda 2025 beleuchten wir, was die Verordnung bedeutet, welche Anforderungen sie stellt und welche Konsequenzen sie mit sich bringt.

Was ist DORA?

DORA ist die erste EU-weite Verordnung, die die digitale operationale Resilienz des Finanzsektors regelt. Sie schafft ein einheitliches Regelwerk, das die bisher verstreuten Anforderungen in den Bereichen Risikomanagement, IT-Security, Compliance und Outsourcing zusammenführt. Ziel ist es, die Finanzmärkte der EU robuster gegenüber IT-Risiken zu machen, ohne dabei die Innovationskraft der Branche zu ersticken. Dass die Verordnung nötig ist, zeigt ein Blick in die Zahlen: Die Digitalisierung und der Trend hin zu immer komplexeren digitalen Ökosystemen verlagern nicht nur immer mehr kritische Bereiche unserer Infrastruktur in den Cyber-Raum, das Bundesamt für Sicherheit in der Informationstechnik (BSI) weist auch darauf hin, dass Attacken auf die digitale Infrastruktur aufgrund der zunehmenden geopolitischen Konflikte immer häufiger und heftiger werden. Und: Fast jeder fünfte der bekannt gewordenen globalen Cyber-Vorfälle der vergangenen zwanzig Jahre betraf die Finanzbranche – mit einem Gesamtschaden in Höhe von fast 12 Milliarden US-Dollar seit 2004 (Quelle: Internationaler Währungsfond / IWF). Tendenz: stark steigend.

Die fünf zentralen Bereiche von DORA:

• IT-Risiko- und Governance-Management: Hier macht DORA klare Vorgaben, wie IT-Systeme und Prozesse verwaltet werden müssen, um Risiken zu minimieren.
• IT-Vorfälle: Hier regelt DORA Meldepflichten und standardisierte Berichtsformate für IT-bezogene Vorfälle.
• Resilienztests: Hier schreibt DORA regelmäßige Tests der digitalen Resilienz vor, einschließlich Threat-Led Penetration Testing (TLPT).
• IT-Drittparteienrisiken: Hier regelt DORA das Management von Risiken entlang der gesamten digitalen Lieferkette, also auch bei externen Dienstleistern.
• Informationsaustausch: Hier legt DORA Standards fest für den internen und externen Austausch relevanter Informationen.

Was bedeutet DORA für Banken und PSPs?

Die Umsetzung von DORA stellt für Banken und PSPs eine enorme Herausforderung dar. Sie müssen umfassende Anpassungen an ihren Prozessen, IT-Systemen und internen Strukturen vornehmen. Die Herausforderungen liegen hier besonders in den folgenden Bereichen:

• Kosten: Das Einhalten der neuen Standards erfordert erhebliche Investitionen in Technologie, Automatisierung und Personal. Experten rechnen daher mit deutlich steigenden Compliance-Kosten.
• Organisatorische Veränderungen: DORA wird vermutlich zur Schaffung neuer Rollen wie etwa einem Operational Resilience Officer (ORO) führen, der die Einhaltung der Vorschriften überwacht und die Zusammenarbeit zwischen IT-, Risk- und Compliance-Abteilungen koordiniert.
• Automatisierung und KI: Ohne den Einsatz von Automatisierung und Künstlicher Intelligenz (KI) wird die Einhaltung der DORA-Vorgaben kaum möglich sein. Tools zur Echtzeit-Analyse von Bedrohungen, zum Melden von IT-Vorfällen und zur Risikoanalyse sind künftig unverzichtbar – und dürften zu einem weiteren Fintech-Boom führen.

Besondere Herausforderungen für Payment-Service Providers (PSPs)

Für PSPs, die oft als Schnittstelle zwischen Endkunden und Banken agieren, birgt DORA zusätzliche Hürden. Als Anbieter von kritischen Dienstleistungen liegen besonders die folgenden Aspekte im Fokus:

• IT-Security: PSPs müssen sicherstellen, dass ihre Systeme nicht nur den höchsten Sicherheitsstandards entsprechen, sondern auch die Meldepflichten bei Vorfällen lückenlos erfüllt werden.
• Outsourcing: Viele PSPs arbeiten mit externen Dienstleistern. DORA verlangt eine gründliche Prüfung und Überwachung aller Drittanbieter – von Onboarding-Prozessen bis hin zu vertraglichen Vereinbarungen.
• Low-Code-Plattformen: Viele PSPs nutzen innovative Technologien wie Low-Code-Entwicklungsplattformen. Diese müssen nun einer strikten Prüfung unterzogen werden, um Risiken durch sogenannte „Schatten-IT“-Strukturen zu minimieren.

Chancen und Risiken für Kunden

Für Endkunden bringt DORA sowohl Vorteile als auch mögliche Herausforderungen:

• Sicherheit: Die standardisierten Vorgaben verbessern den Schutz sensibler Kundendaten und reduzieren das Risiko von IT-Ausfällen.
• Transparenz: Kunden profitieren von klareren Prozessen und einer besseren Kommunikation bei IT-Vorfällen.
• Mögliche Kostensteigerungen: Die höheren Compliance-Kosten könnten andererseits aber langfristig auf die Preise von Bankdienstleistungen und Zahlungsservices umgelegt werden – und gegen den langfristigen Trend wieder für steigende Kosten sorgen, die am Ende auf die Endkunden umgelegt werden.

DORA: Ohne Automatisierung geht es nicht

Die Vielzahl der DORA-Anforderungen macht eines deutlich: Manuelle Prozesse reichen nicht aus. Banken und PSPs müssen auf hochentwickelte Technologien setzen, um die Regelungen effizient umzusetzen. Künstliche Intelligenz (KI) wird dabei eine Schlüsselrolle spielen. Typische Einsatzbereiche sind:

• Automatisierte Bedrohungserkennung und -behandlung
• Echtzeit-Analysen und Berichte
• Prognosen zur Risikoentwicklung
• Automatisiertes Management von Resilienztests

Darüber hinaus wird der Softwareentwicklungsprozess selbst DORA-konform gestaltet werden müssen, um die Compliance-Anforderungen auch auf technischer Ebene zu erfüllen.

Ein erster Schritt in eine sicherere, regulierte Zukunft

DORA ist nicht das Ende, sondern der Anfang einer neuen Ära der Regulierung im Finanzsektor. Die Komplexität der Anforderungen wird voraussichtlich weiter zunehmen, und Anpassungen an die neue Realität sind schon lange erkennbar. Gleichzeitig bietet DORA aber auch eine Chance: Durch ein einheitliches Regelwerk können Banken und PSPs ihre Risiko- und Resilienzstrategien objektiv messen und bewerten. Langfristig könnte sich die Qualität des Risikomanagements zu einem entscheidenden Wettbewerbsfaktor entwickeln – nicht nur im Hinblick auf die Wahrnehmung von Händlern und Finanzdienstleistern – sondern auch für den gesamten Wirtschaftsraum EU als sicherem Hafen in einer zunehmend turbulenten und unsicheren digitalen Welt.

Fazit

Der Digital Operational Resilience Act (DORA) bringt tiefgreifende Veränderungen für den Finanzsektor. Banken, PSPs und andere Finanzinstitute stehen vor der Herausforderung, komplexe Anforderungen zu erfüllen, Prozesse zu automatisieren und ihre Organisationen neu auszurichten. Für Kunden bedeutet das prinzipiell mehr Sicherheit und Transparenz, jedoch möglicherweise auch höhere Kosten. Fest steht: Mit DORA wird die digitale Resilienz zu einem zentralen Thema für die Zukunft des Finanzwesens in Europa. Jetzt liegt es an den Unternehmen, diese Herausforderung anzunehmen – und die Chancen zu nutzen, die sich daraus ergeben.