Thought Leadership
Die EU-Verordnung zur digitalen Betriebsresilienz (DORA), seit dem 17. Januar 2025 in Kraft, beschäftigt die Finanzbranche: Während große Institute mit ihren komplexen Strukturen kämpfen, könnten agile Fintech-Startups schneller auf die neuen Anforderungen reagieren. Herausfordernd ist es allerdings für alle, egal, wie groß die Unternehmen sind.
Der Digital Operational Resilience Act (DORA) zielt darauf ab, die digitale Betriebsresilienz im europäischen Finanzsektor zu stärken. Seit dem 17. Januar 2025 müssen Finanzunternehmen die Anforderungen erfüllen, die ein einheitliches Niveau an Cybersicherheit und Widerstandsfähigkeit gewährleisten sollen. DORA betrifft nahezu alle Finanzinstitute und -unternehmen innerhalb der Europäischen Union (EU). Diese sind verpflichtet, Risiken in den Informations- und Kommunikationstechnologien (IKT) systematisch zu managen, Vorfälle zu melden und kritische Dienstleister zu überwachen. Zudem müssen sie regelmäßig Tests durchführen, um ihre operationale Resilienz zu überprüfen und sicherzustellen, dass sie auch in Krisensituationen funktionsfähig bleiben.
Altlasten und Silodenken: Herausforderungen für Großunternehmen
Traditionsreiche Finanzinstitute stehen bei der DORA-Umsetzung vor vielschichtigen Schwierigkeiten: Oft erschweren veraltete IT-Systeme den Aufbau effektiver Risikomanagement-Frameworks. Wenn sie die geforderte digitale Resilienz erreichen wollen, müssen sie umfangreich in moderne Technologien investieren. Hinzu kommt das Silodenken, das in großen Organisationen weit verbreitet ist. Laut einer Managementbefragung des FAZ-Instituts in Zusammenarbeit mit Sopra Steria sind zwei von fünf Führungskräften nicht bereit, Daten abteilungsübergreifend zugänglich machen. Darüber hinaus würde jeder Dritte der 254 befragten Manager auch keine Ressourcen intern teilen. Und das, obwohl ihm bewusst ist, dass dies die Innovationskraft des Unternehmens steigern könnte. Eine DORA-konforme Ausrichtung der IKT beruht jedoch darauf, dass Daten und Informationen frei zwischen Abteilungen fließen können.
Allerdings profitieren Traditionsbanken von ihrer langjährigen Expertise im Umgang mit Regulierungsanforderungen. In der stark regulierten Finanzbranche haben sie über Jahrzehnte Erfahrungen mit Compliance-Prozessen gesammelt. Dieses Knowhow lässt sich auf die DORA-Vorgaben übertragen und erleichtert die Anpassung.
Stärken der Fintech-Szene: Flexibilität und Innovationskraft
Dieser Wissensvorsprung fehlt vielen Fintechs und kleineren Technologieunternehmen. Für sie ist DORA möglicherweise eine der ersten großen Regulierungsanforderungen. Etablierte Rahmenwerke zur Einhaltung komplexer Vorschriften existieren oft noch nicht. Auch muss sich in vielen Fällen eine ausgereifte Compliance-Kultur erst noch entwickeln.
Die Flexibilität und Agilität junger Unternehmen können sich jedoch als Vorteile erweisen. Cloud-native Geschäftsmodelle erfüllen bereits viele DORA-Anforderungen. Wer moderne Technologien einsetzt, kann zudem vermeiden, dass sich Silostrukturen bilden. Denn Cloud-Lösungen und Unified-Communications-Tools ermöglichen flexible, skalierbare und sichere Infrastrukturen. Mit agilen Entwicklungsmethoden können IT-Systeme schnell an neue regulatorische Vorgaben angepasst werden. Daher sind Fintechs bei der Umsetzung der DORA-Regeln mitunter einen Schritt voraus. Vorausgesetzt, sie meistern den Kulturwandel hin zu einer strikten Compliance-Ausrichtung.
Individuelle Vorbereitungsstrategien
Wer offen und innovationsbereit ist, unterstützt die DORA-Umsetzung – unabhängig von der Unternehmensgröße. Großunternehmen sollten Compliance-Experten einbinden und die abteilungsübergreifende Zusammenarbeit fördern. Zudem gilt es, den Wissensvorsprung zu nutzen, über den sie dank der bestehenden Regularien verfügen. Jüngere Unternehmen hingegen sollten ihre Stärken als agile und cloudbasierte Organisationen ausspielen. Hier hat Priorität, transparente Prozesse zu implementieren, die dazu dienen, Compliance-Vorgaben einzuhalten.
Welcher Technologiepartner sie in der Umsetzung begleiten kann, hängt auch davon ab, ob dieser sich mit DORA auseinandergesetzt hat. Denn nur Anbieter, die selbst DORA-konform sind, können Finanzunternehmen effektiv unterstützen.
Technologiepartner gestalten maßgeblich mit
DORA stellt nicht nur Finanzinstitute, sondern auch deren IKT-Dienstleister vor neue Aufgaben. Cloud-Anbieter müssen für mehr Resilienz sorgen: ihre Systeme widerstandsfähiger sowie ausfallsicherer machen und besser gegen Ransomware schützen.
Finanzunternehmen sollen gemäß DORA ebenso die einseitige Abhängigkeit von einzelnen Cloud-Anbietern verringern. Wichtig dafür sind Prozesse und Strategien, um Multi-Cloud-Konzepte zuverlässig umsetzen zu können, oder Ausstiegspläne samt der Betriebsfortführung nach Anbieterwechsel. Daher obliegt es den IKT-Dienstleistern, sicherzustellen, dass die Datenmigrationen zwischen den verschiedenen Cloud-Umgebungen problemlos erfolgen kann. Außerdem muss gewährleistet sein, dass Daten bei Bedarf in die firmeneigene IT-Infrastruktur zurückgeholt werden können. Anbieter, die diese Anforderungen erfüllen, sind DORA-konform und erleichtern es ihren Kunden aus dem Finanzsektor, die Compliance einzuhalten und die digitale Widerstandsfähigkeit der Branche zu stärken.
Fazit: Compliance meistern
Die Größe spielt eine entscheidende Rolle bei der DORA-Umsetzung: Große Finanzinstitute profitieren von etablierten Compliance-Strukturen und umfangreicher Erfahrung, während kleinere Unternehmen oft mit unzureichenden Rahmenbedingungen kämpfen. Mit dem richtigen IT-Dienstleister an ihrer Seite können jedoch beide Seiten profitieren – vorausgesetzt, dieser kennt die spezifischen Herausforderungen und weiß, wie er ihnen begegnen kann. Die Zeit drängt: Wer die Unterschiede ignoriert, wird sich schwer tun mit der DORA-Konformität.
