Digital Operational Resilience Act (DORA) – Was ist nach der Anwendbarkeit zu beachten?

Seit dem 17. Januar 2025 ist der Digital Operational Resilience Act (DORA) verbindlich anzuwenden. Doch damit ist die Arbeit für Banken, Versicherungen und andere Finanzunternehmen keineswegs abgeschlossen. Vielmehr beginnt nun eine neue Phase der Umsetzung, in der verbleibende Lücken geschlossen, Prozesse optimiert und langfristige Strategien entwickelt werden müssen.

1. Meldefristen und ausstehende Konkretisierungen

Einige regulatorische Vorgaben treten nicht sofort in Kraft. Beispielsweise wurde die Frist für das Informationsregister auf den 30. April 2025 verschoben. Zudem wurden einige Anforderungen erst spät konkretisiert, sodass Unternehmen nun kurzfristig ihre Maßnahmen anpassen müssen.

2. Fortschritte und Herausforderungen in der Umsetzung

Während einige Unternehmen bereits umfassende Digital Operational Resilience Act (DORA) – Compliance-Programme etabliert haben, zeigt eine aktuelle Analyse, dass viele Finanzinstitute die vollständige Umsetzung noch nicht erreicht haben. Besonders betroffen sind:

  • Die Identifikation und Klassifizierung kritischer IKT-Dienstleister
  • Die Anpassung von Vertragswerken für IT-Dienstleister
  • Die Implementierung von Melde- und Dokumentationspflichten

Unternehmen, die noch Lücken haben, sollten jetzt dringend eine Gap-Analyse durchführen und priorisierte Maßnahmenpläne erstellen.

3. Vertragsmanagement: Mammutaufgabe für 2025

DORA stellt klare Anforderungen an die vertraglichen Beziehungen zwischen Finanzunternehmen und IKT-Dienstleistern. Besonders die Regelungen zur Unterauftragsvergabe erfordern umfassende Anpassungen bestehender Verträge.

Je nach Unternehmensgröße können dabei zwischen 10 und mehreren tausend Verträge betroffen sein. Viele IT-Verträge, die bislang wenige Seiten umfassten, benötigen nun einen DORA-konformen Zusatz mit bis zu 20 Seiten oder mehr.

4. Personalengpässe und Übergangslösungen

Die Umsetzung der Digital Operational Resilience Act (DORA)-Vorgaben stellt viele Unternehmen vor Herausforderungen – nicht nur finanziell, sondern auch personell. Besonders in der IT fehlen häufig Fachkräfte, um:

  • Kritische IKT-Funktionen zu identifizieren
  • Nachhaltige Prozesse für das Risikomanagement zu etablieren
  • Melde- und Dokumentationspflichten effizient umzusetzen

Viele Unternehmen setzen daher zunächst auf provisorische Lösungen, etwa Excel-Tabellen, bevor spezialisierte Tools eingeführt werden können.

5. Fazit: Der Digital Operational Resilience Act (DORA) bleibt ein Dauerthema

Auch nach dem offiziellen Stichtag bleibt DORA eine zentrale Herausforderung für Finanzunternehmen. Neben der Erfüllung regulatorischer Anforderungen wird es entscheidend sein, eine langfristige Digital-Resilience-Strategie zu entwickeln. Die nächsten Monate werden zeigen, wie erfolgreich die Unternehmen ihre Anpassungen umsetzen – und wie die Aufsichtsbehörden die Einhaltung der Vorgaben bewerten.

Unsere Wirtschaftsprüfer bei ADVANTA stehen Ihnen gerne zur Verfügung, um sich über die Anforderungen der DORA auszutauschen.

Justus Franke
Geschäftsführer & Wirtschaftsprüfer

Mobil: +49 151 42082305
E-Mail: jfranke@advanta.de

Die ADVANTA GmbH Wirtschaftsprüfungsgesellschaft ist als gesetzlicher Abschlussprüfer bei der Wirtschaftsprüferkammer eingetragen

Isometrische 3D-Illustration zur Digitalisierung mit vernetzten Systemen, Cloud-Technologie und digitalen Workflows.
Vorheriger Beitrag
Wertpapierinstituts-Vergütungsverordnung – Neue Maßstäbe für die Vergütungssysteme
Nächster Beitrag
Anhang zum Jahresabschluss – Wer muss ihn erstellen und welchen Zweck erfüllt er?
Diese Website verwendet Cookies, um Ihr Erlebnis zu verbessern. Wenn Sie diese Website weiter nutzen, erklären Sie sich damit einverstanden.