Email: law@meet-an-expert.com
Telefon: +370 (5) 214 3426

Digitale Resilienz im Finanzsektor durch das DORA-Regelwerk

ABOWI Law
Digitale Resilienz im Finanzsektor durch das DORA-Regelwerk - ABOWI Law
  • Früherkennung von Anlagebetrug – wir handeln sofort. Schutz vor Anlagebetrug ist unser Spezialgebiet – wir erkennen Risiken frühzeitig und handeln konsequent.
  • Schutz vor unseriösen Anbietern – juristisch fundiert. Wir prüfen dubiose Angebote gründlich und vertreten Sie effektiv gegen unseriöse Anbieter.
  • Verluste vermeiden – wir prüfen Ihre Kapitalanlage. Unsere juristische Expertise schützt Sie vor finanziellen Verlusten durch betrügerische Kapitalanlagen.
  • Anlegerrechte durchsetzen – schnell und entschlossen. Wir setzen uns entschlossen für Ihre Rechte als Anleger ein – kompetent, schnell und durchsetzungsstark.
Termin vereinbaren

Digitales Vertrauen auf dem Prüfstand – wie sicher ist Europas Finanzsektor wirklich?
DORA kommt: Was das neue EU-Regelwerk für Banken, Investoren und Verbraucher bedeutet – und warum juristische Wachsamkeit jetzt entscheidend ist.

Bankgeschäfte, Kapitalanlagen, Zahlungsdienste – längst ist das Finanzsystem digital. Doch mit der wachsenden Abhängigkeit von Informations- und Kommunikationstechnologien steigen auch die Risiken: Cyberangriffe, Systemausfälle, Datenverlust. Die Europäische Union reagiert mit einem weitreichenden Regulierungspaket – dem Digital Operational Resilience Act (DORA). Ziel: ein sicherer, stabiler und widerstandsfähiger Finanzsektor in der digitalen Realität.

Doch was bedeutet DORA konkret für Finanzunternehmen? Welche neuen Prüf- und Meldepflichten kommen auf Banken, Versicherungen und Zahlungsdienstleister zu? Und wie wirkt sich diese tiefgreifende Regulierung auf den Schutz der Verbraucher, die Haftung der Anbieter und das Vertrauen der Investoren aus?

Dr. Thomas Schulte, Rechtsanwalt aus Berlin, der sich seit Jahrzehnten der Verrechtlichung der digitalen Welt widmet und sowohl im Kapitalmarkt- als auch im Reputationsrecht zu den erfahrensten Stimmen gehört, analysiert die rechtlichen und gesellschaftlichen Implikationen mit dem klaren Ziel, für alle Beteiligten mehr Rechtssicherheit im digitalen Raum zu schaffen. Mit dieser neuen Verordnung stellen sich für Dr. Schulte die entscheidenden Fragen: Droht durch DORA ein regulatorischer Overload, oder wird damit endlich der digitale Schutzschild geschaffen, den Europas Finanzwelt so dringend braucht? Wo endet unternehmerische Eigenverantwortung – und wo beginnt die Pflicht zur digitalen Resilienz? Ein Beitrag über das Spannungsfeld zwischen technologischer Innovation, rechtlicher Kontrolle und dem Schutz der Verbraucher in einem zunehmend vernetzten Finanzmarkt.

Ein europäisches Regelwerk mit großer Tragweite

Mit DORA verfolgt die EU das Ziel, die digitale Betriebsresilienz des Finanzsektors zu stärken und ein einheitliches Niveau für IT-Sicherheit auf dem Kontinent zu schaffen. Die Verordnung ist Teil eines umfassenderen Maßnahmenpakets zur europäischen Finanzmarktunion und ergänzt bestehende aufsichtsrechtliche Rahmenbedingungen durch spezifische Anforderungen an digitale Prozesse.

„DORA ist keine technische Anleitung zur Cybersicherheit – es ist ein verbindliches Regelwerk mit erheblichem rechtlichem Gewicht“, betont Dr. Thomas Schulte. „Finanzunternehmen und ihre IT-Dienstleister müssen rechtzeitig ihre internen Abläufe, Risikoanalysen und Meldeprozesse anpassen, um rechtskonform zu handeln.“

DORA im Praxistest – Wie viel digitale Resilienz steckt schon im Finanzsektor?

Dr. Thomas Schulte, Rechtsanwalt
Dr. Thomas Schulte, Rechtsanwalt

Seit dem 16. Januar 2023 ist sie in Kraft – und ab dem 17. Januar 2025 wird sie verbindlich anzuwenden sein: die Verordnung (EU) 2022/2554, besser bekannt unter dem Kürzel DORADigital Operational Resilience Act. Doch schon jetzt ist klar: Dieses Regelwerk markiert nicht nur einen neuen regulatorischen Meilenstein für die Finanzbranche, sondern wirft auch grundsätzliche juristische Fragen auf.

Der Anwendungsbereich von DORA ist bewusst weit gefasst – und das mit voller Absicht. Erfasst werden nicht nur klassische Kreditinstitute und Versicherer, sondern auch Zahlungsdiensteanbieter, Wertpapierfirmen, zentrale Gegenparteien, Depotbanken, Fondsverwalter und insbesondere IKT-Drittdienstleister. Letztere rücken als technologische Rückgrate der Finanzbranche erstmals systematisch in den Fokus der Regulierung. Doch was bedeutet es konkret, wenn ein IT-Dienstleister plötzlich denselben regulatorischen Anforderungen unterliegt wie eine Bank?

Der Begriff des „Finanzunternehmens“ wurde durch DORA so gestaltet, dass kaum ein relevanter Akteur mehr unter dem Radar agieren kann. Das Ziel: Die digitale Resilienz soll nicht mehr optional, sondern rechtsverbindlich Bestandteil der Unternehmens- und Risikostrategie sein. Doch wie weit sind die betroffenen Unternehmen – und wie konsequent agieren die Aufsichtsbehörden bisher?

In Deutschland nutzte die BaFin die Übergangsfrist bis Januar 2025, um Leitlinien zu entwickeln, Prüfkriterien zu definieren und Finanzunternehmen zur Selbstbewertung anzuhalten. Erste Fortschritte sind erkennbar: Große Marktteilnehmer haben Cyber-Resilienzprogramme aufgesetzt, interne Schwachstellenanalysen durchgeführt und IT-Outsourcing-Verträge angepasst. Doch kleinere Institute und FinTechs stehen oft noch am Anfang – mit begrenzten Ressourcen und vielen offenen Fragen:

  • Wie detailliert müssen Resilienztests und Risikoanalysen dokumentiert werden?

  • Was genau bedeutet „schwerwiegender IKT-Vorfall“ – und wie schnell muss gemeldet werden?

  • Welche vertraglichen Anpassungen sind bei der Zusammenarbeit mit Cloud-Dienstleistern notwendig?

Dr. Thomas Schulte sieht in DORA einen wichtigen Schritt – aber auch ein offenes Spielfeld. Die Praxis wird zeigen, ob DORA der Finanzwelt wirklich mehr Stabilität bringt oder ob sich ein neuer Bürokratieberg auftürmt. Klar ist: Viele Begriffe sind noch auslegungsbedürftig, viele Pflichten bedürfen technischer und juristischer Übersetzung.“

Schulte plädiert für einen dynamischen, begleitenden Gesetzesvollzug und kritisiert gleichzeitig, dass manche IKT-Dienstleister noch gar nicht wissen, dass sie künftig reguliert sind. „Wer Software liefert, Datenbanken wartet oder Cloud-Infrastrukturen betreibt, wird unter DORA zur kritischen Schnittstelle – und damit zur rechtlich haftbaren Instanz.“

Ein zentrales Problem bleibt die Harmonisierung der Aufsicht auf europäischer Ebene. Während die EBA (European Banking Authority), ESMA und EIOPA an einheitlichen Standards arbeiten, zeigen sich in der Praxis schon jetzt nationale Unterschiede in der Auslegung und Vorbereitung. Wird es also wieder ein Flickenteppich der Umsetzung geben – oder gelingt der digitale Schulterschluss für mehr Sicherheit in Europas Finanzsystem?

Meldepflichten und incident reporting

Ein zentraler Aspekt von DORA liegt in der Behandlung von IKT-bezogenen Vorfällen. Artikel 17 ff. beschäftigt sich mit dem sogenannten „incident reporting“. Finanzunternehmen müssen schwerwiegende IKT-Störungen erfassen, analysieren, kategorisieren und vor allem die zuständige Aufsichtsbehörde informieren.

„Es reicht nicht mehr, Vorfälle intern zu dokumentieren. Die Transparenzpflichten gegenüber Aufsichtsbehörden wie der BaFin werden zur Daueraufgabe der Compliance-Abteilungen“, stellt Dr. Schulte fest. Unternehmen müssen auf Basis festgelegter Kriterien bewerten, ob ein Vorfall zu den meldepflichtigen Ereignissen gehört. Die Kriterien hierzu sind in Artikel 18 DORA geregelt – entscheidend ist unter anderem die Schwere des Vorfalls, dessen Auswirkung auf kritische Dienstleistungen sowie potenzielle Auswirkungen auf das Finanzsystem.

Kommunikation mit der BaFin über das MVP-Portal

Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) stellt zur Erfüllung der Meldepflichten ein MVP-Portal zur Verfügung, welches als digitale Schnittstelle für die Übermittlung von Berichten dient. Dort müssen Unternehmen detaillierte Informationen zu Vorfällen bereitstellen, etwa Art und Dauer des Vorfalls, betroffene Systeme und getroffene Maßnahmen.

„Die Zusammenarbeit mit der BaFin wird künftig noch intensiver. Wer seine Meldepflicht verletzt, muss mit empfindlichen Sanktionen rechnen“, warnt Dr. Schulte. Unternehmen müssen daher sowohl aus technischer als auch aus rechtlicher Perspektive Vorsorge treffen und klar definierte Prozesse zur Bearbeitung und Meldung von Vorfällen etablieren.

Rechtliche Grundlage und Verbindung zum deutschen Aufsichtsrecht

Obwohl es sich bei DORA um eine europäische Verordnung handelt, wirkt sie direkt in den deutschen Rechtskreis hinein. Als Verordnung muss sie im Gegensatz zu Richtlinien nicht in nationales Recht überführt werden. Dennoch stellt sich die Frage, wie sie sich mit bestehendem deutschem Aufsichtsrecht und IT-Sicherheitsvorgaben verzahnt.

Ein klares Beispiel hierfür ist das Kreditwesengesetz (KWG), insbesondere § 25a Abs. 1 Satz 5 KWG:
„Die Institute haben angemessene technische und organisatorische Vorkehrungen zur Absicherung der Informations- und Kommunikationstechnik zu treffen.“

Diese Regelungen werden durch DORA ergänzt und konkretisiert. DORA bringt ein europäisch-harmonisiertes Regelwerk in ein bisher stark fragmentiertes Feld und erhöht somit die Rechtssicherheit und Vergleichbarkeit der Maßnahmen innerhalb der EU.

Risiko-Management, Prävention und Governance

Neben den Meldepflichten beinhaltet DORA auch präventive Vorgaben zum Management von IT-Risiken. Unternehmen müssen ihre internen Kontrollsysteme und Risikobewertungen anpassen, um digitale Bedrohungen frühzeitig zu erkennen und abzuwehren. Dies betrifft sowohl die technische Architektur als auch die Governance-Strukturen innerhalb des Unternehmens.

Dr. Schulte betont in diesem Zusammenhang, dass die rechtlichen Anforderungen nicht statisch seien: „DORA ist kein einmaliges IT-Projekt – es erfordert fortlaufende Anpassungen an neue Gefährdungslagen und neue regulatorische Anforderungen. Unternehmen dürfen sich hier nicht auf einem einmal geschaffenen Sicherheitsniveau ausruhen.“

Third-Party Risk und IKT-Dienstleister

Besondere Bedeutung kommt unter DORA auch den sogenannten IKT-Drittdienstleistern zu. Unternehmen, die beispielsweise ihre Datenverarbeitung oder Cloud-Dienstleistungen ausgelagert haben, müssen die Risiken aus diesen Geschäftsbeziehungen bewerten und Vertragsinhalte an mögliche DORA-Anforderungen anpassen.

„Es reicht nicht aus, sich auf die Professionalität der Dienstleister zu verlassen. Es bedarf juristisch durchdachter Verträge und klarer Haftungsregelungen“, erklärt Dr. Schulte. Hier ist die Schnittstelle zwischen klassischem Vertragsrecht und digitalem Aufsichtsrecht besonders sensibel.

Resilienztests und Krisensimulationen

Ein innovativer Bestandteil von DORA ist die Verpflichtung für bestimmte große Unternehmen, regelmäßige Resilienztests durchzuführen. Diese beinhalten auch fortgeschrittene Bedrohungssimulationen, bei denen Angriffe auf die digitale Infrastruktur in einem kontrollierten Rahmen nachgestellt werden.

„Das ist wie ein Sicherheitsgurt für das digitale Zeitalter. Eine Organisation, die ihre Verteidigungsmechanismen nicht testet, bewegt sich rechtlich wie faktisch im Blindflug“, so Schulte. Die gewonnenen Erkenntnisse aus diesen Tests sollen in verbesserte Sicherheitskonzepte und Handlungsvorgaben einfließen.

Datenschutz und DORA – ein Spannungsverhältnis?

Die Anforderungen von DORA müssen im Einklang mit bestehenden Vorschriften wie der DSGVO umgesetzt werden. Dies erfordert eine sorgfältige rechtliche Bewertung bei der Verarbeitung personenbezogener Daten im Rahmen von Meldungen oder Tests.

„Juristisch lassen sich keine Abkürzungen nehmen. Datenschutzrecht und Aufsichtsrecht müssen harmonisiert werden, um weder gegen das eine noch das andere zu verstoßen“, erklärt Schulte. Gerade bei der Kommunikationspflicht gegenüber Aufsichtsbehörden muss klar sein, welche Daten offengelegt und welche geschwärzt werden dürfen.

Aktuell: DORA ist da – und das ist erst der Anfang

Zwischen Umbruch und Umsetzung: Wo Europas Finanzwelt im Mai 2025 steht – und was jetzt zählt.

Seit dem 17. Januar 2025 ist der Digital Operational Resilience Act (DORA) verbindlich anzuwenden – für mehr als 22.000 Finanzunternehmen und IKT-Dienstleister allein im EU-Raum. Die ersten Monate nach Inkrafttreten zeigen: DORA ist kein theoretisches Konstrukt, sondern eine spürbare Zäsur im europäischen Finanzaufsichtsrecht. Es geht nicht mehr nur um technische Sicherheit, sondern um eine umfassende rechtliche Verpflichtung zur digitalen Belastbarkeit – vom Kleinfinanzierer bis zur internationalen Großbank.

Zahlreiche Institute haben seither erste Audits durchgeführt, Incident-Response-Protokolle etabliert und bestehende Verträge mit Cloud-Anbietern oder IT-Dienstleistern überarbeitet. Laut einer europaweiten Umfrage der European Banking Authority (EBA) von April 2025 haben rund 61 Prozent der befragten Finanzunternehmen ihre internen Strukturen zur Erfüllung der DORA-Anforderungen angepasst – doch nur 27 Prozent halten sich nach eigenen Angaben bereits für vollumfänglich compliant. Diese Lücke ist beachtlich – und zeigt: Die Umsetzung ist komplex, die Herausforderungen vielfältig.

Dr. Thomas Schulte differenziert: „DORA ist das juristische Rückgrat der digitalen Zukunft des Finanzsystems. Aber ein Rückgrat muss getragen werden – und das gelingt nur, wenn Recht, Technik und Management im Dialog stehen. Viele Unternehmen unterschätzen noch immer den strategischen Charakter dieser Verordnung.“

Dabei geht es längst nicht mehr nur um die Einhaltung von Fristen oder die Abgabe von Meldungen. DORA fordert operative Resilienz als Rechtsprinzip – mit Meldepflichten bei schwerwiegenden IKT-Vorfällen, mit strengen Anforderungen an die Auslagerung von IT-Dienstleistungen und mit regelmäßigen Belastungstests der digitalen Infrastruktur. Besonders im Fokus: das Incident Reporting. Bereits im Februar 2025 meldete die BaFin, dass sie in einem einzigen Monat über 200 meldepflichtige IT-Störungen von Finanzunternehmen erhalten habe – ein Anstieg um mehr als 400 Prozent gegenüber dem Vorjahreszeitraum. Die Prüfdichte steigt, der Druck wächst.

Was bedeutet das konkret für die Praxis? Vorbereitung bleibt der Schlüssel zur Compliance – und dieser Schlüssel passt nur, wenn mehrere Türen gleichzeitig geöffnet werden:

  • Juristische Analyse der Auslagerungsverträge auf DORA-Kompatibilität

  • Technische Umsetzung von Monitoring- und Meldestrukturen

  • Schulung von Mitarbeitern in IT, Compliance und Geschäftsführung

  • Dokumentation und Nachweisführung gegenüber Aufsichtsbehörden

Doch auch im Mai 2025 gilt: DORA ist ein Lernprozess – für Unternehmen, für Aufsichtsbehörden, für die gesamte Branche. Es fehlen teils noch verbindliche Interpretationshilfen, technische Standards und gerichtliche Leitentscheidungen. Dr. Schulte formuliert es so: „Wir befinden uns am Anfang eines Paradigmenwechsels. DORA bringt nicht nur neue Regeln, sondern ein neues Verständnis von Verantwortung. Wer Digitalisierung ernst nimmt, muss sie auch rechtlich gestalten – und das betrifft alle Generationen von Finanzakteuren.“

Fazit: DORA ist Realität – und zugleich ein offener Rechtsraum. Die ersten Schritte sind gemacht, doch der Weg zur digitalen Resilienz bleibt anspruchsvoll. Jetzt kommt es darauf an, dass Unternehmen nicht nur reagieren, sondern strategisch gestalten. Denn wer Compliance nur als Pflicht versteht, verpasst die Chance auf Vertrauen, Marktstabilität – und Zukunftsfähigkeit.

Für weiterführende Fragen oder juristische Unterstützung bei der Umsetzung von DORA und verwandten aufsichtsrechtlichen Vorschriften steht Dr. Schulte mit ABOWI Law jederzeit zur Verfügung:

Picture of Valentin Schulte

Valentin Schulte

Als Mitgründer von ABOWI LAW und einem Master in Volkswirtschaft, sowie als Jurastudent, besitzt er ein tiefes Verständnis für ökonomische Zusammenhänge und rechtliche Fragestellungen. Seine vielseitige akademische Ausbildung ermöglicht es ihm, fundierte, strategische Beratungen anzubieten und maßgeschneiderte Lösungen zu entwickeln.
Zur Homepage

Kontaktiere uns

Experten. Lösungen. Weltweit

Sie suchen rechtliche Hilfe oder möchten Teil des ABOWI Netzwerks werden? Schreiben Sie uns per E-Mail, rufen Sie uns an oder buchen Sie direkt online Ihren Beratungstermin – schnell, persönlich, weltweit.

Litauen

ABOWI UAB
Naugarduko g. 3-401
03231 Vilnius

Schreiben Sie jetzt an ABOWI Law – Ihr Recht zählt!

Email Us

Vertrauensanwalt DE

Dr. Thomas Schulte
Malteserstraße 170
12277 Berlin

Jetzt Kontakt aufnehmen – Ihr persönlicher Vertrauensanwalt von ABOWI Law hilft.

Email Us

Kontaktanfrage

Was benötigen Sie für Ihren Autokauf?

Ihre Frage zu Ihrem Autokauf