DORA in der Praxis: Was nach dem Go-live wirklich zählt

Eine der ersten Hürden lag in der klaren Zuordnung von Ver­antwortlichkeiten. Vielfach eröffnete sich in den Instituten die zentrale Frage, wie die neuen Anforderungen organisatorisch sinnvoll zu verankern sind. Die Notwendigkeit, eine klare Verantwortlichkeit für das Informations- und-Kommunikationstechnologie(IKT)-Risikomanagement zu eta­blieren, führte zu Konflikten zwischen Risikomanagement, IT und Compliance. Denn oft sind IT-Sicherheit, Compliance und Risikomanagement getrennte Bereiche, die nun erst­mals eng zusammenarbeiten müssen.

Die größte Schwierigkeit bestand darin, Rollen und Prozesse so zu gestalten, dass sie sowohl den regulatorischen Vor­gaben entsprechen als auch praxistauglich und effizient bleiben. Das Etablieren eines übergreifenden Governance- Frameworks erwies sich als erfolgskritisch.

Hinzu kam die Identifikation von kritischen/wichtigen Funk­tionen: Kriterien waren häufig uneinheitlich, Verantwortun­gen unklar, Schnittstellen zu BCM/Outsourcing nicht wie­derspruchslos abgestimmt.

IT-seitig brachte DORA die Herausforderung mit sich, neue An­forderungen zur Überwachung und Absicherung der IT-Sys­teme in heterogene Architekturwelten einzubinden. DORA verlangt Transparenz über kritische Systeme und Prozesse. Doch in heterogenen IT-Landschaften mit gewachsenen Alt- Systemen war es herausfordernd, eine konsistente Sicht zu schaffen. Besonders die Forderungen zur Erkennung und Meldung von Vorfällen (ICT Incident Reporting) und der Ausbau von Testverfahren wurden durch Legacy-Systeme erschwert. Die Erstellung von End-to-end-Übersichten über kritische Services wurde häufig unterschätzt und machte aufwendige Abstimmungen zwischen Fachbereichen und IT erforderlich. Zusätzliche Komplexität entstand beim IKT-Asset-Register (vollständiger Scope inklusive SaaS-/APIs-/ Identitäten-/Cloud-Ressourcen) und dessen Verknüpfung mit der Prozesssicht.

Ein Kernpunkt von DORA ist die Kontrolle über ausgelager­te IT-Dienstleistungen. DORA verlangt ein engmaschiges Überwachungs- und Eskalationssystem, das vielfach erst entwickelt werden musste. Besonderes Augenmerk lag auf der Einhaltung von Service Level Agreements (SLAs) und der Durchführung von regelmäßigen Audits bei diesen Dienstleistern.

Darüber hinaus mussten Institute feststellen, dass beste­hende Verträge nicht die geforderte Detailtiefe in Bezug auf Resilienz, Reporting oder Prüfungsrechte aufwiesen. Insbe­sondere die Nachverhandlung mit großen IT- und Cloud-An­bietern gestaltete sich herausfordernd. Zusätzlich forderte DORA ein aktuelles Informationsregister über IKT-Dienst­leistungen und -Verträge (inklusive Unterbeauftragungen), das in vielen Häusern erst konsolidiert werden musste.

Die regulatorisch geforderte regelmäßige Berichterstat­tung über ICT-Risiken stellte viele Institute vor Probleme. Die Implementierung der umfangreichen Berichtspflich­ten inklusive automatisierter Datenlieferung an Aufsichts­behörden erfordert tiefgreifende Anpassungen in den in­ternen Prozessen.

Viele Institute unterschätzten den Aufwand, Datenqualität und Schnittstellen für das Incident Reporting zu gewährleisten. Oft mangelte es an konsistenten Kennzahlen und einer belastbaren Datenbasis, sodass Resilienz kaum objektiv messbar war. Häufige Lücken: schwache Datenqualität im Informationsregister sowie fehlende Konsistenz zwischen IKT-Asset-Register, CMDB und Reporting-Schichten.

Für die regelmäßigen ICT-Stresstests, Krisen-/Notfallübun­gen und Penetrationstests nach DORA mussten geeignete Szenarien definiert und abgestimmt werden. Dabei zeigte sich, dass der Transfer von theoretischen Anforderungen in praxisnahe und aussagekräftige Tests ein häufig unter­schätztes Komplexitätselement ist. Während viele Institute im Bereich Cybersecurity bereits Erfahrungen hatten, war die Planung integrierter Resilienztests, die auch Geschäfts­prozesse und Dienstleister einbeziehen, für viele Neuland.

Eine integrative Steuerung, zum Beispiel mittels einer dedi­zierten DORA-Taskforce, die IT, Compliance, Risikomanage­ment, Auslagerungsmanagement, Revision und Fachberei­che von Anfang an zusammenbringt und klare Kommuni­kationsstrukturen etabliert, erleichtert Koordination und Fortschrittskontrolle.

Ein wesentliches Erfolgsrezept war es, frühzeitig klare Ver­antwortlichkeiten zu schaffen. Institute, die ein zentrales Steuerungsgremium für DORA eingerichtet haben, konnten Doppelarbeit und Reibungsverluste vermeiden. In der Praxis funktionierte dies am besten über eine „Taskforce Resilienz“, die Vertreter aus IT, Risiko, Compliance, Auslagerungsma­nagement und Fachbereichen zusammenführte.

Die Fokussierung auf Prozesse – statt auf isolierte Systeme – erwies sich als entscheidender Schritt zum Erfolg. Wer ausge­hend von kritischen Prozessen alle technischen und organi­satorischen Abhängigkeiten erfasste, erhielt ein belastbares Bild von Resilienzrisiken. Dadurch wurden auch Altlasten in der IT-Landschaft sichtbar, die bislang keine Priorität hatten.

Viele Institute sind mit einer sehr umfangreichen Gap-Analy­se gestartet, die sich im Verlauf als kaum handhabbar erwies. Erfolgreicher waren Institute, die zunächst eine pragma­tische Bestandsaufnahme vornahmen. Die Umsetzung erfolgte dann in kleinen, klar priorisierten Schritten. Die Konzentration auf schnell realisierbare Verbesserungen (zum Beispiel bei Incident Management oder Dienstleis­tersteuerung) steigerten die Akzeptanz und erleichterten den späteren Ausbau. Zudem konnte der Projektdruck re­duziert werden.

Ein zentrales Hindernis war die Anpassung der Auslagerungsver­träge. Da Vertragsnachverhandlungen mit großen Providern oft nur begrenzt möglich waren, setzten Institute verstärkt auf Kompensationsmaßnahmen: etwa zusätzliche Monitoring- Prozesse, interne Notfallpläne oder abgestufte Testverfah­ren. Die Implementierung eines standardisierten Katalogs an Compliance-Kriterien und Eskalationsprozessen stärkte die Steuerungsfähigkeit deutlich. Entscheidend war dabei die sorgfältige Dokumentation, um gegenüber der Aufsicht die Nachvollziehbarkeit zu sichern.

DORA schreibt neben Prüfungen auch Krisensimulationen vor. Institute, die diese Übungen nicht als Pflicht, sondern als Lern­chance verstanden, konnten ihre Abläufe realitätsnah erproben. Die Definition realistischer Testfälle, die tatsächliche Betriebsrisi­ken abbilden, wurde als Schlüsselfaktor identifiziert.

Das Einbinden von Penetrationstest-Teams und operativen Leitungen führte zu wertvollen Erkenntnissen über System­schwächen. Besonders wertvoll war die gemeinsame Durch­führung mit Dienstleistern in solche Tests – auch wenn dies organisatorisch aufwendig war.

DORA erfordert nicht nur Prozesse und Dokumente, son­dern ein neues Mindset. Technische Maßnahmen reichen allein nicht aus. In den erfolgreicheren Projekten wurde das Thema Resilienz aktiv kommuniziert, in Trainings verankert und von der Führungsebene sichtbar unterstützt. Dadurch wurde Resilienz vom Compliance-Thema zu einem Bestand­teil der Unternehmenskultur.

Resilienz wird zum Wettbewerbsfaktor. Institute, die ihre kri­tischen Services klar verstehen und robuste Strukturen auf­bauen, können schneller auf Störungen reagieren und das Vertrauen von Kunden und Aufsicht stärken. DORA zwingt dazu, Abhängigkeiten von großen IKT-Dienstleistern kritisch zu bewerten.

Die Prozesse zur Risiko- und IT-Steuerung wurden neu ge­ordnet. Besonders das Zusammenspiel zwischen Risiko-, IT- und Fachbereichen wird künftig enger. Die stärkere Ein­bindung von Auslagerungsmanagement und die systemati­sche Durchführung von Tests führen zu einem höheren Res­sourceneinsatz – der sich aber langfristig in einer stabileren Betriebsfähigkeit niederschlägt.

DORA beschleunigt die Modernisierung der IT-Landschaf­ten. Um Abhängigkeiten klar zu dokumentieren und Resi­lienz messbar zu machen, investieren Institute verstärkt in CMDB-Systeme, Monitoring-Lösungen und Automatisie­rung. Mittel- bis langfristig wirkt die Verordnung daher als Treiber für IT-Standardisierung und Konsolidierung.

Ein oft unterschätzter Effekt ist der kulturelle Wandel. Re­silienz ist kein reines Spezialistenthema mehr, sondern Teil des unternehmensweiten Selbstverständnisses. Beschäf­tigte aus Fachbereichen erkennen zunehmend, dass ihre Handlungen direkte Auswirkungen auf die Widerstands­fähigkeit des Instituts haben. Dies führt zu einer stärkeren Sensibilisierung für Risiken im täglichen Geschäft.