01Start
02Über uns
Die 4its GmbHUnsere Geschichte
03Dienstleistung
04Produkte
05Beratung
06Rechenzentrum
07Lösungen
UNGANA CloudUNGANA ExchangebookmeVeeam Cloud Backup ↗Office 365 Backup ↗System-Status ↗
08Blog
09Jobs
010Kontakt
KontaktAnfahrtFernwartung
Kontakt aufnehmen +49 40 561947 0
Start/Blog/DORA in der Praxis: Was Finanzdienstleister jetzt von ihrem IT-Partner fordern müssen
03.04.26

DORA in der Praxis: Was Finanzdienstleister jetzt von ihrem IT-Partner fordern müssen

Der Digital Operational Resilience Act ist seit Januar 2025 anwendbar. Ein Jahr später zeigt sich, wo die Umsetzung in der Breite noch hakt.

Der Digital Operational Resilience Act, kurz DORA, gilt bereits seit Januar 2025 für Banken, Versicherungen, Zahlungsdienstleister und weitere regulierte Finanzunternehmen. Was in den ersten Monaten noch als Übergangsphase durchging, wird inzwischen von der BaFin aktiv geprüft. Wir sehen bei vielen unserer Kunden aus dem Finanzumfeld, dass die technische Umsetzung zwar läuft, die vertraglichen Anforderungen an IT-Dienstleister aber häufig lückenhaft bleiben. Das Kernproblem liegt in Artikel 30 der Verordnung. Jeder Vertrag mit einem IKT-Drittdienstleister muss bestimmte Pflichtangaben enthalten. Dazu zählen genaue Leistungsbeschreibungen, Standorte der Datenverarbeitung, Ausstiegsszenarien, Audit-Rechte, Sicherheitsanforderungen und Regelungen zur Weitervergabe an Unterauftragnehmer. Wer seine bestehenden Verträge nicht entsprechend angepasst hat, bekommt beim nächsten Audit ein Problem. Besonders heikel ist die Unterscheidung zwischen kritischen und nicht kritischen Diensten. Ein Managed-Service-Vertrag für ein zentrales Banken-Backoffice ist etwas anderes als die Betreuung eines Marketingportals. Die Dokumentationstiefe und die Eskalationsstufen müssen sich daran orientieren. Wir erleben häufig, dass pauschal alle Verträge über einen Kamm geschoren werden. Das ist weder effizient noch regulatorisch sauber. Ein weiterer Stolperstein sind Vorfallsmeldungen. DORA verlangt klare Fristen und Kanäle, über die der Dienstleister sicherheitsrelevante Ereignisse an den Auftraggeber meldet. Ohne vertraglich fixierten Prozess verpufft jede technische Maßnahme im Ernstfall. Unser Rat an Finanzdienstleister: prüfen Sie Ihre Verträge aktiv. Fragen Sie Ihren IT-Partner, ob Audit-Rechte, Exit-Strategie und Incident-Response-Flüsse dokumentiert sind. Als Dienstleister unterstützen wir gerne bei der strukturierten Überarbeitung bestehender Verträge. Nicht, weil wir uns Arbeit machen wollen, sondern weil ein sauberer Vertrag im Krisenfall für beide Seiten Schutz bedeutet. DORA ist kein Selbstzweck. Der zugrunde liegende Gedanke ist richtig: Finanzdienstleister sollen auch dann handlungsfähig bleiben, wenn ein zentraler IT-Partner ausfällt. Das gelingt nur mit klaren Regeln und geprobten Prozessen.
ComplianceDORAFinanzdienstleister