Leben nach dem Stichtag: Wie die Einhaltung der DORA-Vorschriften zu operativer Stabilität führt

Von Rene Millman • 13 Januar 2026

Die Panik vor Januar 2025 ist endgültig vorbei. Doch für die erfolgreichsten Führungskräfte im Finanzsektor hat die eigentliche Arbeit – und der wahre Erfolg – erst begonnen. Wir beleuchten, wie der Digital Operational Resilience Act die Diskussion von der Vermeidung von Strafzahlungen hin zur Sicherung von Einnahmen verlagert hat.

Viele betrachteten den Digital Operational Resilience Act (DORA) als lästige Pflicht, doch die letzten zwölf Monate haben seine wahre Funktion offenbart: Er ist ein Leitfaden für maximale Verfügbarkeit. Wir sehen nun konkrete Beweise dafür, dass die von DORA vorgeschriebenen Mechanismen – insbesondere strenge digitale Tests und die detaillierte Abbildung der Lieferkette – nicht nur die regulatorischen Anforderungen erfüllen, sondern auch umsatzschädigende Ausfälle verhindern.

Um zu verstehen, warum, müssen wir uns den Kulturwandel ansehen, der im Sitzungssaal stattgefunden hat.

Die Ausfälle, die nicht stattfanden

Kaum zu glauben, dass seit dem Stichtag am 17. Januar bereits ein ganzes Jahr vergangen ist. Erinnern Sie sich an Ende 2024: die hektischen Bedarfsanalysen, die schlaflosen Nächte bei der Prüfung von ITK-Drittanbieterverträgen und das Wettrennen um die Erfassung kritischer Funktionen.

Für viele war das das Ziel. Doch für die „Gewinner“ von 2025 war es der Startschuss für eine neue Ära der aktiven Verteidigung.

„Viele Organisationen betrachten DORA lediglich als regulatorische Hürde“, sagt Chris Newton-Smith, CEO von ISMS.online. „Der wichtigste Wandel für Unternehmen besteht jedoch darin, die richtigen Fragen zu ihrer Compliance zu stellen. Zu viele konzentrieren sich auf die Frage ‚Sind wir konform?‘, während die wichtigere Frage lautet: ‚Hilft uns unsere Compliance tatsächlich dabei, den Betrieb aufrechtzuerhalten, wenn etwas schiefgeht?‘“

Wie Newton-Smith feststellt, wird die Einhaltung von Vorschriften sehr schnell zu einer reinen Pflichterfüllung und beginnt, die Organisation aktiv zu schützen, sobald sich die Denkweise ändert.

Der vielleicht bedeutendste Effekt von DORA waren die „unsichtbaren Siege“, die Stromausfälle, die nie eintraten.

Um das Ausmaß dieses Wandels zu verstehen, müssen wir uns die Denkweise der Branche zum Zeitpunkt des Inkrafttretens der Regeln ansehen. Etienne Bouet, Senior Manager beim Beratungsunternehmen Wavestone, gewarnt Im Januar 2025 wurde festgestellt, dass die Branche Gefahr läuft, den Kern der Sache zu verfehlen, wenn sie sich nur auf den Papierkram konzentriert.

„DORA sollte nicht bloß als Pflichterfüllung betrachtet werden“, bemerkte Bouet damals. „Ja, es gibt regulatorische Anforderungen zu erfüllen, aber die eigentliche Herausforderung besteht darin, Resilienz aufzubauen… die Einhaltung von Vorschriften allein reicht nicht aus, wenn sie nicht mit echten Verbesserungen der Resilienz einhergeht.“

Wer diesen Rat befolgt hat, erntet nun die Früchte. In den letzten zwölf Monaten haben wir erlebt, wie Organisationen von einem bloßen „Schutzschild“ – Richtlinien, die Sicherheit vortäuschen – zu einem „Eisernen Dom“ aktiver Verteidigung übergegangen sind. Dies war unumgänglich. Die DORA-Anforderung, nachzuweisen, wie man sich von einer schwerwiegenden IT-Störung erholen würde, zwang die Teams, ihre Theorien auf die Probe zu stellen.

Das Ergebnis ist eine Systemlandschaft, die sich tatsächlich erholt. Als Anfang des Jahres kleinere Konfigurationsfehler in der Cloud bei Zahlungsdienstleistern auftraten, brachen die DORA-konformen Banken nicht zusammen. Ihre Redundanzprotokolle, die im Rahmen der DORA-Initiative zur digitalen operativen Resilienz getestet und optimiert wurden, griffen automatisch.

Eine neue Ära der Reife

Dieser Wandel kennzeichnet eine Reifung der Branche. Jahrelang war insbesondere der FinTech-Sektor durch rasantes Wachstum geprägt, oft auf Kosten der Stabilität. DORA hat effektiv eine sachliche Diskussion über Risiken erzwungen.

Mitte 2025 waren die Belastungen dieses Übergangs sichtbar. Volkszählung Umfrage Eine im Juli 2025 veröffentlichte Studie ergab, dass sechs Monate nach Inkrafttreten der Regelung 96 % der Finanzorganisationen in der EMEA-Region immer noch der Meinung waren, ihre Datensicherheit sei „noch nicht da, wo sie sein sollte“.

Diese Statistik verdeutlicht eine Spaltung im Markt. Auf der einen Seite die 96 %, die Schwierigkeiten hatten, Resilienz in bestehende Systeme nachträglich zu integrieren. Auf der anderen Seite die agilen „Gewinner“, die DORA als Blaupause für die Modernisierung ihrer Architektur nutzten.

Für die Gewinner zählt nun vor allem, dass das Motto „Schnell handeln und Fehler riskieren“ in den Hintergrund rückt. Bei der Präsentation der Jahresberichte listen Sicherheitsverantwortliche nicht mehr nur den Status der Einhaltung von Vorschriften auf. Sie listen auch die geschätzten Umsatzeinsparungen auf, die dadurch erzielt wurden, dass die Systeme der Konkurrenz betriebsbereit blieben.

Lieferkette: Das „Rätsel“ der Vernetzung

Wenn 2024 das Jahr des Vertrauens in Lieferanten war, so standen 2025 und 2026 im Zeichen ihrer Überwachung. Die Abhängigkeit von Drittanbietern war schon immer ein bekanntes Risiko, doch DORA zwang Unternehmen, dieses Risiko zu quantifizieren.

Olaf Jonkers, Chief Internal Security Officer der digitalen Identitätsplattform itsme, hob diesen Wandel in der Verantwortlichkeit bereits im Februar 2025 hervor.

„DORA stellt sicher, dass IKT-Anbieter, die Dienstleistungen für Finanzdienstleistungsinstitute erbringen, angemessen für die Aufrechterhaltung einer starken internen Governance zur Rechenschaft gezogen werden“, so Jonkers. erklärt„Dies ist von großer Bedeutung, da die zunehmende Abhängigkeit der Finanzdienstleistungsunternehmen von IKT-Anbietern bedeutet, dass ein Systemausfall oder eine Sicherheitslücke den Betrieb plötzlich auf einen Bruchteil reduzieren kann.“

DORAs Fokus auf das Management von Drittanbieterrisiken im IT-Bereich (TPRM) zwang Unternehmen, diese Abhängigkeiten abzubilden. Sicherheitsteams stellten dabei wahrscheinlich fest, dass eine kritische Funktion von einem Anbieter abhing, der wiederum von einem anderen Anbieter abhängig war, der keinen Backup-Plan hatte.

Die anfängliche Kartierung war mühsam. Der operative Nutzen ist jedoch enorm. Wir sind nicht mehr von Ausfällen von Drittanbietern überrascht. Früher galt ein Ausfall eines Anbieters als legitime Ausrede: „Es ist nicht unsere Schuld, sondern die des Cloud-Anbieters.“ Diese Ausrede zieht bei Kunden und erst recht bei Aufsichtsbehörden nicht mehr. Dank DORA sind Exit-Strategien und Multi-Vendor-Lösungen für kritische Funktionen mittlerweile Standard.

Compliance als Werttreiber

Die Gefahr in dieser Welt nach den Deadlines ist Selbstzufriedenheit. Die Risikolandschaft verändert sich täglich; wenn die Dokumentation zur Resilienz statisch ist, ist eine Organisation bereits nicht mehr konform.

Wir haben im letzten Jahr viele Teams erlebt, die Schwierigkeiten hatten, weil sie DORA als einmaliges Projekt betrachteten. Sie erstellten ihr Informationsregister in Excel, archivierten es und haben es seitdem nicht mehr beachtet. Diese Daten sind nun veraltet.

„Die Priorität liegt darin, die Einhaltung der Vorschriften aktiv und handlungsfähig zu halten“, rät Newton-Smith. „Wir sehen, dass Rahmenwerke wie DORA den größten Nutzen für Unternehmen bieten, wenn deren Führungsebene einen Echtzeit-Überblick über die Einhaltung der Vorschriften hat… Das bedeutet, dass Unternehmen von statischen Dokumenten und manueller Nachverfolgung zu Tools übergehen müssen, die eine kontinuierliche Überwachung ermöglichen.“

Die dynamische operative Resilienz lässt sich nicht mehr mit statischen Tools steuern. Sicherheitsverantwortliche benötigen einen Echtzeit-Überblick über Risiken. Läuft das Sicherheitszertifikat eines wichtigen Lieferanten ab, muss das Risikoregister umgehend aktualisiert werden.

Resilienz ist Umsatz

Die Ära der „Angst, Unsicherheit und Zweifel“ (FUD) im Bereich der Cybersicherheit ist vorbei. DORA hat die Branche in eine Ära der Resilienz als Werttreiber geführt.

Die Organisationen, die 2026 die Nase vorn haben, sind nicht diejenigen, die im Januar gerade so bestanden haben. Es sind diejenigen, die das Rahmenwerk genutzt haben, um ihre Abläufe zu optimieren. Sie verzeichnen weniger Ausfallzeiten, managen Lieferantenrisiken proaktiv und können beruhigt schlafen, weil sie wissen, dass ihre Notfallpläne funktionieren.

Um den wahren Wert dieser Umstellung zu verstehen, sollten Führungskräfte ihre Vorfallsprotokolle der letzten sechs Monate analysieren. Indem sie Beinahe-Unfälle identifizieren, die durch die für DORA implementierten Kontrollmechanismen verhindert wurden, und die potenziellen Kosten berechnen, die sich bei einer Eskalation dieser Vorfälle zu vollständigen Ausfällen ergeben hätten, wird die finanzielle Realität deutlich. Diese Summe – die Kosten des verhinderten Desasters – ist der wahre Wert der Einhaltung der Vorschriften. Die Frist ist zwar abgelaufen, aber die Ära der Stabilität hat begonnen – für diejenigen, die über die entsprechenden Werkzeuge verfügen, um sie zu nutzen.

Rene Millman

Rene Millman ist ein vielseitiger freiberuflicher Autor und Rundfunksprecher, der sich auf Cybersicherheit, KI, IoT und Cloud-Technologien spezialisiert hat. Neben seiner Rolle als beitragender Analyst bei GigaOm bringt er umfangreiche Erfahrung als ehemaliger Gartner-Analyst mit Schwerpunkt auf dem Infrastrukturmarkt mit. Rene Millman ist für sein Fachwissen bekannt und trat häufig im Fernsehen auf, um Einblicke und Analysen zu Technologietrends und einflussreichen Unternehmen zu geben, die unser tägliches Leben prägen. Bleiben Sie über Rene Millmans Erkenntnisse auf dem Laufenden, indem Sie ihm auf Twitter folgen.

Lesen Sie mehr von Rene Millman

Internet-Sicherheit 13 August 2024

Der CrowdStrike-Ausfall: Ein Argument für eine verstärkte Reaktion auf Vorfälle mit ISO 27001

Im Juli 2024 führte ein verpfuschtes Software-Update von CrowdStrike zu einem erheblichen weltweiten IT-Ausfall, der zahlreiche Organisationen, darunter Fluggesellschaften, betraf.

Rene Millman

Internet-Sicherheit 16 Juli 2024

Vermeiden Sie das nächste Medisecure-Banner für Cybersicherheitslektionen für Unternehmen

Vermeidung des nächsten MediSecure: Lektionen zur Cybersicherheit für Unternehmen

Die Cybersicherheitskatastrophe von MediSecure ist für Unternehmen ein deutlicher Weckruf: Wer seine digitalen Abwehrmaßnahmen vernachlässigt, riskiert, zum... zu werden.

Rene Millman

Internet-Sicherheit 11 Juni 2024

Was kann gegen die nationale Schwachstellendatenbank-Krise getan werden?

Was kann gegen die Krise der nationalen Schwachstellendatenbank getan werden?

Das National Institute of Standards and Technology (NIST) steckt in einer Zwickmühle, die schwerwiegende Folgen für Cybersicherheitsteams weltweit hat. Die...

Rene Millman

Leben nach dem Stichtag: Wie die Einhaltung der DORA-Vorschriften zu operativer Stabilität führt

Die Ausfälle, die nicht stattfanden

Eine neue Ära der Reife

Lieferkette: Das „Rätsel“ der Vernetzung

Compliance als Werttreiber

Resilienz ist Umsatz

Rene Millman

Related articles

Warum Regulierungsbehörden und Investoren von Unternehmen die Bewältigung eines dreifachen Risikos erwarten

WEF-Bericht: Betrug ist mittlerweile die größte Cyber-Sorge von CEOs, aber nicht die einzige

ISMS.online ernennt Simon Church zum Vorsitzenden

Lesen Sie mehr von Rene Millman

Der CrowdStrike-Ausfall: Ein Argument für eine verstärkte Reaktion auf Vorfälle mit ISO 27001

Vermeidung des nächsten MediSecure: Lektionen zur Cybersicherheit für Unternehmen

Was kann gegen die Krise der nationalen Schwachstellendatenbank getan werden?