IT-Aufsicht im Finanzsektor 2025: Was DORA in der Praxis gerade heißt

Am 04.12.2025 fand die Veranstaltung der BaFin "IT-Aufsicht im Finanzsektor: Das erste Jahr DORA" statt. Kernbotschaft: "DORA ist nicht mehr Projektfolie, sondern Aufsichtspraxis. In Prüfungen zählt weniger, ob etwas „irgendwo steht“. Entscheidend ist, ob es gesteuert wird, ob Verantwortlichkeiten klar sind und ob man Wirksamkeit zeigen kann.

Man merkt auch, dass sich die Prüflogik verschiebt. DORA wird in klare Prüffelder gegliedert, und die Prüfungstiefe wird feiner. Themen, die früher unter xAIT liefen, verschwinden nicht. Sie tauchen unter DORA wieder auf, nur strukturierter und näher an der operativen Realität.

Viele Feststellungen drehen sich nicht um fehlende Dokumente, sondern um fehlende Steuerbarkeit. Ziele sind zu weich, Risikotoleranz ist nicht prüfbar formuliert, und die Rolle des Leitungsorgans ist zwar „gedacht“, aber nicht sauber belegbar. Dazu kommt die Basisarbeit: Wenn kritische oder wichtige Funktionen nicht sauber abgegrenzt sind und Inventare zu Systemen, Abhängigkeiten und Verantwortlichkeiten lückenhaft bleiben, leidet das ganze DORA-Gerüst. Dann wird es schwer, Maßnahmen plausibel abzuleiten, Kontrollen nachzuhalten, Tests sinnvoll aufzusetzen und Vorfälle sauber zu melden.

Sehr greifbar war auch das Spannungsfeld zwischen „Security-Architektur“ und „Betrieb“. In vielen Organisationen funktioniert Monitoring im Normalbetrieb, aber im Ernstfall zeigen sich Schwächen: unvollständige SIEM-Anbindung, unklare Use-Cases, eskalationsarme Nächte und Wochenenden. Genau das sieht die Aufsicht schnell, weil es in Logs, Prozessen und Reaktionszeiten messbar wird.

Beim BCM war die Botschaft klar: Eine BIA ist nur der Anfang. RTO/RPO müssen in Wiederanlaufpläne, Übungen und echte Maßnahmen wirken. Und Drittparteien müssen mitgedacht werden. Übungen ohne Konsequenzen sind aus Aufsichtssicht verlorene Zeit.

Beim Meldewesen für IKT-Vorfälle zeigte sich, wie stark Datenqualität zählt. Nicht nur „melden“, sondern konsistent klassifizieren, Updates sauber führen und Auswirkungen nachvollziehbar darstellen. Spannend war zudem der Hebel aggregierter Meldungen durch Dienstleister: Das kann Meldeaufkommen reduzieren, wenn viele Unternehmen im selben Vorfallcluster hängen.

Und dann das große Thema Drittparteien. Das Informationsregister ist nicht nur Pflicht, sondern ein Aufsichtsinstrument, um Konzentrationsrisiken zu bewerten. Die Realität ist: Wenige Anbieter tragen sehr viel, oft direkt an kritischen oder wichtigen Funktionen. Unterauftragsketten werden häufig nicht tief genug transparent gemacht. Und Exit-Pläne fehlen oft ausgerechnet dort, wo Ersetzbarkeit schwierig ist.

Worauf die BaFin in der Praxis besonders schaut

Das sind die Themen, die in den Vorträgen als besonders prüfungsrelevant rüberkamen:

• Governance und Verantwortung: Ist klar, wer entscheidet, wer kontrolliert, wer nachhält. Und ist das Leitungsorgan sichtbar eingebunden.

• Ziele und Risikotoleranz: Sind die Ziele messbar. Ist die Risikotoleranz so definiert, dass man sie überwachen und bei Abweichungen steuern kann.

• Kritische oder wichtige Funktionen: Ist die Methodik plausibel. Sind Prozesse, Systeme, Daten und Abhängigkeiten vollständig und konsistent erfasst.

• Inventare und Datenqualität: Sind Register und Bestände aktuell, nachvollziehbar, einem Owner zugeordnet und nicht nur „Excel von früher“.

• Wirksamkeit von Schutzmaßnahmen: Werden Controls risikoorientiert abgeleitet, umgesetzt und regelmäßig überprüft, nicht nur beschrieben.

• Erkennung und Reaktion: SIEM-Abdeckung, Logging, Use-Cases, Alarmierung, Eskalation, Bereitschaften, Runbooks. Und ob das auch außerhalb der Bürozeiten trägt.

• Geschäftsfortführung: Kommen RTO/RPO aus der BIA wirklich in Plänen, technischen Wiederherstellungen und Übungen an. Gibt es Lessons Learned und saubere Nachverfolgung.

• IKT-Vorfälle und Meldungen: Konsistente Klassifizierung, saubere Update-Kette, nachvollziehbare Auswirkungen, gute Datenqualität.

• Drittparteien und Konzentrationsrisiken: Informationsregister, Unterauftragsketten, Auditrechte, laufende Überwachung, Exit-Fähigkeit.

  
  

Mein persönliches Fazit nach dem Donnerstag: DORA ist gerade ein Stresstest für die Fähigkeit, IT-Risiken wirklich zu steuern. Nicht für die Fähigkeit, sie zu beschreiben. Wer die Basics sauber zieht, hat nicht nur weniger Prüfschmerzen, sondern am Ende auch mehr Stabilität im Betrieb.