DORA in Banken: Warum gute Konzepte selten prüfungssicher sind
Dora in Banken

Viele Banken sind vorbereitet – aber nicht resilient belegt

Fast alle Banken haben früh auf DORA reagiert. Programme wurden gestartet, Rollen definiert, Roadmaps verabschiedet.
In Präsentationen wirkt die Organisation oft strukturiert und kontrolliert. Die Anforderungen ergeben sich unmittelbar aus der DORA-Verordnung und den begleitenden Ausführungen der BaFin zur Umsetzung operativer Resilienz.¹

Doch sobald Aufsicht oder Revision eine einfache Frage stellen, kippt das Bild:

„Zeigen Sie mir bitte konkret, wie Ihre kritischen Szenarien getestet wurden – und welche Management-Entscheidungen daraus abgeleitet wurden.“

Spätestens hier zeigt sich:
Nicht fehlende Aktivitäten sind das Problem, sondern fehlende Zusammenhänge.

Die besondere Ausgangslage von Banken

Banken starten bei DORA nicht bei null. Im Gegenteil. Die Verordnung baut explizit auf bestehenden Governance-, Risiko- und Kontrollstrukturen auf und bewertet deren operative Wirksamkeit.²

Sie verfügen über:

  • gewachsene Governance-Strukturen
  • etablierte Kontroll- und Risikomechanismen
  • umfangreiche Richtlinien, Prozesse und Dokumentationen

Gleichzeitig sind Banken geprägt von:

  • hochkomplexen, historisch gewachsenen IT-Landschaften
  • parallelen Regulierungsinitiativen
  • dauerhaftem Release-, Kosten- und Zeitdruck

Diese Kombination macht DORA anspruchsvoll:

Nicht die Existenz von Strukturen ist entscheidend – sondern ihre Wirksamkeit im Zusammenspiel.

Drei typische DORA-Fallen in Banken

1. Verantwortung ist geregelt – aber nicht integriert

Incident Management, IT-Betrieb, Testing, BCM und Third-Party-Management funktionieren jeweils für sich.
DORA bewertet jedoch nicht einzelne Silos, sondern die Fähigkeit der Gesamtorganisation, in kritischen Situationen handlungsfähig zu bleiben. Genau darauf weisen auch die Umsetzungshinweise der Aufsicht hin.³

Ohne integrierte Sicht bleibt operative Resilienz eine Annahme – kein Nachweis.

2. Testing ohne Steuerungslogik

Viele Banken testen viel, aber oft fehlt die klare Verbindung zwischen:

  • kritischen Geschäftsprozessen
  • realistischen Bedrohungsszenarien
  • Testergebnissen und Management-Entscheidungen

Das Resultat:

  • hoher Testaufwand
  • geringe Aussagekraft
  • wenig belastbare Evidence für Aufsicht und Vorstand

Testing wird durchgeführt – aber nicht gesteuert.

3. Third-Party-Risiken bleiben abstrakt

Verträge, SLAs und Risikoanalysen sind vorhanden. Was häufig fehlt, ist die operative Antwort auf eine einfache Frage:

Was passiert konkret, wenn ein kritischer IT-Dienstleister morgen ausfällt?

DORA verlangt genau diese Durchdringung – technisch, organisatorisch und testbasiert.

Warum DORA Banken zu Klarheit zwingt

Mit DORA ändert sich die Perspektive der Aufsicht grundlegend. Es reicht nicht mehr, Risiken zu benennen oder Prozesse zu beschreiben. Entscheidend ist, ob Institute belastbare, konsistente und prüfungsfähige Nachweise vorlegen können – insbesondere im Kontext von Tests, Schwachstellen und abgeleiteten Maßnahmen.⁴

Entscheidend ist, ob Banken zeigen können:

  • welche Szenarien tatsächlich kritisch sind
  • wie diese Szenarien getestet wurden
  • welche Schwachstellen identifiziert wurden
  • welche Maßnahmen und Entscheidungen daraus entstanden sind

DORA macht operative Resilienz sichtbar – oder entlarvt sie als Annahme.

Test Governance: das fehlende Bindeglied

In vielen Banken existiert Testmanagement. Was häufig fehlt, ist Test Governance als steuernde Funktion. Die Anforderungen an integriertes IKT-Risikomanagement, Tests und Steuerung ergeben sich unmittelbar aus der Systematik der DORA-Verordnung.⁵

Test Governance sorgt dafür, dass:

  • Tests konsequent risikobasiert priorisiert werden
  • Ergebnisse vergleichbar, nachvollziehbar und auditfest sind
  • Management klare Entscheidungsgrundlagen erhält

Ohne diese Klammer bleibt DORA fragmentiert – unabhängig von der Anzahl der Tests.

Ein pragmatisches Phasenmodell für DORA-Wirksamkeit

Phase 1 – Realitätscheck

  • Welche Szenarien sind wirklich kritisch?
  • Welche davon wurden tatsächlich getestet?
  • Wo fehlen belastbare Nachweise?

Phase 2 – Steuerungslogik etablieren

  • Verknüpfung von Risiken, Szenarien, Tests und KPIs
  • Klare Verantwortlichkeiten über Silos hinweg
  • Definition von Management-relevanten Ergebnissen

Phase 3 – Evidence-Fähigkeit herstellen

  • Konsistente Testdokumentation
  • Reproduzierbare Ergebnisse
  • Klare Ableitung von Maßnahmen und Entscheidungen

Phase 4 – Verankerung in der Governance

  • Integration in bestehende Gremien
  • Regelmäßige Management-Readouts
  • Vorbereitung auf Aufsicht, Revision und Audits

Die zentrale Frage für Vorstände

Am Ende lässt sich DORA auf eine einzige Frage reduzieren:

Welche kritischen Szenarien wurden getestet, wie belastbar waren die Ergebnisse – und was haben wir daraus gelernt?

Wer diese Frage klar beantworten kann, ist DORA-fähig. Wer sie umgeht, verschiebt das Risiko.

Fazit: DORA ist kein Zusatzprojekt

Für Banken ist DORA kein weiteres regulatorisches Vorhaben. Es ist ein Stresstest für bestehende Steuerungs- und Entscheidungsstrukturen. Nicht die Menge an Dokumentation entscheidet, sondern die Fähigkeit, operative Resilienz integriert, getestet und steuerbar nachzuweisen. Viele Institute unterschätzen nicht DORA – sondern überschätzen die Belastbarkeit ihrer bestehenden Strukturen.

Wenn Sie wissen möchten, wo Ihre Organisation wirklich steht und welche Nachweise im Ernstfall tragfähig sind, lohnt sich eine strukturierte Standortbestimmung.

Operative Resilienz beginnt nicht mit neuen Frameworks – sondern mit Klarheit über die eigene Wirksamkeit.

Quellen & regulatorische Einordnung

¹ Die Bundesanstalt für Finanzdienstleistungsaufsicht erklärt die Verordnung, die Kernbereiche (IKT-Risikomanagement, Tests, Drittparteien, Incident Reporting etc.) und den Anwendungsbereich für beaufsichtigte Institute. 🔗 https://www.bafin.de/DE/Aufsicht/DORA/DORA_node.html

² Europäische Union – EUR-Lex: Verordnung (EU) 2022/2554 über digitale operationale Resilienz (DORA) https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32022R2554

³ Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin): Aufsichtsmitteilung – Umsetzungshinweise zur Anwendung von DORA https://www.bafin.de/SharedDocs/Veroeffentlichungen/DE/Aufsichtsmitteilung/2024/Aufsichtsmitteilung_Umsetzungshinweise_DORA.html

⁴ Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin): Dokumentationsanforderungen nach DORA https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32022R2554

⁵ Europäische Union – EUR-Lex: DORA – Anforderungen an IKT-Risikomanagement, Tests und Governance (Art. 6–15) https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32022R2554