DORA & Testing in Banken: Warum Testfälle regulatorisch relevant werden
DORA Risk Dashboard Test Governance

Vom Qualitätsinstrument zur regulatorischen Governance-Verantwortung

Testmanagement hatte in Finanzinstituten lange einen operativen Auftrag: Qualität sichern, Fehler identifizieren, Releases stabilisieren.

Testing war wichtig – aber primär technisch gedacht.

Mit dem Digital Operational Resilience Act (DORA) verändert sich dieser Stellenwert grundlegend. Testing wird vom operativen Qualitätssicherungsinstrument zu einem zentralen Bestandteil der DORA Compliance im Bankensektor. Die Verordnung (EU) 2022/2554 widmet dem Thema „Testen der digitalen operationalen Resilienz“ ein eigenes Kapitel (Kapitel IV, Art. 23–27)¹.

Damit wird klar: Ein DORA-konformes Testprogramm ist kein optionales Element – sondern regulatorische Pflicht.

Testfälle werden unter DORA zu einem prüfungsrelevanten Nachweis gegenüber:

  • Aufsicht (z. B. BaFin)
  • Interner Revision
  • IKT-Risikomanagement
  • Vorstand

Test Governance wird damit zu einer strategischen Steuerungsfunktion im Rahmen der digitalen operationalen Resilienz von Banken und Finanzdienstleistern.

1. Der Paradigmenwechsel: Von funktionalem Testing zu DORA-konformer Resilienzprüfung

Vor DORA lautete die Frage: Funktioniert das System fachlich und technisch? Unter DORA lautet sie: Ist die digitale operationale Resilienz risikobasiert getestet, dokumentiert und regulatorisch nachweisfähig?

Artikel 24 DORA verlangt ausdrücklich ein „solides und umfassendes Programm für das Testen der digitalen operationalen Resilienz“¹.

Damit wird ein risikobasiertes Testprogramm gemäß DORA zum integralen Bestandteil des IKT-Risikomanagements.

Gefordert wird:

  • Identifikation kritischer IKT-Assets
  • Szenariobasierte Tests kritischer Geschäftsprozesse
  • Dokumentierte Lessons Learned
  • Managementgerechtes Reporting
  • Nachvollziehbare Testfall-Dokumentation

Das ist ein struktureller Paradigmenwechsel im Testmanagement unter DORA.

2. DORA Test Governance: Warum Testing Vorstandsthema wird

DORA verankert die Verantwortung für die digitale operationale Resilienz ausdrücklich beim Leitungsorgan.

Das bedeutet:

Testing ist kein IT-Detail mehr. Es ist Teil der Managementverantwortung im DORA-Rahmenwerk.

Bei einer DORA-Prüfung stellen Aufsichtsbehörden typischerweise Fragen wie:

  • Welche kritischen Szenarien wurden getestet?
  • Wie wurde die Risikopriorisierung vorgenommen?
  • Wie ist die Testabdeckung kritischer Geschäftsprozesse dokumentiert?
  • Welche Maßnahmen wurden aus Test Findings abgeleitet?

Die Qualität der DORA-Test Governance entscheidet hier über Prüfungssicherheit. Operatives Testing ohne Bezug zum IKT-Risikoprofil wird regulatorisch angreifbar.

3. DORA-Testanforderungen für Banken: Risikobasiertes Testprogramm & TLPT

Kapitel IV DORA (Art. 23–27) definiert verbindliche Anforderungen an das Testen der digitalen operationalen Resilienz im Finanzsektor¹.

Dazu gehören:

  • Regelmäßige Resilienztests
  • Szenariobasierte Tests kritischer Geschäftsprozesse
  • Threat-Led Penetration Testing (TLPT) für bestimmte Institute
  • Dokumentationspflichten
  • Kontinuierliche Verbesserung

Die Bundesanstalt für Finanzdienstleistungsaufsicht stellt klar, dass Finanzunternehmen ein risikobasiertes und proportionales Testprogramm etablieren müssen, das integraler Bestandteil des IKT-Risikomanagement-Rahmens ist².

Für Banken bedeutet das konkret, dass DORA-konforme Testfälle folgendes erfüllen müssen:

✔ risikobasiert priorisiert sein
✔ geschäftskritische Prozesse vollständig abdecken
✔ IKT-Abhängigkeiten transparent machen
✔ regulatorische Dokumentationsanforderungen erfüllen
✔ revisionssicher archiviert werden
✔ für Vorstand und Aufsicht verständlich reportet werden

Ein rein funktionaler Regressionstest erfüllt die DORA Testing Anforderungen nicht mehr.

4. Integration von Testing in das IKT-Risikomanagement gemäß DORA

Unter DORA ist das Testprogramm kein isolierter Prozess. Es ist Bestandteil des IKT-Risikomanagement-Frameworks nach DORA.

Test Governance verbindet:

  • Informationssicherheit
  • Compliance
  • Risk Management
  • Business
  • Interne Revision
  • Vorstand

Die BaFin betont, dass das Testprogramm als Bestandteil des IKT-Risikomanagement-Rahmens zu steuern und zu dokumentieren ist². Damit wird klar: DORA verlangt nicht nur Tests, sondern ein strukturiertes, governance-gesteuertes Testsystem.

5. Häufige Schwachstellen bei der DORA-Testing-Umsetzung

In der Praxis zeigen sich bei der DORA-Umsetzung im Testing häufig:

  • Funktionale Testfälle ohne Risikobezug
  • Fehlende Verknüpfung zwischen IKT-Assets und Testfällen
  • Technische Szenariotests ohne Geschäftsprozessfokus
  • Fehlendes Management-Reporting
  • Keine strukturierte Lessons-Learned-Integration

Während die Aufsicht ein risikoorientiertes DORA-Testprogramm erwartet², dominieren oft operative Ansätze ohne regulatorische Nachweisarchitektur. Das Risiko liegt weniger im fehlenden Testen, sondern in der fehlenden DORA-konformen Dokumentation und Governance-Struktur.

6. Aufsichtsrechtliche Konsequenzen bei nicht DORA-konformem Testing

DORA ist eine unmittelbar geltende EU-Verordnung¹.

Ein nicht DORA-konformes Testprogramm kann zu folgenden Konsequenzen führen:

  • Aufsichtsrechtlichen Feststellungen
  • Sonderprüfungen
  • Kapitalzuschlägen
  • Geschäftseinschränkungen
  • Bußgeldern

Testing ist Teil des regulatorischen Resilienz-Nachweises.

Unzureichend getestete digitale operationale Resilienz bedeutet:

  • Reputationsrisiko
  • Vertrauensverlust
  • Governance-Schwäche

Die Verantwortung liegt beim Leitungsorgan.

Strategische Schlussfolgerung: DORA Testing ist kein IT-Thema

Unter DORA gilt:

  • Resilienz wird geprüft.
  • Test Governance wird bewertet.
  • Nachweisfähigkeit entscheidet.

Institute, die Testing weiterhin rein operativ verstehen, unterschätzen die regulatorische Tragweite. Ein strukturiertes, risikobasiertes DORA-Testprogramm wird damit zu einem strategischen Wettbewerbsfaktor im Bankensektor.

Fazit: Testfälle als regulatorischer Nachweis im DORA-Rahmenwerk

Testfälle sind unter DORA:

  • Bestandteil des IKT-Risikomanagements
  • Beleg für digitale operationale Resilienz
  • Nachweis für Aufsicht und Revision
  • Steuerungsinstrument für das Management

Digitale operationale Resilienz entsteht nicht durch Dokumente, sondern durch nachweislich getestete Wirksamkeit und genau deshalb werden Testfälle regulatorisch relevant.

Wenn Sie bewerten möchten, ob Ihre Test Governance bereits DORA-konform ausgerichtet ist – oder ob zwischen Konzept und regulatorischem Nachweis noch Lücken bestehen, kann eine strukturierte Standortbestimmung Transparenz schaffen.

Nicht jedes getestete System ist regulatorisch resilient.

Quellen

¹ Verordnung (EU) 2022/2554 (DORA), Kapitel IV – Testen der digitalen operationalen Resilienz (Art. 23–27)

https://eur-lex.europa.eu/DE/legal-content/summary/digital-operational-resilience-for-the-financial-sector.html

² Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) –
„Testen der digitalen operationalen Resilienz einschließlich TLPT“

https://www.bafin.de/DE/Aufsicht/DORA/Digitale_Resilienz_TLPT/Digitale_Resilienz_TLPT_node.html