2025 war ein entscheidendes Jahr für die Umsetzung der europäischen DORA-Verordnung. Finanzunternehmen haben enorme Grundlagenarbeit geleistet, doch die BaFin zeigt: Jetzt beginnt die Phase, in der ein wirksames IKT-Risikomanagement und der Umgang mit IKT-Drittdienstleistern im Mittelpunkt stehen.

Der folgende Überblick fasst die wichtigsten Erkenntnisse aus der BaFin-Präsentation vom 4. Dezember 2025 zusammen.

DORA verändert das Risikomanagement grundlegend

Die Finanzaufsicht betont: DORA ist mehr als ein weiteres Compliance-Projekt. Die Verordnung schafft ein integriertes System, das Governance, IKT-Risiken, digitale Resilienz und Drittparteien streng verzahnt.

Wesentliche Schwerpunkte 2025:

• Aufbau der Informationsregister
• Definition kritischer oder wichtiger Funktionen
• Anpassung von Verträgen mit IKT-Dienstleistern
• Finalisierung der Regeln zur Unterauftragsvergabe
• Start der Gespräche mit Wirtschaftsprüfern

2025 war somit ein Jahr der Vorbereitung, während 2026/27 im Zeichen von Wirksamkeit und Reife stehen wird.

Kritische oder wichtige Funktionen sind das Herzstück von DORA

Die BaFin bezeichnet sie als „Kronjuwelen“. Das sind Funktionen, deren Ausfall das Unternehmen erheblich beeinträchtigen würde.

Wichtige Erkenntnisse:

• Es geht um Prozesse, nicht um Abteilungen oder Personen.
• Auch „Unterstützungsfunktionen“ können kritisch sein.
• Die Einstufung muss klar dokumentiert, plausibel sein und regelmäßig überprüft werden.
• Nur IKT-Dienstleistungen, die eine solche Funktion notwendig unterstützen, gelten als besonders relevant.

Laut BaFin ist eine häufige Fehlerquelle, dass viele Unternehmen mit unvollständigen oder unklaren Inventaren arbeiten. Dieses Risiko zieht sich durch alle Prüfungsfelder.

Die Abhängigkeit von großen IKT-Drittdienstleistern ist enorm

Die Zahlen aus dem BaFin-Informationsregister zeichnen ein klares Bild:

• 2025 wurden europaweit über 10.000 Register eingereicht.
• Die ESAs haben 19 Critical ICT Third-Party Providers (CTPPs) identifiziert.
• Die Top 10 CTPPs decken über 85 % aller Verträge der beaufsichtigten Unternehmen ab.
• Rund 75 % der Dienstleistungen dieser Anbieter unterstützen kritische oder wichtige Funktionen.

Besonders verbreitet sind:

• Cloud-Dienste (SaaS, IaaS, PaaS)
• Software-Lizenzen
• Datenbereitstellung

Die höchste Konzentration besteht bei US-Anbietern wie Microsoft, AWS, Google und Oracle.

Ersetzbarkeit bleibt die größte Herausforderung

Viele Finanzunternehmen geben an, dass zentrale Leistungen der CTPPs:

• nicht oder nur sehr schwer ersetzbar sind
• schwer wiedereingliederbar sind und sie
• dennoch keinen vollständigen Ausstiegsplan besitzen

DORA schreibt für kritische Funktionen zwingend Ausstiegsstrategien vor, doch laut BaFin besteht hier massiver Aufholbedarf. Deshalb soll im Jahr 2026/27 verstärkt darauf kontrolliert werden.

IKT-Vorfallsmeldungen: Mehr Meldungen, klarere Vorgaben

Die ersten Monate des DORA-Meldewesens zeigen:

• Rund 805 echte Vorfälle bis November 2025 (nach Bereinigung).
• Ca. 50 Meldungen pro Woche.
• Hoher Anteil von Vorfällen bei Drittanbietern.
• Cybersicherheitsvorfälle werden deutlich später entdeckt (Median > 14 Tage).
• Ransomware bleibt eine extreme Bedrohung, ist aber nicht die häufigste Angriffsmethode.

Typische Mängel aus BaFin-Prüfungen: Wo Unternehmen 2025 scheiterten

Die BaFin zeichnet ein klares Bild:

Governance

• DOR-Strategien unvollständig, inkonsistent oder ohne überprüfbare Ziele
• Leitungsorgane nicht ausreichend eingebunden

IKT-Risikomanagement

• unvollständige Identifikation kritischer Funktionen
• lückenhafte Inventare und Dokumentation
• unklare Verantwortlichkeiten

Schutz & Prävention

• unreifes Schwachstellen- und Patchmanagement
• Sicherheitsmaßnahmen nicht implementiert oder schlecht getestet

Erkennung & Reaktion

• fehlende SIEM-Anbindung zentraler Systeme
• fehlende Alarmbearbeitung außerhalb der Geschäftszeiten

Geschäftsfortführung

• Notfallpläne veraltet, ungetestet oder unvollständig
• Dienstleister nicht ausreichend eingebunden
• kaum Ausstiegsstrategien