IT-Aufsicht unter DORA

IT-Aufsicht unter DORA: Was die BaFin nach 12 Monaten wirklich erwartet

Die IT-Aufsicht unter DORA hat den deutschen und europäischen Finanzsektor in nur zwölf Monaten grundlegend verändert. Was früher „IT-Sicherheit“ hieß, ist heute digitale operationale Resilienz – ein umfassendes aufsichtsrechtliches Zielbild, das Governance, ICT-Risiken, Drittparteien, Cloud-Abhängigkeiten, Incident-Management und Business Continuity zusammenführt.

Dieser Beitrag analysiert, wie die BaFin DORA im ersten Jahr interpretiert, welche Prüfschwerpunkte sich herauskristallisiert haben und wie sich Institute für die IT-Aufsicht 2026/27 vorbereiten sollten.

Erstes Jahr DORA: Von Papier-Compliance zur Wirksamkeit

Aus Sicht der BaFin war 2025 ein Aufbau- und Übergangsjahr. Die wichtigsten Grundlagen – von Leitlinien über Informationsregister bis zu Vertragswerken – sind weitgehend geschaffen.

Nun verschiebt sich die Aufsichtsschärfe:

  • weg von Formalien
  • hin zu gelebter, messbarer Wirksamkeit

Mit anderen Worten: DORA ist keine IT-Richtlinie, sondern eine Resilienz-Architektur, die verlangt, dass Institute auch bei Störungen funktionsfähig bleiben – technisch, organisatorisch und in der Lieferkette.

IT-Aufsichtsschwerpunkt: Kritische oder wichtige Funktionen (kwF)

Die kwF sind der Dreh- und Angelpunkt der gesamten DORA-Aufsicht.

Sie bestimmen:

  • den Scope von Verträgen
  • die Anforderungen an IKT-Drittdienstleister
  • die BCM-Pflichten
  • die SIEM-Coverage
  • den Meldeumfang bei Vorfällen

BaFin beobachtet jedoch massive Defizite:

  • kwF werden häufig falsch, unvollständig oder zu grob definiert
  • unterstützende IKT-Assets sind nicht vollständig inventarisiert
  • der Prozess ist oft nicht plausibel dokumentiert

Die Aufsicht fordert daher eine prozessbasierte, nachvollziehbare kwF-Methodik, abgestimmt mit der Business-Impact-Analyse.
Nur so entsteht eine belastbare Grundlage für die IT-Aufsicht.

Drittparteien & CTPPs: Die systemischen Risiken der IT-Aufsicht

Kein Bereich steht aktuell so stark im Fokus wie die IKT-Drittparteien und insbesondere die Critical ICT Third-Party Providers (CTPPs).

Konzentration auf wenige ICT-Dienstleister

Die Daten der BaFin zeigen:

  • > 85 % der CTPP-Verträge liegen bei nur 10 Anbietern
  • 75 % dieser Verträge betreffen kwF
  • viele CTPPs beziehen wiederum Leistungen von CTPPs → Netzwerkrisiko

Damit wird DORA zu einem aufsichtlichen Kraftzentrum für Cloud- und Software-Abhängigkeiten.

Substituierbarkeit & Exit-Strategien

Einer der größten Befunde der BaFin:

  • Software- und Cloud-Dienste sind am schwersten ersetzbar
  • dennoch existieren in weniger als 50 % der Fälle Exit-Pläne
  • viele Leistungen gelten gleichzeitig als nicht substituierbar und schwer wiedereingliederbar

Genau hier greift die neue europäische CTPP-Aufsicht (Joint Examination Teams, Oversight Forum), die 2026/27 stark an Bedeutung gewinnt.

DORA-Incident-Reporting: Belastungsprobe für IT-Organisationen

Die IT-Aufsicht schaut im DORA-Incident-Meldewesen besonders auf zwei Dinge:

  1. Qualität der Meldungen
  2. Erkennungs- und Reaktionsfähigkeit

Die BaFin-Daten zeigen:

  • ~2.250 Meldungen, aber nur 805 echte Vorfälle
  • ohne „aggregated reporting“ wären es fast 5× mehr
  • Cyber-Vorfälle werden oft erst nach Tagen entdeckt
  • rund ein Drittel aller Sicherheitsvorfälle entsteht bei Dienstleistern
  • < 10 % der Vorfälle verursachen 95 % des Transaktionsvolumens

Für die IT-Aufsicht bedeutet das:
Detection & Response wird zum zentralen Resilienz-indikator.

Erste DORA-Prüfungen: Wo die IT-Aufsicht die größten Defizite findet

BaFin und Bundesbank haben 2025 bereits zahlreiche DORA-Prüfungen durchgeführt. Die größten Befunde liegen in fünf Feldern:

Governance

  • Strategien unscharf
  • Risikotoleranzen nicht messbar
  • Leitungsorgan nicht ausreichend eingebunden

ICT-Risk Management

  • Inventare unvollständig
  • Abhängigkeiten nicht dokumentiert
  • IKT-Kontrollfunktion zu schwach besetzt

Schutz & Prävention

  • Patch-Management nicht durchgängig
  • Segmentierung, Verschlüsselung, PAM nicht auf „leading practices“-Niveau

Detection & SIEM

  • Kritische Systeme nicht angebunden
  • Use Cases unzureichend entwickelt oder getestet
  • 24/7-Eskalation unsicher

BCM & Wiederherstellung

  • RTO/RPO im Alltag nicht umgesetzt
  • Tests unrealistisch oder veraltet
  • Dienstleister kaum eingebunden

Für die IT-Aufsicht steht fest: Papier reicht nicht mehr – Wirksamkeit entscheidet.

Aufsichtserwartungen 2026/27: Worauf sich Institute einstellen müssen

Die BaFin-Linie wird ab 2026 deutlich schärfer:

kwF-Framework härten

  • klare Methodik
  • vollständige Inventare
  • regelmäßige Reviews

Drittparteiensteuerung professionalisieren

  • vollständige Unterauftragnehmerketten (RTS-Konformität)
  • realistische Exit-Strategien
  • vertragliche Security-Controls
  • kontinuierliches Monitoring

Resilienztests intensivieren

  • technische Tests (Vulnerability Scans, Red/Blue-Team)
  • BCM-Übungen unter realistischen Bedingungen
  • Tests mit Dienstleistern

Detection & Response aufrüsten

  • vollständige SIEM-Coverage
  • Use-Case-Framework
  • verkürzte Detection-Times
  • 24/7-Reaktionsfähigkeit

Incident-Reporting professionalisieren

  • fehlerfreie Klassifikation
  • Nutzung der neuen API-Kanäle
  • harmonisierte interne Meldeprozesse

Board-Accountability leben

  • regelmäßige Resilienz-Berichte
  • aktive Challenge durch das Leitungsorgan

IT-Aufsicht unter DORA – die neue operative Realität

Nach nur einem Jahr ist klar: DORA ist die tiefgreifendste Veränderung der IT-Aufsicht seit Jahrzehnten.

Institute, die ihre IT-Governance, ihr Drittparteienmanagement, ihre Detection-Fähigkeiten und ihre BCM-Strukturen frühzeitig professionalisieren, werden 2026/27 spürbare Vorteile haben – gegenüber der Aufsicht, gegenüber Kunden und gegenüber dem Markt.

Quelle: https://www.bafin.de/SharedDocs/Veranstaltungen/DE/250725_it_aufsicht_im_finanzsektor.html

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert