Ein Jahr DORA: Die Schonfrist ist vorbei
ID: 2223625
Autor: Andreas Seibert, Head of FSI Regulatory & Compliance DACH bei NTT DATA
Andreas Seibert, Head of FSI Regulatory & Compliance DACH bei NTT DATA (Quelle: NTT DATA)(firmenpresse) - 13. Januar 2026 – Nach zwölf Monaten DORA ist eines klar: Die Verordnung hat ihre Feuertaufe vielleicht hinter sich – die eigentliche Arbeit für die Finanzinstitute beginnt jedoch erst jetzt. Das erste Jahr war geprägt von Aufbauarbeit, Orientierung und dem Versuch, Ordnung in ein komplexes Regelwerk zu bringen. Register sind gefüllt, Prozesse beschrieben, Zuständigkeiten definiert. Das ist gelungen – aber es war auch der bequemere Teil. Ab 2026 geht es nicht mehr nur um Strukturen, sondern um Routine bilden und Belastbarkeit. Denn die BaFin beziehungsweise die europäischen Aufsichtsbehörden haben ein klares Ziel: operationale Resilienz statt lediglich Compliance. DORA ist also kein Projekt mit Enddatum, sondern ein umfangreicher Maßnahmenkatalog, der ab sofort im Tagesgeschäft umgesetzt werden muss und vom Gesetzgeber eingefordert wird. Kurzum: Die Branche steht jetzt (wieder) am Startpunkt.
Zwei Themen kristallisieren sich dabei aktuell besonders heraus.
Erstens: Critical Third Party Provider – die gefährliche Illusion der Auslagerung
Die europäische Benennung kritischer IKT-Drittanbieter stellt eine Zäsur dar. Erstmals wird dort angesetzt, wo sich Abhängigkeiten real bündeln. Das sorgt für mehr Transparenz, Vergleichbarkeit und neue Eingriffsmöglichkeiten der Aufsicht. Zwar schafft dieser Schritt für viele Institute eine gewisse Entlastung, aber keine Entwarnung. Denn die Verantwortung bleibt dort, wo sie nach Auffassung der Aufsicht hingehört: bei den Instituten selbst. Die neue Aufsicht über kritische Dienstleister ergänzt das eigene Risikomanagement, ersetzt es aber nicht. Institute müssen weiterhin begründen können, warum sie bestimmte Anbieter für kritische Funktionen einsetzen, wie sie die Substituierbarkeit bewerten und welche Exit-Szenarien tragfähig sind. DORA schafft hierfür den Rahmen und die Vergleichbarkeit – die konkrete Steuerung bleibt Teil der unternehmerischen Verantwortung.
Auch die auf der BaFin-Veranstaltung „IT-Aufsicht im Finanzsektor“ genannte Zahl von über 600 schwerwiegenden Vorfällen im ersten DORA-Jahr ist in diesem Kontext zu sehen (www.bafin.de/SharedDocs/Veranstaltungen/DE/250725_it_aufsicht_im_finanzsektor.html). Sie klingt dramatisch, ist aber vor allem Ausdruck von Cluster-Effekten: ein Vorfall bei einem großen Dienstleister, viele betroffene Institute, viele Meldungen. Das Problem ist nicht die Meldequote, sondern die strukturelle Abhängigkeit. Und die lässt sich nicht outsourcen, auch nicht unter europäischer Aufsicht. Die Konzentrationsrisiken, die sich heute bei Cloud-Computing und Softwarelösungen bemerkbar machen, werden sich zudem über kurz oder lang auch durch Künstliche Intelligenz ergeben.
Zweitens: Resilienz-Testing – der unterschätzte Kraftakt
In den kommenden Jahren wird sich der Charakter von DORA noch stärker beim Thema Resilienz-Testing zeigen. Zwar haben viele Institute Testprogramme aufgesetzt und methodisch sauber beschrieben. Der nächste Schritt ist jedoch anspruchsvoller: Die Tests müssen regelmäßig, realitätsnah und wirksam durchgeführt werden. Allein im Rahmen des Drittparteienrisikomanagements müssen die Institute alle drei Jahre bedrohungsorientierte Penetrationstests durchführen. Diese stellen eine extreme organisatorische und finanzielle Belastung dar.
Der Maßstab hat sich dabei verschoben. Es zählt nicht mehr die Frage „Ist das System sicher?“, sondern „Kann das Institut weiterarbeiten, während es angegriffen wird?“. Dies lässt sich nicht simulieren, ohne die Finanzbranche massiv unter Druck zu setzen. Threat-Led-Penetrationstests im laufenden Betrieb, End-to-End-Szenarien und Purple Teaming – also das Zusammenspiel der eigenen IT-Security-Spezialisten als angreifendes und verteidigendes Team – beschäftigen Sicherheits-, Betriebs- und Fachbereiche über Monate hinweg. Spätestens hier zeigt sich, ob Rollen, Schwellenwerte und Eskalationswege tatsächlich gelebt werden oder nur beschrieben sind. Die Ergebnisse lassen sich auch nicht wegdokumentieren. Sie verlangen vielmehr nach Priorisierung, Budget, Umsetzung und Management-Entscheidungen. Genau hier wird die Aufsicht in den kommenden Jahren hinschauen: nicht auf die Existenz von Konzepten, sondern auf deren Wirksamkeit. Das heißt, auf Ergebnisse, abgeleitete Maßnahmen und deren tatsächliche Umsetzung.
Fazit: 2026 ist der eigentliche Startpunkt von DORA
Die Signale sind eindeutig: Die Ramp-up-Phase von DORA ist abgeschlossen. Wer das verstanden hat, kann die Verordnung 2026 zu dem machen, wofür sie gedacht ist: eine gute Gelegenheit, die eigene operationale Resilienz zu stärken.
Dieser Kommentar und das Bild in höherer Auflösung können unter www.pr-com.de/companies/ntt-data abgerufen werden.
Weitere Infos zu dieser Pressemeldung:
Unternehmensinformation / Kurzprofil:
NTT DATA ist in der DACH-Region Teil der NTT DATA Unternehmensgruppe. Mit einem jährlichen globalen Umsatz von über 30 Milliarden US-Dollar ist sie ein führender Anbieter von Business- und Technologie-Services, die 75 Prozent der Fortune Global 100 zu ihren Kunden zählt. Gruppenweit engagiert sich NTT DATA für den Erfolg seiner Kunden und ist bestrebt, die Gesellschaft mit verantwortungsvollen Innovationen positiv zu verändern. Sie ist einer der weltweit führenden Anbieter von KI und digitalen Infrastrukturen. Außerdem bietet sie einzigartige Fähigkeiten bei der Enterprise-Skalierung von KI, Cloud, Security, Konnektivität, Rechenzentren und Application Services. Mit Beratung und Branchenlösungen unterstützt NTT DATA Unternehmen und die Gesellschaft dabei, sicher und nachhaltig in eine digitale Zukunft aufzubrechen. Als Global Top Employer verfügt die Unternehmensgruppe über Expertinnen und Experten in mehr als 70 Ländern. Darüber hinaus bietet sie Kunden ein robustes Ökosystem mit Innovationszentren sowie etablierten Partnern und Start-ups. NTT DATA ist Teil der NTT Group, die jedes Jahr mehr als 3 Milliarden US-Dollar in Forschung und Entwicklung investiert. Weitere Informationen unter https://nttdata.com
NTT DATA Deutschland SE
Cornelia Spitzer, BA
Press Manager DE | AT | CH
Tel.: +43 664 8847 8903
E-Mail: cornelia.spitzer(at)nttdata.com
PR-COM
Christina Haslbeck
Senior Account Manager
Tel.: +49-89-59997-702
E-Mail: christina.haslbeck(at)pr-com.de
NTT DATA Deutschland SE, NTT Germany AG & Co. KG und NTT Switzerland SA geben die obige Mitteilung gemeinschaftlich bekannt.
Datum: 13.01.2026 - 12:54 Uhr
Sprache: Deutsch
News-ID 2223625
Anzahl Zeichen: 5037
Kontakt-Informationen:
Ansprechpartner: Christina Haslbeck
Stadt:
München
Telefon: +49-89-59997-702
Kategorie:
Internet
Meldungsart: Unternehmensinfos
Versandart: Veröffentlichung
Freigabedatum: 13.01.2026
Diese Pressemitteilung wurde bisher 204 mal aufgerufen.
Die Pressemitteilung mit dem Titel:
"Ein Jahr DORA: Die Schonfrist ist vorbei"
steht unter der journalistisch-redaktionellen Verantwortung von
NTT DATA (Nachricht senden)
Beachten Sie bitte die weiteren Informationen zum Haftungsauschluß (gemäß TMG - TeleMedianGesetz) und dem Datenschutz (gemäß der DSGVO).
München, 5. Mai 2026 – Beim bidirektionalen Laden wird das E-Auto zum Energiespeicher, der Strom bei Bedarf wieder abgibt – an ein elektrisches Gerät, ein Gebäude oder das Stromnetz. Insbesondere die Einspeisung ins öffentliche Netz, Vehicle-to-Grid (V2G) genannt, kann zu einem wichtigen Bau
So attackieren Cyberkriminelle die OT-Infrastrukturen – und darauf haben sie es abgesehen ...
München, 28. April 2026 – Durch die zunehmende Vernetzung von Produktions- und Industrieanlagen ist die Angriffsfläche vieler Unternehmen in den vergangenen Jahren deutlich größer geworden. Es besteht dringender Handlungsbedarf, um Störungen oder Ausfälle durch Cyberattacken zu vermeiden. NT
NTT DATA unterstützt mit neuem KI-Tool bei ISO-27001-Audits ...
München, 21. April 2026 – NTT DATA (https://de.nttdata.com/), ein weltweit führender Anbieter von KI-, digitalen Business- und Technologie-Services, gibt bekannt, dass sein neuer NTT DATA Audit Automator erstmals erfolgreich bei einer ISO-27001-Auditierung gemäß den IT-Grundschutzanforderungen
Weitere Mitteilungen von NTT DATA
Digital Trends 2026: Webinar zeigt, welche Technologien jetzt wirklich entscheidend sind ...
Im Fokus stehen die digitalen Entwicklungen, die Unternehmen insbesondere im gehobenen Mittelstand 2026 konkret beschäftigen werden: von Künstlicher Intelligenz und datengetriebenen Geschäftsmodellen über moderne Commerce-Architekturen bis hin zu rechtlichen und organisatorischen Rahmenbedingung
Dateninfrastruktur 2026: sieben wegweisende Prognosen des Objektspeicherspezialisten Scality ...
Von Paul Speciale, CMO, Scality Bei Scality sehen wir 2026 als das Jahr, in dem Leistung, Compliance und Innovation zusammenkommen. Für IT-Führungskräfte und Architekten signalisiert dies einen Paradigmenwechsel: Weg von der reinen Beschleunigung von Systemen, hin zu nachweislich kontrolli
Humanoide Roboter und autonome Fabriken: Wie zwei Megatrends die industrielle Fertigung bis 2030 neu definieren ...
8. Januar 2026 – Humanoide Roboter betreten die Werkshallen, vollautonome Fabriken organisieren sich selbst. Was aktuell noch Zukunftsmusik ist, könnte die Industrie in den kommenden Jahren ziemlich durcheinanderwirbeln. NTT DATA (https://de.nttdata.com/), ein weltweit führender Anbieter von KI-
KI-Trends 2026: Folgt auf die große KI-Euphorie die große KI-Ernüchterung? ...
7. Januar 2026 – Im zurückliegenden Jahr wurden Stimmen lauter, die die hohen KI-Investitionen von Unternehmen infrage stellen. Der Nutzen sei überschaubar, der Return on Investment (ROI) allenfalls gering, hieß es da. Folgt auf die große KI-Euphorie nun also die große KI-Ernüchterung? Pegas
