Dora, Daten, Durchgängigkeit
05.03.2026
Karl im Brahm. Foto: @ Objectway
Seit dem 17. Januar 2025 gilt der Digital Operational Resilience Act (DORA) verbindlich für Finanzinstitute in der EU. Doch erst 2026 wird deutlich, was die Verordnung in der Praxis bedeutet. Nach einem Jahr Aufbauarbeit, Registerpflege und Konzeptschreiben beginnt nun die Phase, in der Aufseher Wirksamkeit erwarten: belastbare Prozesse, getestete Resilienz und echte Transparenz über Abhängigkeiten. Besonders unter Druck geraten Institute mit fragmentierten IT-Landschaften. Warum DORA damit eine strukturelle Herausforderung für Finanzinstitute ist – und integrierte Front-to-Back-Architekturen und modulare Plattformmodelle zum entscheidenden Faktor werden –, erläutert Karl im Brahm, DACH-CEO des WealthTech-Anbieters Objectway.
Die europäische Finanzbranche steht 2026 im ersten vollen Jahr unter DORA-Aufsicht. Zwar ist der Digital Operational Resilience Act bereits seit dem 17. Januar 2025 anwendbar, doch das vergangene Jahr war vielerorts von Orientierung geprägt: Institute haben Register aufgebaut, Richtlinien formuliert, Zuständigkeiten definiert und bestehende Anforderungen konsolidiert. „Das war notwendig, aber es war der leichtere Teil“, mahnt Karl im Brahm. „2026 beginnt die Phase, in der Aufseher nicht mehr nur Strukturen sehen wollen, sondern Belastbarkeit“, ist sich der WealthTech DACH-CEO sicher. Damit verschiebe sich der Fokus: weg von der Frage, ob etwas dokumentiert ist, hin zu der Frage, ob es im Ernstfall funktioniert. DORA ist kein Projekt mit Enddatum, sondern ein dauerhaftes Aufsichtsregime mit laufenden Prüf-, Melde- und Testpflichten. Gerade deshalb wird jetzt sichtbar, welche Institute regulatorische Resilienz tatsächlich operationalisiert haben – und welche sich auf formale Compliance verlassen haben.
Fragmentierte IT wird zum regulatorischen Risiko
Inhaltlich ist DORA keine reine IT-Verordnung. Sie adressiert Governance, Risikomanagement, Incident-Handling, Resilienz-Testing und den Umgang mit IKT-Drittanbietern über alle Geschäftsbereiche hinweg. Genau hier trifft sie viele Institute an einer empfindlichen Stelle. „In der Praxis sehen wir nach wie vor stark fragmentierte Front-, Middle- und Back-Office-Landschaften“, so im Brahm. Er erläutert: „Prozesse sind über mehrere Systeme verteilt, Daten werden redundant gehalten, Verantwortlichkeiten verlaufen entlang historischer Silos.“ Solange der regulatorische Fokus punktuell war, ließ sich diese Komplexität verwalten. DORA ändert das. Denn Resilienz lässt sich nur dort nachweisen, wo Abhängigkeiten transparent sind. Relevant werden drei Fragen: Welche Systeme sind für kritische Geschäftsprozesse relevant? Wie wirken sich Ausfälle entlang der Prozesskette aus? Welche Drittanbieter sind eingebunden – und wie substituierbar sind sie? „Gerade an den Schnittstellen entstehen Risiken. Wo Systeme nicht sauber integriert sind, wird Incident-Analyse schwierig, Testing aufwendig und Steuerung unscharf. Fragmentierung wird damit nicht nur zum Effizienz-, sondern zum aufsichtsrechtlichen Problem“, so der DACH-CEO.
SaaS und BPaaS bedeuten Resilienz im Betriebsmodell
DORA macht auch deutlich: Operative Resilienz ist nicht nur eine Frage der Technologie, sondern des Betriebsmodells. Software-as-a-Service (SaaS) und Business-Process-as-a-Service (BPaaS) ge-winnen vor diesem Hintergrund an strategischer Relevanz. „Insbesondere BPaaS ermöglicht es, Prozesse standardisiert, automatisiert und resilient zu betreiben. Das schafft klare Verantwortlichkeiten, definierte SLAs und eine bessere Steuerbarkeit. Dies gilt jedoch nur, wenn Institute über die gesamte Prozesskette hinweg volle Transparenz und Kontrolle behalten – von Datenflüssen und Sicherheitskontrollen bis hin zu Incident-Management und Exit-Szenarien. In diesem Zusammenhang wird die Fähigkeit, auf vertrauenswürdige Partner mit nachweisbaren Governance- und Kontrollmechanismen zurückzugreifen, entscheidend“, so im Brahm. DORA entbindet Institute demnach nicht von ihrer Verantwortung, auch wenn kritische Drittanbieter künftig einer strengeren Aufsicht unterliegen. Klar definierte, integrierte Servicemodelle spielen daher eine zentrale Rolle, um Risiken zu bewerten, Kontrolle sicherzustellen und regulatorische Anforderungen konsistent zu erfüllen.
2026 ist der Wendepunkt von formaler Compliance zu gelebter Resilienz
Nach einem Jahr DORA ist klar: Die Verordnung entfaltet ihre Wirkung nicht durch Papier, sondern durch Praxis. 2026 wird zum Jahr, in dem sich entscheidet, welche Institute operative Resilienz tatsächlich beherrschen. „DORA zwingt Unternehmen, ihre Architektur- und Betriebsentscheidungen neu zu bewerten“, resümiert im Brahm. Er fährt fort: „Nicht als regulatorische Pflichtübung, sondern als strategische Grundlage für Stabilität, Skalierung und Wettbewerbsfähigkeit.“ Front-to-Back-Integration, modulare Architekturen und servicebasierte Modelle sind dabei keine Schlagworte, sondern konkrete Antworten auf eine veränderte Aufsichtspraxis. Wer sie jetzt konsequent umsetzt, wird DORA nicht nur bestehen – sondern gestärkt daraus hervorgehen. (fw)
Unterstützung für das Soccer Camp in Bassila
