Der Digital Operational Resilience Act (DORA) ist Realität für Finanzinstitute und ihre Dienstleister. 2026 rückt die praktische Umsetzung des Third‑Party Risk Managements bei Finanzinstituten in den Fokus, denn die BaFin prüft die Informationsregister erstmals streng und datenbasiert mit Blick auf Vollständigkeit, Konsistenz und Nachvollziehbarkeit der gemeldeten Daten.
Für Finanzinstitute bedeutet das: Dienstleistersteuerung muss nicht nur existieren, sondern nachweisbar wirksam sein. Entscheidend ist dabei weniger die reine Konzeption als die tatsächliche Steuerungsfähigkeit im Institutsalltag.
Finanzinstitute: Vom Scope zur belastbaren Steuerung
DORA verschärft die Anforderungen an die Steuerung von Dienstleisterrisiken deutlich. Entscheidend ist nicht nur, wer liefert, sondern welches Risiko eine Dienstleistung für das Institut darstellt und wie konsequent dieses Risiko gesteuert wird.
Eva Willnecker, Managing Security Consultant bei usd, verfügt über langjährige Projekterfahrung im Third-Party Risk Management und begleitete 2025 zahlreiche Institute bei der Implementierung:
„Viele Unternehmen mussten erst einmal klären: Wer sind unsere Dienstleister überhaupt und welche davon fallen wirklich unter DORA? Das war kein einfacher, sondern ein mehrstufiger Prozess, der mit der institutspezifischen Identifizierung von „kritischen oder wichtigen Funktionen“ begann.“
Ein aktuelles und vollständiges Dienstleisterverzeichnis ist die Basis jeder DORA-Umsetzung. Finanzinstitute müssen relevante Dienstleister kontinuierlich identifizieren, deren Kritikalität konsistent bewerten und die Informationen strukturiert in einem Register pflegen. Seit dem 17. Januar 2025 sind Finanzunternehmen verpflichtet, ein offizielles Informationsregister zu führen und regelmäßig bei der zuständigen nationalen Aufsichtsbehörde einzureichen. Eine aktualisierte Version ist zwischen dem 9. und 30. März 2026 der BaFin vorzulegen.
Third‑Party Risk Management endet nicht mit der Abgabe des Informationsregisters
Mit der Einreichung des Informationsregisters ist die Arbeit nicht erledigt, im Gegenteil. Jetzt beginnt die Phase, in der Institute ihre Dienstleistersteuerung im operativen Alltag unter Beweis stellen müssen. Aufsicht und Prüfer erwarten nachvollziehbare Prozesse, belastbare Entscheidungen und konsistente Nachweise. Diese sind über den gesamten Lebenszyklus einer Dienstleistung hinweg konsequent umzusetzen.
Was jetzt zählt:
Verträge klar und belastbar gestalten
Verträge müssen eindeutig regeln, welche Leistungen erbracht werden, und welche Rechte das Institut benötigt - etwa zu Audits, Zugriffswegen, Sub-Outsourcing oder Standorten. Ebenso wichtig sind praktikable Exit-Regelungen, die im Ernstfall tatsächlich funktionieren.
Risiken im operativen Alltag steuern
Dienstleisterrisiken verändern sich kontinuierlich. Institute brauchen daher etablierte Prozesse, um neue Erkenntnisse zeitnah zu erfassen und in das Risikomanagement zurückzuführen. Wichtig ist, dass Bewertungen und Entscheidungen dokumentiert sind und sich in der Steuerung wiederfinden.
Prüfungen risikoorientiert planen
Ein risikoorientiertes Prüfdesign legt nachvollziehbar fest, wann zur Überprüfung eines Dienstleisters ein Self-Assessment ausreicht und wann tiefere Prüfungen im Rahmen eines Vor-Ort-Audits notwendig sind. Entscheidend ist, dass Begründung und Prüftiefe zum Risiko passen. Für Institute kann es zudem sinnvoll sein, Prüfungen dort zu bündeln, wo es fachlich und organisatorisch möglich ist, um Doppelaufwände zu reduzieren und Ergebnisse konsistent nutzbar zu machen.
Meldewege und Nachweise sicherstellen
Für den Umgang mit Sicherheitsvorfällen braucht es klare Zuständigkeiten, definierte Meldewege und eine belastbare Dokumentation. Nur wenn diese Abläufe im Alltag funktionieren, können Institute ihre Meldepflichten fristgerecht und vollständig erfüllen.
Verhältnismäßigkeit wahren, besonders bei kleineren Anbietern
Da nicht jeder Dienstleister über umfassende Compliance-Strukturen verfügt, braucht es einen pragmatischen, risikobasierten Ansatz. So lassen sich Anforderungen passgenau umsetzen: bei kritischen Anbietern durch gezielte Dienstleister‑Audits, bei anderen durch Compliance‑Fragebögen oder Selbstauskünfte.
Fazit: Mehr Resilienz durch Struktur und Konsequenz
2026 markiert den Übergang von „DORA vorbereiten“ zu „DORA nachweisbar leben“.
Dienstleisterüberwachung ist operatives Kerngeschäft: Register sauber führen, Verträge klar gestalten und Prüfungen risikoorientiert steuern. Institute, die Entscheidungen konsistent dokumentieren und ihre Steuerung im Alltag nachweisen können, sind für Prüfungen und Aufsicht deutlich besser aufgestellt.
Sie möchten Ihr Third‑Party Risk Management unter DORA weiter schärfen oder stehen vor konkreten Fragestellungen? Unsere Expert*innen unterstützen Sie dabei, praktikable und risikoorientierte Ansätze zu entwickeln. Kontaktieren Sie uns gern.
