DORA-Compliance: Erfahrungen aus den ersten Prüfungen

Plattform-Governance als Schlüssel zur Compliance und Resilienz

veröffentlicht am 15.12.2025 | Lesezeit: ca. 4 Minuten
Julian Dersch
Julian Dersch

Keyfacts:

  • Ein Jahr nach Inkrafttreten des Digital Operational Resilience Act (DORA), zieht Julian Dersch ein erstes Resümee zur Prüfungsrealität.
  • DORA-Prüfungen gehen tiefer als je zuvor und verlangen den Instituten viel ab: OSIs der EZB prüfen nicht nur Dokumente, sondern gelebte Resilienz.
  • Gefordert ist eine Plattform, die Governance, Workflow-Orchestrierung und Datenintegrität zusammenführt. ServiceNow kann genau dort ansetzen und bei der Umsetzung der DORA-Anforderungen unterstützen.

Seit Inkrafttreten der DORA-Verordnung im Januar 2025 hat sich die Prüfungslandschaft für Banken und Finanzdienstleister grundlegend verändert. Wo früher einzelne Findings abgearbeitet wurden, prüfen Aufsichtsbehörden heute, ob Institute ein ganzheitliches Resilience-Governance-System etabliert haben. Die Anforderungen sind umfassender, tiefgehender – und sie betreffen alle Stakeholder gleichermaßen: IT-Einheiten müssen ihren Blick vom Detail auf das Gesamtbild erweitern, Fachbereiche stärker verzahnt arbeiten, und die Geschäftsführung wird in die Pflicht genommen.

Julian Dersch hat im vergangenen Jahr Banken und andere Finanzinstitute bei den Prüfungsabläufen zu DORA intensiv begleitet. Im Interview fasst er seine bisherigen Eindrücke zusammen.

Die ersten DORA-Prüfungen haben stattgefunden. Wie haben sie sich verändert?

Julian Dersch: Die Prüfungen gehen deutlich mehr in die Tiefe. Früher herrschte oft silohaftes Denken – jeder Bereich konzentrierte sich auf seine Aufgaben. Das genügt den DORA-Anforderungen nicht mehr. Heute muss ein gemeinsames Bearbeiten von Erkenntnissen und eine integrierte Berichterstattung gewährleistet sein. Das erfordert neue Denkweisen und Strukturen. Die Integration der Technik-Abteilungen, die bislang stark auf ihre eigenen Aufgaben fokussiert und selten das Gesamtbild im Blick hatten, stellt dabei eine besondere Herausforderung dar.

Wie gut sind die Banken vorbereitet?

Julian Dersch: Sehr unterschiedlich. DORA gehört nicht zum Kerngeschäft, aber das Bewusstsein für Cyberrisiken wächst. Institute mit niedrigem Compliance-Reifegrad sind oft eher bereit zu investieren als solche, die schon viel getan haben. Auf den ersten Blick erscheint das widersinnig. Aber wir haben festgestellt, dass Institute mit niedrigem Reifegrad sich ihres Nachholbedarfs bewusst sind. Aus diesem Grund sind sie eher bereit, Kosten im Zusammenhang mit DORA auf sich zu nehmen. Entscheidend ist die Haltung der Geschäftsführung: Technik-affine Vorstände sind offener, müssen aber Budgets zwischen KI-Initiativen und Compliance ausbalancieren.

Prüfungen werden sechs bis acht Wochen im Voraus angekündigt. Das ist keine lange Zeit. Wie gehen Institute damit um?

Julian Dersch: Die Nervosität ist groß. Deshalb führen wir Simulationsgespräche durch, um die Verantwortlichen auf eine solche Situation besser vorzubereiten. Und raten Instituten eindringlich, sich nicht erst kurz vor einer angekündigten Prüfung vorzubereiten, sondern frühzeitig eine belastbare Plattformbasis zu schaffen. Das bedeutet: Klare Verantwortlichkeiten, integrierte Prozesse und eine konsistente Datenlage. Wer hier fragmentierte Strukturen hat, wird in einer Onsite-Inspection (OSI) der EZB schnell Schwachstellen offenlegen.

In welchen Bereichen zeigen sich die größten Herausforderungen?

Julian Dersch: Die größten Defizite zeigen sich im Risikomanagement und Auslagerungsmanagement. Deshalb ist ein zentrales Element von DORA die Meldepflicht des Informationsregisters, um die Abhängigkeiten von externen Dienstleistern transparent zu machen. Für viele der 3600 betroffenen Institute war die Erstellung des Registers herausfordernd: Daten lagen lückenhaft vor und wurden dezentral gespeichert. Viele Organisationen kämpften zudem mit unklaren Zuständigkeiten und fehlenden CMDB-Daten.

Solche Hürden lassen sich nicht durch zusätzliche Kontrollen beseitigen. Ohne zentrale Strukturen bleibt echte DORA-Compliance ein theoretisches Ziel. Hier kommt Technologie ins Spiel: Plattformen wie die unseres Allianzpartners ServiceNow schaffen die Strukturen, die DORA verlangt – Verbindlichkeit, Nachvollziehbarkeit und Integration. Aus fragmentierter Compliance wird ein durchgängiges, auditierbares Governance-System.

KPMG und ServiceNow

Die Partnerschaft von KPMG und ServiceNow liefert Lösungen, die Ihnen dabei helfen, Prozesse zu konsolidieren, zu automatisieren und zu modernisieren, die Effizienz zu steigern und die Kosten zu senken, indem sie Transparenz in Ihre Prozesse und Infrastruktur bringen. 

Jetzt mehr erfahren

Mit ServiceNow lassen sich:

1

Workflows zentral steuern und bereichsübergreifend orchestrieren

2

Verantwortlichkeiten verbindlich zuweisen

3

Prozessschritte technisch erzwingen

4

Aufgaben transparent nachverfolgen

5

CMDB-Daten konsistent und revisionssicher pflegen

Werden die DORA-Vorschriften in naher Zukunft verschärft oder angepasst?

Julian Dersch: Es gibt bereits Konkretisierungen durch die technischen Regulierungsstandards (RTS) und die technischen Durchführungsstandards (ITS). Diese helfen den Banken, weil sie die Anforderungen präzisieren, bringen aber auch zusätzliche Belastungen mit sich. Eine umfassende DORA-Novelle erwarte ich nicht in Kürze.

Was sich jedoch nicht sicher prognostizieren lässt, sind die Interpretationen der Aufsicht: Wie wird die EZB ihre Rolle auslegen? Werden EZB und BaFin bei Prüfungen unterschiedliche Maßstäbe anlegen? Klar ist: Bei großen Instituten, die von der EZB überwacht werden, liegt der Fokus stärker auf Steuerungsperspektiven, während kleinere Häuser eher auf die konkrete Prozessausführung geprüft werden. Auch der Umgang mit Tochtergesellschaften und ausländischen Instituten bleibt ein spannendes Feld, das sich erst in der Praxis zeigen wird.

Gibt es darüber hinaus noch etwas, dass Sie Instituten raten können?

Julian Dersch: Die bisherigen Prüfungen zeigen Wirkung: Viele Institute haben ihren Reifegrad deutlich gesteigert. Sich gut zu präsentieren und Probleme offen anzusprechen, ist der Aufsicht neben harten Fakten sehr wichtig. Die Erwartung ist nicht 100 Prozent Erfüllung, sondern eine klare Steuerungsperspektive. Institute müssen verstehen, dass DORA kein weiterer Kontrollmechanismus ist. Es ist eine Chance, durch klare Prozesse und konsistente Daten dauerhaft resilient zu werden.

Ich erwarte, dass wir auch 2026 noch damit beschäftigt sein werden, Defizite in der DORA-Prüfung zu beheben. In 2027 könnte sich das vielleicht legen: Dann tritt zum ersten Mal so etwas wie eine gewisse Routine ein.

 

Dieses Interview ist entstanden mit Mitwirkung von Florian Schmidt.

Das könnte Sie auch interessieren

Frankfurter Skyline EZB Onboarding
Future of Risk

Wechsel unter EZB-Aufsicht: Was Banken beim Onboarding beachten sollten

11.12.2025 | ca. 8 Minuten Lesezeit

Als bedeutendes Institut gelten besondere Aufsichtsanforderungen.

Tim Breitenstein
Tim Breitenstein
Dr. Henning Dankenbring
Dr. Henning Dankenbring
Digitale Transformation und Innovation

Immer mehr verwaltetes Vermögen: Aktive ETFs erobern Deutschland

09.12.2025 | ca. 6 Minuten Lesezeit

Anbieter müssen umdenken und ihre Produkt- und Vertriebsstrategie anpassen.

Thomas Epple
Thomas Epple
Kevin Naumann
Kevin Naumann
Glaskugel im Wald Sinnbild für SFDR 2.0
Sustainable Finance und ESG

Mehr Klarheit, weniger Greenwashing-Risiko: Die Kernpunkte der SFDR 2.0

05.12.2025 | ca. 4 Minuten Lesezeit

Neue Offenlegungsverordnung bringt verbindliche Produktkriterien und Entlastung.

Nils Bartsch
Nils Bartsch
Mathis Frömel
Mathis Frömel
Suche
Schliessen
© 2025 KPMG AG Wirtschaftsprüfungsgesellschaft, eine Aktiengesellschaft nach deutschem Recht und ein Mitglied der globalen KPMG-Organisation unabhängiger Mitgliedsfirmen, die KPMG International Limited, einer Private English Company Limited by Guarantee, angeschlossen sind. Alle Rechte vorbehalten. Für weitere Einzelheiten über die Struktur der globalen Organisation von KPMG besuchen Sie bitte https://home.kpmg/governance.