Keyfacts:

• Die DORA-Verordnung verlangt von Finanzinstituten eine hohe Datenqualität und -konsistenz, um die digitale Resilienz zu stärken.
• Low-Code-Plattformen bieten eine flexible Lösung, um die Anforderungen der DORA-Verordnung effizient zu erfüllen und die Datenintegration zu optimieren.
• Neben der Erfüllung regulatorischer Vorgaben fördern Low-Code-Plattformen langfristige betriebliche Vorteile durch verbesserte Prozesse und fundierte Entscheidungsgrundlagen.

Die Einführung der DORA-Verordnung markiert einen Wendepunkt für die digitale operationelle Resilienz im Finanzsektor. Seit der finalen Veröffentlichung des Reporting-Frameworks 4.0 durch die Europäische Bankenaufsichtsbehörde (EBA) am 19. Dezember 2024 steht fest: Die Anforderungen an Datenqualität und -konsistenz sind klar definiert – und hoch. Spätestens mit der ersten Einreichung des Informationsregisters im April 2025 wurde vielen Instituten bewusst, wie herausfordernd die praktische Umsetzung tatsächlich ist.

Eine anspruchsvolle erste Phase – und der Blick nach vorn

Die erstmalige Erstellung und Einreichung des DORA-Informationsregisters stellte viele Finanzinstitute vor eine intensive, oft auch frustrierende Phase. Die kurzfristigen Anpassungen and die Registeranforderungen durch die Informationsregister FAQs und die hohe Komplexität der Datenmodellanforderungen sorgten für zusätzliche Unsicherheit. Ob über das CASPER-Portal der EZB für Significant Institutions (SIs) oder das MVP-Portal der BaFin für Less Significant Institutions (LSIs) – die technischen Hürden bei der Datenübermittlung waren hoch, ebenso wie die inhaltlichen Anforderungen an Konsistenz und Genauigkeit.

Nach dieser arbeitsintensiven Anfangsphase richtet sich der Blick nun auf die nachhaltige Einhaltung der DORA-Anforderungen. Es gilt, Prozesse zu etablieren, die nicht nur regulatorisch konform sind, sondern auch intern einen echten Mehrwert liefern – durch Effizienz, Automatisierung und Datenintelligenz.

Die Schwächen herkömmlicher Ansätze

Viele Institute arbeiten bislang mit Excel-Tabellen oder in Teilen isolierten Quellsystemen wie Vertragsdatenbanken, GRC-Suites oder spezialisierten TPRM-Tools, die nicht alle relevanten IKT-Daten enthalten. Diese Lösungspfade stoßen schnell an ihre Grenzen – insbesondere, wenn es darum geht, komplexe regulatorische Anforderungen konsistent und nachvollziehbar umzusetzen. Medienbrüche, redundante Erfassungen und Schattenbuchhaltungen sind häufig die Folge – mit erhöhtem Aufwand und gesteigertem Fehlerrisiko.

Low-Code-Plattformen als Schlüsseltechnologie

Eine besonders zukunftsfähige Lösung stellt der Einsatz von Low-Code-Plattformen dar. Sie ermöglichen eine automatisierte, zentral steuerbare und zugleich flexibel anpassbare Umsetzung des Informationsregisters. Das Ziel ist es, das Informationsregister per Knopfdruck automatisiert zu erstellen. Dabei können über Schnittstellen und vordefinierte Konnektoren verschiedene Bestandssysteme mit relevanten IKT-Daten nahtlos integriert werden.

Fehlen bestimmte Informationen, die von der Aufsicht gefordert, jedoch nicht in bestehenden Systemen vorhanden sind, können diese direkt über eine Low-Code-Anwendung erfasst werden – entweder dezentral durch die sogenannte erste Verteidigungslinie (First Line of Defence, 1st LoD) oder zentral durch die zweite Verteidigungslinie (Second Line of Defence, 2nd LoD). Neben der revisionssicheren Erfassung und Speicherung lassen sich auch einfache Plausibilisierungsverfahren zwischen der 1st LoD und 2nd LoD integrieren – beispielsweise zur Überprüfung und Sicherstellung der Datenqualität.

Die Lösung bleibt dabei stets modular und skalierbar – sie wächst nur in dem Maße, wie es der konkrete Funktionsbedarf des jeweiligen Instituts erfordert.