Seit dem 17. Januar 2025 verpflichtet der Digital Operational Resilience Act, kurz DORA, Finanzunternehmen und IKT-Drittanbieter, Cyberrisiken aktiv zu managen. Das Ziel ist klar: Eine stärkere Widerstandsfähigkeit des Finanzsektors in der EU − damit Finanzunternehmen wie Banken, Versicherer und Zahlungsdienstleister auch bei schweren Störungen handlungsfähig bleiben.
Schlagwörter wie Digitalisierung, Cloud, KI oder Automatisierung sind heute längst allgegenwärtig. Doch diese zunehmende Vernetzung bringt nicht nur Effizienz und Innovation, sondern auch neue, oft schwer zu durchschauende Gefahren: immer raffiniertere Cyberangriffe, steigende Cyberkriminalität und umfangreiche Abhängigkeiten von externen Dienstleistern. Denn in Zeiten von Fachkräftemangel und wachsender technischer Komplexität sind IT-Organisationen immer stärker auf Drittanbieter angewiesen. Gerade diese Verflechtungen können schnell in weitreichende technische Ausfälle und hohe wirtschaftliche Schäden münden. Mit DORA reagieren die Regulierer deshalb auf eine Finanzwelt, die zunehmend auf solchen Abhängigkeiten basiert.
Parallel dazu verlangt NIS-2 von Unternehmen aus 18 kritischen Sektoren und der öffentlichen Verwaltung einheitliche Mindeststandards für Cybersicherheit. NIS-2 ergänzt die sektorspezifischen Anforderungen an die Finanzindustrie durch DORA um zusätzliche Anforderungen an Sicherheitsmaßnahmen und Meldepflichten für die definierten Sektoren und öffentlichen Verwaltungen − und erweitert den Adressatenkreis deutlich. Beide Regelwerke zusammen erhöhen daher den Druck, IT-Sourcing nicht nur formal zu regeln, sondern operativ so zu gestalten, dass Unternehmen im Ernstfall schnell und sicher reagieren können.
Angesichts dieser erhöhten Anforderungen stehen Unternehmen vor der Aufgabe, ihre IT-Infrastruktur in ein einheitliches Governance-Modell zu überführen. Die Herausforderung besteht darin, die Regulatorik nicht als Belastung, sondern als Chance zu nutzen − für mehr Transparenz, belastbare Lieferketten und echte Resilienz. Insbesondere die Komplexität internationaler Lieferketten, geopolitische Risiken und die Konzentration auf vergleichsweise wenige zentrale Anbieter machen ein integriertes Drittparteienrisikomanagement notwendig. Nur wer Synergien zwischen DORA und NIS-2 nutzt und Redundanzen vermeidet, schafft eine praktikable und zugleich belastbare Grundlage für die Unternehmenssteuerung.
Mit DORA und NIS-2 sind zwei zentrale Regulierungswerke in Kraft getreten, die das IT-Sourcing und das Management von Dienstleisterrisiken maßgeblich beeinflussen. DORA ist speziell auf die digitale operationelle Resilienz des Finanzsektors ausgerichtet. Mit der Verordnung unterstreicht die EU die Notwendigkeit für Finanzunternehmen, den Risiken durch Digitalisierung und der damit einhergehenden, starken Abhängigkeit von der Informations- und Kommunikationstechnologie (IKT) mit einer angemessenen Organisation und dem erforderlichen internen Kontrollsystem (IKS) zu begegnen.
Die in DORA formulierten, regulatorischen Anforderungen lassen sich fünf Themengebieten zuordnen. Diese reichen vom IKT-Risikomanagement einschließlich der IKT-Governance, der Behandlung, Klassifizierung und Berichterstattung von IKT-Vorfällen, dem Testen der digitalen operationalen Resilienz über das Management des IKT-Drittparteienrisikos bis hin zum Überwachungsrahmen für kritische IKT-Drittdienstleister.
NIS-2 hingegen richtet sich an eine Vielzahl von Unternehmen aus 18 unterschiedlichen Sektoren (u. a. Energie, Gesundheit, Transport, öffentliche Verwaltung). Betroffene sind jedoch nicht nur gesetzlich verpflichtet, die Vorgaben zu erfüllen. Vielmehr profitieren sie von einer höheren Awareness für drohende Gefahren und einem robusteren Sicherheitsmanagement. Seit dem 6. Dezember 2025 ist in Deutschland das NIS-2-Umsetzungsgesetz in Kraft. Es verschärft nicht nur die Sicherheits- und Compliance-Anforderungen, sondern erweitert auch massiv den Kreis der verpflichteten Unternehmen. Anders als die bisherige KRITIS-Regulierung betrifft NIS-2 nun eine deutlich größere Unternehmenslandschaft – auch solche, die bislang nicht im Fokus der Aufsicht standen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) schätzt, dass ca. 30.000 Unternehmen künftig betroffen sein werden.
Ein wirkungsvoller Hebel für robuste Compliance unter DORA und NIS-2 ist eine gemeinsame Basis für das Drittparteienrisiko. Eine „Common Baseline“ bündelt die Überschneidungen von DORA, NIS-2 und bewährten Standards wie ISO 27001 und entwickelt daraus eine einheitliche Handlungsvorgabe für alle Sourcingbeziehungen. Statt vieler unterschiedlicher Prüfungen und Doppelkontrollen entstehen klare, wiederverwendbare Regeln: weniger Aufwand, mehr Transparenz und die Grundlage für ein flexibles, modular aufsetzbares Third Party Risk Management (TPRM). Im Zentrum stehen die Identifikation gemeinsamer Kontrollen, die Einbindung ins Vertragsmanagement und das gezielte Vermeiden unnötiger Doppelprüfungen − kurz: mehr Wirkung bei geringerem Verwaltungsaufwand.
Die Grundlage jeder resilienten Governance ist die Haftung. DORA (Art. 5) und NIS-2 (Art. 20) adressieren ausdrücklich die Verantwortung der Leitungsorgane − damit wird das Reporting zum zentralen Instrument des Managements von Haftungsrisiken. Ein Aufsichtsrat kann nur steuern, was er versteht − deshalb müssen Berichte handlungsrelevant, verständlich und nachvollziehbar sein, statt in Formularsammlungen zu versickern. Entscheidend sind drei Anforderungen, die Berichte erfüllen sollten:
Aus Regulierung wird Resilienz
Die Integration von DORA, NIS-2 und weiteren regulatorischen Anforderungen bietet die Chance, Compliance in echte operative Resilienz zu verwandeln. Neben der Effizienzsteigerung durch Harmonisierung von Prozessen und Kontrollen sowie der Reduktion von Redundanzen und Minimierung von Compliance-Risiken bietet dieser Ansatz eine erhöhte Resilienz und Flexibilität bei regulatorischen Änderungen und somit eine Stärkung der Leitungsverantwortung und verbesserte Steuerungsfähigkeit.
Für Aufsichtsräte und IT-Führungskräfte empfiehlt sich daher die konsequente Ausrichtung der Sourcing-Strategien an einem integrierten Governance-Ansatz, der sowohl regulatorische Anforderungen als auch betriebliche Effizienz in Einklang bringt. Wer diese Punkte angeht, schafft nicht nur Schutz gegen operative Ausfälle, sondern auch einen Wettbewerbsvorteil: höhere Stabilität, schnellere Reaktionsfähigkeit bei Störungen und geringeres Reputations- und Haftungsrisiko.
Regulierung ist kein Selbstzweck, sondern ein Hebel. Wer ihn klug nutzt, verwandelt Pflicht in Schutz, Compliance in Steuerungsfähigkeit und regulatorische Anforderungen in nachhaltige Resilienz − zum Nutzen des Unternehmens und als Absicherung der Leitungsgremien.

