Herr Blazek, DORA tritt in wenigen Tagen in Kraft und stellt die Finanzbranche vor neue Herausforderungen. Können Sie uns erklären, was DORA im Kern regelt?
DORA, also der Digital Operational Resilience Act, ist eine EU-Verordnung, die eine neue Ära der digitalen Betriebssicherheit in der europäischen Finanzindustrie einläutet. Ihr Hauptziel ist es, sicherzustellen, dass Finanzunternehmen robust gegenüber IT-Risiken sind und im Ernstfall adäquat reagieren können. Besonders im Fokus stehen dabei sogenannte IKT-Drittdienstleister, also externe Anbieter von Informations- und Kommunikationstechnologiediensten, auf die viele Finanzunternehmen angewiesen sind. DORA schafft erstmals einen einheitlichen europäischen Rahmen zur Überwachung solcher Anbieter, insbesondere wenn sie als kritisch für das Finanzsystem eingestuft werden.
Warum ist die Überwachung von IT-Dienstleistern aus Ihrer Sicht notwendig?
Die Finanzbranche verlagert zunehmend wesentliche IT-Funktionen auf externe Dienstleister, wie Cloud-Anbieter oder Softwareunternehmen. Diese Dienstleister bündeln oft die IT-Services mehrerer Finanzunternehmen, was einerseits Kosten spart und Effizienz schafft, andererseits aber auch Konzentrationsrisiken birgt. Stellen Sie sich vor, ein großer Cloud-Anbieter hat einen flächendeckenden Ausfall – das könnte weite Teile des Finanzmarktes lahmlegen. DORA setzt genau hier an: Sie soll solche Risiken durch Transparenz und Überwachung minimieren, insbesondere wenn es um systemrelevante Dienstleister geht.
DORA richtet den Blick besonders auf sogenannte Konzentrationsrisiken. Was ist damit gemeint?
Ein Konzentrationsrisiko liegt vor, wenn sich viele Finanzunternehmen auf wenige IT-Dienstleister verlassen, die dadurch eine Schlüsselposition im Markt einnehmen. Ein Beispiel sind große Cloud-Anbieter aus den USA, die erhebliche Marktanteile in Europa halten. Diese „Hyperscaler“ bieten nicht nur direkt ihre Dienste an, sondern werden häufig auch von kleineren IT-Dienstleistern als Grundlage für deren Services genutzt. Dadurch entsteht eine doppelte Abhängigkeit: Erstens von den Hyperscalern selbst und zweitens von den Anbietern, die auf deren Infrastruktur aufbauen.
Die geografische Konzentration – also die Tatsache, dass viele dieser Anbieter ihren Sitz in Drittstaaten wie den USA haben – verschärft das Problem. In geopolitischen Krisen könnten Sanktionen oder andere politische Maßnahmen den Zugang zu diesen Diensten einschränken.
Sind alle Konzentrationen automatisch ein Risiko?
Nein, und das ist ein wichtiger Punkt. Nicht jede Konzentration stellt ein Risiko dar. Entscheidend ist, ob die Finanzunternehmen so stark von einem Anbieter abhängig sind, dass sie dessen Dienstleistungen weder selbst übernehmen noch kurzfristig auf einen anderen Anbieter umsteigen könnten. Man spricht hier von einem „Vendor Lock-In“, also einer technologischen Abhängigkeit, bei der beispielsweise Software so individuell angepasst wurde, dass sie nur schwer auf einen anderen Anbieter migriert werden kann.
Wenn es Alternativen gibt und ein Wechsel möglich ist, stellt eine Konzentration per se kein Risiko dar. Das ist eine zentrale Erkenntnis, die DORA in den Überwachungsprozess integriert.
Wie bewertet DORA, ob ein Dienstleister als „kritisch“ einzustufen ist?
DORA nutzt einen zweistufigen Bewertungsprozess. In der ersten Stufe wird geprüft, ob ein Dienstleister für mindestens 10 Prozent der Finanzunternehmen innerhalb einer bestimmten Kategorie – wie Banken, Versicherer oder Zahlungsdienstleister – tätig ist. Zudem wird bewertet, wie systemrelevant die Kunden dieses Dienstleisters sind, etwa ob sie globale oder nationale systemrelevante Institute sind.
In der zweiten Stufe geht es dann um die Abhängigkeit der Finanzunternehmen. Hier wird untersucht, ob die Dienstleistungen des Anbieters so wichtig sind, dass ein Ausfall oder eine Störung gravierende Auswirkungen auf den Finanzmarkt hätte.
Welche Unternehmen sind von dieser Einstufung ausgenommen?
Es gibt einige wichtige Ausnahmen. Zum Beispiel fallen konzerninterne IT-Dienstleister, wie sie häufig bei Versicherungskonzernen oder Bankengruppen vorkommen, nicht unter die europäische Überwachung. Ihr Ausfall betrifft in der Regel nur die Gruppe oder den Konzern selbst und nicht den gesamten Finanzmarkt. Auch nationale Anbieter, die ausschließlich für rein nationale Finanzunternehmen arbeiten, bleiben im Fokus der nationalen Aufsicht und werden nicht auf europäischer Ebene überwacht.
Welche Pflichten ergeben sich für Finanzunternehmen aus DORA?
Eine der zentralen Pflichten ist das Führen eines sogenannten Informationsregisters. Darin müssen alle vertraglichen Vereinbarungen mit IT-Dienstleistern dokumentiert werden, die kritische oder wichtige Funktionen unterstützen. Dieses Register muss der BaFin auf Verlangen zur Verfügung gestellt werden. Die Finanzaufsicht nutzt diese Informationen, um potenziell kritische Dienstleister zu identifizieren.
Bis zum 11. April 2025 müssen Finanzunternehmen ihre Informationsregister erstmals einreichen. Auf Grundlage dieser Daten werden die europäischen Aufsichtsbehörden dann eine Liste kritischer IT-Dienstleister erstellen, die in der zweiten Jahreshälfte 2025 veröffentlicht werden soll.
Wie reagiert die Finanzbranche bisher auf DORA?
Viele große Finanzunternehmen haben bereits begonnen, ihre Auslagerungsstrategien anzupassen, um die neuen Anforderungen zu erfüllen. Vor allem systemrelevante Banken setzen verstärkt auf Multi-Vendor-Strategien, also die Zusammenarbeit mit mehreren IT-Anbietern, um das Risiko eines Vendor Lock-Ins zu reduzieren. Das ist jedoch teuer und komplex, da jeder zusätzliche Anbieter überwacht und integriert werden muss. Für kleinere Finanzunternehmen kann das eine erhebliche Herausforderung darstellen.
Wie beurteilen Sie die Rolle der Aufsicht unter DORA?
DORA gibt den Aufsichtsbehörden mehr Werkzeuge an die Hand, um die Risiken in der Finanzbranche zu steuern. Besonders hervorzuheben ist die Möglichkeit, direkt mit den kritischen IT-Dienstleistern zu interagieren – also nicht nur mit den Finanzunternehmen selbst. Das schließt Maßnahmen wie Prüfungen vor Ort oder die Anordnung von Missstandsbehebungen ein.
Die BaFin hat angekündigt, ihre Überwachungsmaßnahmen ab 2025 zu intensivieren. Es wird spannend sein zu sehen, wie diese neuen Befugnisse in der Praxis umgesetzt werden und welche Auswirkungen sie auf die Beziehungen zwischen Finanzunternehmen und IT-Dienstleistern haben werden.
Ihr Fazit, Herr Blazek?
DORA ist ein Meilenstein in der Finanzregulierung, der nicht nur für mehr Sicherheit im Finanzmarkt sorgt, sondern auch die Zusammenarbeit zwischen Finanzunternehmen und IT-Dienstleistern auf eine neue Ebene hebt. Unternehmen sollten DORA nicht nur als regulatorische Hürde sehen, sondern als Chance, ihre digitale Resilienz zu stärken und Abhängigkeiten zu minimieren.
Aber klar ist auch: Die Umsetzung wird kein Spaziergang. Gerade kleinere Finanzunternehmen müssen aufpassen, dass sie unter den zusätzlichen Anforderungen nicht zusammenbrechen. Hier wird es auf Augenmaß und eine pragmatische Umsetzung der Vorgaben ankommen.
