DORA für IKT-Dienstleister - Wann Sie betroffen sind und was jetzt konkret zu tun ist
Viele IKT-Dienstleister glauben noch, DORA betreffe nur Banken und Versicherungen. Das ist zu kurz gedacht. DORA ist eine EU-Verordnung für den Finanzsektor, gilt seit dem 17. Januar 2025 und verpflichtet Finanzunternehmen unter anderem zu IKT-Risikomanagement, Vorfallbehandlung, Resilienztests und zur Steuerung von IKT-Drittparteien. Genau dadurch wird DORA auch für IT- und IKT-Dienstleister praktisch relevant.
 |
| DORA-Checkliste vom Kunden: Warum IKT-Dienstleister im Finanzsektor bei Nachweisen, Incident-Management, Subdienstleistern und Verträgen schnell unter Druck geraten. |
Kurz gesagt: Wann sind IKT-Dienstleister von DORA betroffen?
IKT-Dienstleister sind von DORA nicht automatisch direkt als regulierte Finanzunternehmen erfasst. Praktisch betroffen sind sie aber sehr schnell, wenn sie Finanzunternehmen mit IKT-Services unterstützen, insbesondere bei kritischen oder wichtigen Funktionen. Dann geraten sie in den Fokus von Kundenanforderungen, Vertragsprüfungen, Sicherheitsnachweisen, Audits und Drittparteiensteuerung. DORA enthält dafür ausdrücklich Regeln zu IKT-Drittparteien und einen EU-weiten Oversight-Rahmen für kritische IKT-Drittanbieter.
Das heißt in Klartext:
Sie müssen als IKT-Dienstleister nicht selbst Bank oder Versicherung sein, um DORA zu spüren. Es reicht oft schon, wenn Ihre Leistung für einen Finanzkunden geschäftskritisch ist oder in dessen Lieferkette eine wesentliche Rolle spielt.
Was ist DORA überhaupt?
DORA steht für Digital Operational Resilience Act. Ziel der Verordnung ist es, die digitale operationale Resilienz von Finanzunternehmen in der EU zu stärken. Die Verordnung soll sicherstellen, dass Banken, Versicherungen, Wertpapierfirmen und andere Finanzunternehmen IKT-Störungen, Cyberangriffe und Ausfälle ihrer Dienstleister besser verhindern, bewältigen und überstehen können. DORA ist am 16. Januar 2023 in Kraft getreten und gilt seit dem 17. Januar 2025.
Für IKT-Dienstleister ist daran vor allem ein Punkt entscheidend: Finanzunternehmen müssen ihre externen IKT-Abhängigkeiten deutlich strukturierter steuern als früher. Dazu gehören Risikoanalysen, Vertragsanforderungen, Informationsregister, Überwachung und bei kritischen Konstellationen auch aufsichtliche Oversight-Strukturen.
Wann sind IKT-Dienstleister von DORA betroffen?
Ein IKT-Dienstleister wird in der Praxis vor allem dann DORA-relevant, wenn er für Finanzunternehmen Leistungen wie Hosting, Cloud-Services, Managed Services, Security Services, Entwicklung, Monitoring, Support, Backup, Recovery oder den Betrieb wichtiger Systeme übernimmt. Besonders kritisch wird es, wenn diese Leistungen eine kritische oder wichtige Funktion des Kunden unterstützen oder wenn ein Ausfall erhebliche Auswirkungen auf Betrieb, Resilienz oder regulatorische Pflichten des Finanzunternehmens hätte. Die EBA verweist genau für solche Konstellationen auf RTS zur Policy für IKT-Services, die kritische oder wichtige Funktionen unterstützen.
Auch Unterauftragnehmer und weitere Glieder der Lieferkette können relevant werden. Für die Untervergabe von IKT-Services, die kritische oder wichtige Funktionen unterstützen, gibt es eigene RTS-Anforderungen, unter anderem zu Risikoanalyse und Due Diligence in der vorvertraglichen Phase.
Wann sind IKT-Dienstleister eher nicht von DORA betroffen?
Wer keinerlei Kunden im Finanzsektor betreut und auch nicht mittelbar Teil einer entsprechenden Lieferkette ist, hat in der Regel eine deutlich geringere DORA-Relevanz. Gleiches gilt für klar abgrenzbare, unkritische Leistungen ohne wesentlichen Einfluss auf relevante Geschäftsprozesse. Aber genau an dieser Stelle liegt ein häufiger Denkfehler: Diese Einordnung treffen nicht allein Sie. Das Finanzunternehmen muss selbst bewerten, welche IKT-Services kritisch oder wichtig sind und welche Risiken daraus entstehen. Deshalb kann ein Dienstleister auch dann in DORA-Anforderungen hineinrutschen, wenn er sich selbst zunächst für „nicht betroffen“ hält. Diese Einordnung ist eine praxisnahe Ableitung aus den DORA-Regeln zur Verantwortung der Finanzunternehmen für Drittparteienrisiken.
Brauchen IKT-Dienstleister wegen DORA eine ISO-27001-Zertifizierung?
Nein. DORA schreibt IKT-Dienstleistern nicht pauschal eine ISO-27001-Zertifizierung vor. Die regulatorische Hauptverantwortung liegt zunächst beim Finanzunternehmen, das seine IKT-Drittparteien auswählen, steuern, vertraglich absichern und überwachen muss. Der EU-Rechtstext betont ausdrücklich, dass der Oversight-Rahmen die Verantwortung der Finanzunternehmen für das Management ihrer Drittparteienrisiken nicht ersetzt.
Trotzdem ist ISO 27001 in der Praxis oft ein Vorteil. Nicht, weil das Zertifikat DORA ersetzt, sondern weil eine strukturierte Sicherheitsorganisation die Beantwortung von Kundenfragen, Sicherheitsnachweisen und Auditanforderungen erleichtert. Entscheidend ist nicht das Zertifikat an der Wand, sondern die Frage, ob Leistungen, Prozesse, Verantwortlichkeiten und Kontrollen belastbar dokumentiert und erklärbar sind.
Typische DORA-Lücken bei IKT-Dienstleistern
In der Praxis scheitern viele IKT-Dienstleister nicht an der Technik, sondern an der Nachweisfähigkeit. Genau hier entstehen die größten Reibungen mit Finanzkunden.
Typische Lücken sind:
-
keine saubere Leistungsbeschreibung
-
keine belastbaren Nachweise
-
schwaches Incident-Management
-
unklare Subdienstleisterkette
-
Verträge, die DORA-seitig nicht tragfähig sind
Diese Punkte sind deshalb kritisch, weil Finanzunternehmen unter DORA ihre IKT-Drittparteien nicht nur einkaufen, sondern auch risikoorientiert steuern und überwachen müssen. Was nicht klar beschrieben, nachweisbar oder vertraglich abgesichert ist, wird schnell zum Risiko auf Kundenseite. DORA und die zugehörigen technischen Standards legen genau in diesen Bereichen Wert auf Struktur, Steuerung und Dokumentation.
Was erwarten Finanzkunden jetzt konkret von IKT-Dienstleistern?
Finanzkunden wollen heute nicht mehr nur hören, dass Sie Sicherheit ernst nehmen. Sie wollen nachvollziehen können, wie Sie Sicherheit steuern und welche Risiken aus Ihrer Leistung entstehen.
Typischerweise erwarten Finanzkunden:
-
eine klare Beschreibung Ihrer Leistungen
-
Transparenz über Systeme, Rollen und Verantwortlichkeiten
-
Informationen zu Subdienstleistern und Lieferketten
-
belastbare Nachweise zu Sicherheitsmaßnahmen
-
funktionierende Incident- und Eskalationsprozesse
-
vertragliche Regelungen zu Audit, Sicherheit, Änderungen und Exit
Gerade bei IKT-Services, die kritische oder wichtige Funktionen unterstützen, sind diese Erwartungen nicht optional, sondern direkte Folge der regulatorischen Anforderungen an das Finanzunternehmen.
Was sollten IKT-Dienstleister jetzt konkret tun?
1. Kunden und Leistungen ehrlich prüfen
Analysieren Sie, welche Ihrer Kunden aus dem Finanzsektor kommen oder selbst Leistungen für regulierte Finanzunternehmen erbringen. Prüfen Sie danach, welche Ihrer Services kritisch oder wichtig sein könnten.
2. Leistungsbild schärfen
Viele IT-Dienstleister beschreiben ihre Leistungen zu pauschal. Für DORA-relevante Kunden reicht das nicht. Es muss klar sein, welche Systeme Sie betreiben, welche Abhängigkeiten bestehen, welche Datenbezüge relevant sind und welche Dritten eingebunden sind.
3. Nachweise aufbauen
Logging, Monitoring, Berechtigungssteuerung, Change-Management, Patch-Management, Backup, Wiederherstellung und Incident-Handling müssen nicht nur existieren. Sie müssen auch nachvollziehbar dokumentiert und auf Nachfrage prüfbar sein.
4. Lieferkette erfassen
Wer selbst mit Cloud-Anbietern, Rechenzentren, Security-Dienstleistern oder Softwarelieferanten arbeitet, muss diese Abhängigkeiten sauber dokumentieren und bewerten. Gerade die Untervergabe ist unter DORA kein Randthema.
5. Verträge prüfen
Bestehende Leistungsbeschreibungen, Sicherheitsanhänge und vertragliche Zusagen sind oft nicht auf die Erwartungen DORA-regulierter Kunden ausgelegt. Audit-Rechte, Meldewege, Änderungen, Sicherheitsanforderungen und Exit-Regelungen sollten aktiv geprüft werden.
6. Proaktiv statt reaktiv handeln
Warten Sie nicht, bis der erste Finanzkunde mit einem umfangreichen DORA-Fragebogen oder Vertragsnachtrag auf Sie zukommt. Wer vorbereitet ist, wirkt als Partner. Wer erst unter Druck reagiert, wirkt als Risiko.
Fazit
DORA ist kein Thema, das IKT-Dienstleister einfach aussitzen können. Nicht jeder IT-Dienstleister ist automatisch direkt betroffen. Aber viele geraten über Finanzkunden, kritische Leistungen und Subdienstleisterketten faktisch in den DORA-Wirkungsbereich.
Die eigentliche Frage lautet deshalb nicht:
„Sind wir formal reguliert?“
Die eigentliche Frage lautet:
„Halten unsere Leistungen, Nachweise, Prozesse und Verträge einer DORA-Prüfung durch den Kunden stand?“
Wer diese Frage heute nicht sauber beantworten kann, wird morgen unter Druck reagieren müssen.
Häufige Fragen zu DORA für IKT-Dienstleister
Sind IKT-Dienstleister direkt von DORA betroffen?
Nicht pauschal. Praktisch relevant wird DORA aber schnell, wenn IKT-Dienstleister Finanzunternehmen oder deren kritische oder wichtige Funktionen mit IKT-Services unterstützen.
Wann gelten IKT-Services als kritisch oder wichtig?
Das hängt davon ab, ob der Ausfall der Leistung wesentliche Auswirkungen auf Betrieb, Resilienz oder regulatorische Pflichten des Finanzunternehmens hätte. Die RTS zu IKT-Services supporting critical or important functions setzen genau hier an.
Ist ISO 27001 wegen DORA Pflicht?
Nein. DORA verlangt keine pauschale ISO-27001-Zertifizierung für IKT-Dienstleister.
Welche Unterlagen erwarten Finanzkunden häufig?
Typisch sind Leistungsbeschreibungen, Nachweise zu Sicherheitsmaßnahmen, Informationen zu Subdienstleistern, Incident-Prozesse sowie vertragliche Regelungen zu Audit, Sicherheit, Änderungen und Exit. Diese Erwartung ist eine praxisnahe Ableitung aus DORA und den technischen Standards zu Drittparteien und Untervergabe.
Was sind die häufigsten DORA-Lücken bei IKT-Dienstleistern?
Meist sind es keine saubere Leistungsbeschreibung, fehlende Nachweise, schwaches Incident-Management, unklare Subdienstleisterketten und vertragliche Schwächen.
Jetzt DORA-Relevanz prüfen statt später unter Druck reagieren.
Lesen Sie auch unsere weiteren Beiträge zu Informationssicherheit und NIS2.
