Die Digitalisierung hat den Finanzsektor revolutioniert – aber sie bringt auch neue Risiken. Mit dem Digital Operational Resilience Act (DORA) reagiert die EU auf diese Herausforderungen. Rechtsanwalt Daniel Blazek, Experte für IT-Recht und Regulierung, erläutert im Interview die rechtlichen Folgen, die Rolle der Aufsicht und was Finanzunternehmen jetzt tun müssen.
Herr Blazek, warum ist DORA aus juristischer Sicht ein so bedeutendes Regelwerk?
Blazek: DORA ist aus mehreren Gründen ein echter Meilenstein. Zum einen stärkt es die digitale Widerstandsfähigkeit des europäischen Finanzsektors durch einen einheitlichen Rechtsrahmen, der für Banken, Versicherer, Zahlungsdienstleister und viele andere Akteure gilt. Zum anderen bringt es etwas mit, das wir in dieser Form bisher nicht kannten: eine direkte Regulierung und Beaufsichtigung kritischer IT-Dienstleister durch europäische Aufsichtsbehörden – selbst wenn diese Dienstleister außerhalb der EU sitzen.
Welche konkrete Lücke schließt DORA aus Ihrer Sicht?
Blazek: Bislang war es in erster Linie Aufgabe der Finanzunternehmen, die Risiken im Umgang mit Drittanbietern zu bewerten und zu steuern – etwa durch interne Kontrollsysteme oder Vertragsklauseln. DORA ergänzt diesen Mikroansatz um eine makroprudenzielle Perspektive: Wenn ein IT-Dienstleister systemrelevant wird – also viele Unternehmen in kritischen Bereichen von ihm abhängig sind –, dann betrifft ein Ausfall nicht mehr nur einzelne Institute, sondern das gesamte Finanzsystem. Und genau hier greift DORA ein: Die Regulierung springt direkt zum IT-Dienstleister über.
Was bedeutet das konkret für diese Dienstleister?
Blazek: Kritische IKT-Drittdienstleister, wie große Cloud- oder Softwareanbieter, werden künftig von EU-Behörden unmittelbar überwacht – inklusive Vor-Ort-Prüfungen, Berichtspflichten und Bußgeldandrohungen. Bei mangelnder Kooperation können Zwangsgelder von bis zu einem Prozent des weltweiten Tagesumsatzes pro Tag verhängt werden – das kann bei einem globalen Konzern schnell in den dreistelligen Millionenbereich gehen.
Das ist ein echter Paradigmenwechsel in der Aufsicht: Bisher war der Dienstleister ein Vertragspartner, jetzt ist er auch ein regulierter Akteur.
Welche Konsequenzen hat DORA für die Finanzunternehmen selbst?
Blazek: Auch wenn die Aufsicht nun zusätzlich beim Dienstleister ansetzt, bleibt die Verantwortung der Finanzunternehmen bestehen – das ist ein wichtiger Punkt. Sie müssen ihr eigenes Drittparteien-Risikomanagement anpassen, Vertragsverhältnisse überprüfen, Exit-Strategien erarbeiten und im Ernstfall auch überlegen, ob eine Abhängigkeit vertretbar ist.
Besonders heikel wird es dort, wo keine realistische Ausweichmöglichkeit besteht. DORA verlangt, dass selbst in solchen Fällen Strategien entwickelt werden, um Risiken zu minimieren – etwa durch technische Redundanz, Datenportabilität oder zusätzliche Sicherheitsvorkehrungen.
Wie realistisch ist diese Risikoabschätzung angesichts der hohen Konzentration bei IT-Dienstleistern?
Blazek: Das ist eine der zentralen Herausforderungen. Viele Finanzunternehmen haben es mit einer Oligopol-Struktur auf dem Markt zu tun: drei oder vier große Anbieter teilen sich den Cloud- oder KI-Sektor. Ein Wechsel ist oft teuer, technisch komplex und rechtlich kaum durchsetzbar – vor allem bei langlaufenden Verträgen. Trotzdem verlangt DORA genau das: eine bewusste Auseinandersetzung mit dieser Lock-in-Problematik und, wo möglich, Strategien zur Risikoreduzierung.
Sie sprachen vom Reputationsrisiko für Dienstleister – können Sie das konkretisieren?
Blazek: Neben Bußgeldern sieht DORA auch eine „Naming-and-Shaming-Komponente“ vor: Kommt ein kritischer Dienstleister den Anforderungen nicht nach, können die europäischen Aufsichtsbehörden das öffentlich machen. Gerade für globale Anbieter, die auf Vertrauen und Verlässlichkeit angewiesen sind, ist das eine empfindliche Maßnahme – ein Reputationsschaden kann geschäftlich weitreichender sein als ein Bußgeld.
Welche neuen Akteure und Prozesse bringt DORA mit sich?
Blazek: Zentral ist die Europäische Aufsichtsdrehscheibe, also das Zusammenspiel von EBA, ESMA und EIOPA. Diese Behörden führen gemeinsam mit den nationalen Aufsichtsbehörden sogenannte Joint Oversight Teams, die kritische Dienstleister kontrollieren. Auch die BaFin ist in diese Teams eingebunden.
Die Zusammenarbeit soll für eine effiziente Ressourcennutzung und einheitliche Maßstäbe sorgen. Aus juristischer Sicht spannend ist, dass DORA dadurch transnationale Prüfungs- und Eingriffsrechte schafft – also eine Art europäisches IT-Aufsichtsregime, das über Staatsgrenzen hinaus wirksam wird.
Welche praktischen Schritte empfehlen Sie Ihren Mandanten im Finanzsektor aktuell?
Blazek: Zunächst einmal: DORA tritt am 17. Januar 2025 in Kraft – das klingt weit weg, ist es aber nicht. Wer heute noch nicht mit der Gap-Analyse begonnen hat, ist spät dran. Ich empfehle:
-
Vertragsprüfung: Gibt es Sonderkündigungsrechte, Exit-Strategien, Portabilitätsregelungen?
-
Risikobewertung: Welche Dienstleister sind kritisch für den Geschäftsbetrieb?
-
Notfallpläne: Gibt es belastbare Business-Continuity-Szenarien?
-
Kommunikation: Wer ist intern und extern verantwortlich für IKT-Risiken?
DORA ist kein Compliance-Papier für die Schublade – es erfordert organisatorische, technische und strategische Antworten.
Zum Abschluss: Wird DORA den Finanzsektor sicherer machen?
Blazek: Ich denke: Ja, aber nicht allein durch Regulierung. DORA ist ein Instrument – kein Schutzschild. Entscheidend ist, wie ernst die Marktteilnehmer es nehmen. Wer DORA als Chance begreift, um seine IT-Strukturen zukunftssicher aufzustellen, wird davon profitieren. Wer es als Pflichtübung abtut, könnte im nächsten Cyber-Vorfall ein böses Erwachen erleben.
Herr Blazek, vielen Dank für das Gespräch.
Kommentar hinterlassen