Dossiers · A.1
DORA & operationelle Resilienz
Wie der Digital Operational Resilience Act das IKT-Risiko im Finanzsektor neu ordnet — und erstmals Hyperscaler unter direkte EU-Aufsicht stellt.
Leitfragen
- Was ändert direkte EU-Aufsicht über Hyperscaler faktisch?
- Wie gehen Banken mit dem Konzentrationsrisiko in der Cloud um?
Worum geht es
Der Digital Operational Resilience Act (DORA) ist seit dem 17. Januar 2025 anwendbar und schafft erstmals einen einheitlichen, sektorweiten Rahmen für die digitale operationelle Resilienz von Banken, Versicherern und Wertpapierfirmen. Kern sind fünf Bausteine: IKT-Risikomanagement, Meldung schwerwiegender IKT-Vorfälle, Resilienztests (bis hin zu bedrohungsgeleiteten Penetrationstests, TLPT), das Management von IKT-Drittparteienrisiken und ein vollständiges Informationsregister aller IKT-Dienstleistungen.
Die eigentliche Neuerung liegt im letzten Punkt: Kritische IKT-Drittdienstleister (CTPP) — allen voran die großen Cloud-Anbieter — unterliegen nun einem gemeinsamen Oversight der europäischen Aufsichtsbehörden.
Warum ist es relevant
Banken haben zentrale Systeme über Jahre in die Cloud verlagert. DORA macht die damit verbundene Abhängigkeit zum expliziten Aufsichtsthema und adressiert das Konzentrationsrisiko: Wenn ein großer Teil des Sektors auf denselben wenigen Anbietern läuft, wird deren Ausfall zur systemischen Frage. Für Institute bedeutet das konkrete Pflichten — vom Vertragswerk über Exit-Szenarien bis zur Datenqualität im Informationsregister.
Aktueller Stand
Im November 2025 wurde die erste CTPP-Liste mit 19 Anbietern veröffentlicht, darunter AWS, Microsoft, Google, IBM, SAP und Oracle. Das Joint Oversight Forum und die jeweiligen Lead Overseer (EBA, ESMA, EIOPA) nehmen ihre Arbeit auf. 2026 steht die zweite Einreichung der Informationsregister an; die EBA gibt Feedback zur Datenqualität und dringt auf belastbare Substituierbarkeits- und Exit-Szenarien.
Offen bleibt die praktische Wirkung: Wie viel Steuerung entfaltet ein Oversight, der die Hyperscaler nicht lizenziert, sondern beaufsichtigt? Dieser Frage geht das Dossier in den kommenden Journal-Posts nach.
Quellen
Wichtige Termine
- DORA anwendbar wirksam
- DORA: erste CTPP-Liste wirksam
- Cyber Resilience Act: Meldepflichten anstehend
- Cyber Resilience Act: Hauptpflichten anstehend
Verknüpfte Journal-Posts
Änderungshistorie
- Erstveröffentlichung mit Woche 1: Tiefenanalyse zum Oversight (Mechanik Art. 31–44, ESA-Zuständigkeit, dreistufige Aufsicht Forum/JON/JET); Glossar-Begriff JON ergänzt.