Ein Jahr nach Inkrafttreten der EU-Regulierung DORA vereinbaren europäische und britische Aufseher eine wegweisende Kooperation zur Überwachung kritischer Technologieanbieter.
Die EU-Regulierung DORA wird ein Jahr alt – und zwingt Banken zum digitalen Stresstest. Kurz vor dem Jahrestag vereinbaren europäische und britische Aufseher eine wegweisende Kooperation.
Brüssel, 16. Januar 2026 – Ein Jahr nach dem Start des europäischen Digital Resilience Act (DORA) steht die Finanzbranche vor einer entscheidenden Bewährungsprobe. In einer überraschenden, erst 48 Stunden alten Entwicklung haben EU- und UK-Aufseher ein neues grenzüberschreitendes Bündnis zur Überwachung kritischer Technologieanbieter besiegelt. Dieser Schritt markiert einen Meilenstein für die globale Finanzstabilität in einer zunehmend vernetzten digitalen Welt.
Historisches Abkommen schließt regulatorische Lücke
Kurz vor dem ersten Jahrestag von DORA unterzeichneten die drei Europäischen Aufsichtsbehörden (EBA, EIOPA, ESMA) am 14. Januar ein Memorandum of Understanding mit der Bank of England und der britischen Finanzaufsicht FCA. Dieses Abkommen schafft einen formalen Rahmen für die Zusammenarbeit bei der Überwachung kritischer Drittanbieter von ICT-Dienstleistungen.
Anzeige
Viele Institute stehen beim Thema digitale Resilienz noch auf verlorenem Posten – DORA fordert umfassende Kontrolle über Drittanbieter, und die Cloud‑Ausfälle 2025 haben gezeigt, wie schnell Zahlungsabwicklung und Handelsplattformen lahmgelegt werden können. Der kostenlose E‑Book-Report “Cyber Security Awareness Trends” erklärt praxisnah, wie Sie Drittanbieter‑Risiken, Anti‑Phishing-Maßnahmen und Threat‑Led Penetration Testing (TLPT) operationalisieren und Compliance‑Pflichten erfüllen. Jetzt Cyber‑Security‑Guide für Finanzinstitute herunterladen
Analysten bewerten diesen Pakt als entscheidend für die Stabilität im post-Brexit-Finanzraum. Denn Datenströme und Technologieabhängigkeiten machen an nationalen Grenzen nicht halt. Die Vereinbarung ermöglicht den Austausch von Informationen und regulatorische Koordination bei Cloud-Dienstleistern und Datenanalysefirmen, die Finanzinstitute in beiden Rechtsräumen bedienen. Damit werden konkrete Bedenken aus dem Jahr 2025 adressiert, die vor „regulatorischen Blindstellen“ zwischen den jeweiligen Widerstandsfähigkeits-Regimen warnten.
Ein Jahr DORA: Die Bilanz fällt durchwachsen aus
Seit dem 17. Januar 2025 hat die Finanzbranche einen rigorosen Stresstest ihrer internen Prozesse durchlaufen. The Reaktionen unter Sicherheits- und Governance-Verantwortlichen bleiben jedoch gemischt. Späte Berichte aus 2025 zeigen: Während einige Institute die neuen Standards erfolgreich integriert haben, kämpfen andere noch immer mit der Umsetzung der umfassenden Anforderungen.
Vollständige Compliance scheint ein moving target zu bleiben. Forschungen Ende 2025 deuteten an, dass etwa 38 Prozent der Finanzfirmen das Jahr 2026 als Ziel für volle Konformität anpeilen. Die Notwendigkeit der Maßnahmen wurde in der Vergangenheit jedoch deutlich: Cloud-Ausfälle im Oktober und Dezember 2025 – die große Plattformen wie AWS und Azure betrafen – dienten als realer Stresstest für die neuen Widerstandsfähigkeitsprotokolle der Branche. Diese Vorfälle, die Zahlungsabwickler und Handelsplattformen trafen, unterstreichen die Kernprämisse der Verordnung: Finanzinstitute müssen für die Resilienz ihrer Drittanbieter verantwortlich sein.
Die nächste Hürde: Das Register der Informationen
Für Banken im zweiten DORA-Jahr rückt nun eine unmittelbare Herausforderung in den Fokus: die anstehenden Meldetermine. Finanzinstitute bereiten sich derzeit auf die erste große Einreichung ihrer Register of Information (RoI) bei den zuständigen Behörden vor, die für das erste Quartal 2026 geplant ist.
Diese Meldepflicht zwingt Banken dazu, ihre gesamte ICT-Lieferkette abzubilden – eine Aufgabe, die sich als komplexer erwiesen hat als erwartet. Experten betonen, dass viele Institute über eine spreadsheet-basierte Nachverfolgung hinauskommen müssen, hin zu den strukturierten, datenzentrierten Berichtsformaten der Aufseher. Das RoI ist keine bloße Bürokratieübung; es liefert den ESAs die Daten, um zu bestimmen, welche Drittanbieter für das EU-Finanzsystem als „kritisch“ gelten. Diese Einstufung löst eine direkte EU-Aufsicht aus. Nationale Behörden in Mitgliedstaaten, darunter die Niederlande und Malta, haben ihre Einreichungsfristen mit dem ESA-Termin im März 2026 abgestimmt – was für Compliance-Teams europaweit eine Hochdruckphase schafft.
Ausblick: Der regulatorische Radius könnte sich erweitern
Die regulatorische Landschaft wird sich voraussichtlich weiter entwickeln. Bis zum 17. Januar 2026 wird die Europäische Kommission einen Bericht im Rahmen der „Artikel-58-Überprüfung“ vorlegen. Diese prüft, ob der Anwendungsbereich von DORA ausgeweitet werden sollte. Ein zentraler Punkt ist die mögliche Einbeziehung von gesetzlichen Prüfern und Wirtschaftsprüfungsgesellschaften in den DORA-Rahmen – ein Schritt, der die Netze der digitalen Betriebsresilienz-Anforderungen erheblich erweitern würde.
Gleichzeitig verlagert sich der Fokus nationaler Aufseher von der Implementierungsunterstützung hin zur aktiven Aufsicht. Branchenbeobachter rechnen damit, dass Aufsichtsprüfungen und „threat-led penetration testing“ (TLPT) Mitte 2026 deutlich zunehmen werden. Mit dem Auslaufen der anfänglichen Implementierungsphase sollten Finanzinstitute einen durchsetzungsstärkeren Ansatz erwarten. Die Aufseher wollen sicherstellen, dass die im vergangenen Jahr aufgebauten digitalen Sicherheitsnetze den Realitäten einer zunehmend volatilen Cyber-Bedrohungslage standhalten können.
Anzeige
PS: Wenn Sie die anstehenden RoI‑Meldungen und verschärften Aufsichtsprüfungen ernst nehmen, lohnt sich ein pragmatischer Schutzplan. Das Gratis‑E‑Book “Cyber Security Awareness Trends” liefert checkbare Schritte für Awareness‑Programme, Anti‑Phishing‑Strategien, Drittanbieter‑Governance und praktische Hinweise, wie Sie interne Prozesse so dokumentieren, dass sie Prüfungen standhalten. Ideal für Compliance‑ und IT‑Verantwortliche in Banken, die DORA‑Pflichten konkret umsetzen müssen. Gratis E‑Book ‘Cyber Security Awareness Trends’ sichern