Logo Börse München
Karl im Brahm, Objectway

DORA, Daten, Durchgängigkeit - Eine strukturelle Herausforderung für Finanzinstitute

Seit dem 17. Januar 2025 gilt der Digital Operational Resilience Act (DORA) verbindlich für Finanzinstitute in der EU. Doch erst 2026 wird deutlich, was die Verordnung in der Praxis bedeutet. Nach einem Jahr Aufbauarbeit, Registerpflege und Konzeptschreiben beginnt nun die Phase, in der Aufseher Wirksamkeit erwarten: belastbare Prozesse, getestete Resilienz und echte Transparenz über Abhängigkeiten. Besonders unter Druck geraten Institute mit fragmentierten IT-Landschaften. Warum DORA damit eine strukturelle Herausforderung für Finanzinstitute ist – und integrierte Front-to-Back-Architekturen und modulare Plattformmodelle zum entscheidenden Faktor werden.

Karl im Brahm, Objectway

Die europäische Finanzbranche steht 2026 im ersten vollen Jahr unter DORA-Aufsicht. Zwar ist der Digital Operational Resilience Act bereits seit dem 17. Januar 2025 anwendbar, doch das vergangene Jahr war vielerorts von Orientierung geprägt: Institute haben Register aufgebaut, Richtlinien formuliert, Zuständigkeiten definiert und bestehende Anforderungen konsolidiert. Das war notwendig, aber es war der leichtere Teil. 2026 beginnt die Phase, in der Aufseher nicht mehr nur Strukturen sehen wollen, sondern Belastbarkeit. Damit verschiebt sich der Fokus: weg von der Frage, ob etwas dokumentiert ist, hin zu der Frage, ob es im Ernstfall funktioniert. DORA ist kein Projekt mit Enddatum, sondern ein dauerhaftes Aufsichtsregime mit laufenden Prüf-, Melde- und Testpflichten. Gerade deshalb wird jetzt sichtbar, welche Institute regulatorische Resilienz tatsächlich operationalisiert haben – und welche sich auf formale Compliance verlassen haben.

Fragmentierte IT wird zum regulatorischen Risiko

Inhaltlich ist DORA keine reine IT-Verordnung. Sie adressiert Governance, Risikomanagement, Incident-Handling, Resilienz-Testing und den Umgang mit IKT-Drittanbietern über alle Geschäftsbereiche hinweg. Genau hier trifft sie viele Institute an einer empfindlichen Stelle. In der Praxis sehen wir nach wie vor stark fragmentierte Front-, Middle- und Back-Office-Landschaften. Prozesse sind über mehrere Systeme verteilt, Daten werden redundant gehalten, Verantwortlichkeiten verlaufen entlang historischer Silos. Solange der regulatorische Fokus punktuell war, ließ sich diese Komplexität verwalten. DORA ändert das. Denn Resilienz lässt sich nur dort nachweisen, wo Abhängigkeiten transparent sind. Relevant werden drei Fragen: Welche Systeme sind für kritische Geschäftsprozesse relevant? Wie wirken sich Ausfälle entlang der Prozesskette aus? Welche Drittanbieter sind eingebunden – und wie substituierbar sind sie? Gerade an den Schnittstellen entstehen Risiken. Wo Systeme nicht sauber integriert sind, wird Incident-Analyse schwierig, Testing aufwendig und Steuerung unscharf. Fragmentierung wird damit nicht nur zum Effizienz-, sondern zum aufsichtsrechtlichen Problem.

SaaS und BPaaS bedeuten Resilienz im Betriebsmodell 

DORA macht auch deutlich: Operative Resilienz ist nicht nur eine Frage der Technologie, sondern des Betriebsmodells. Software-as-a-Service (SaaS) und Business-Process-as-a-Service (BPaaS) gewinnen vor diesem Hintergrund an strategischer Relevanz. Insbesondere BPaaS ermöglicht es, Prozesse standardisiert, automatisiert und resilient zu betreiben. Das schafft klare Verantwortlichkeiten, definierte SLAs und eine bessere Steuerbarkeit. Dies gilt jedoch nur, wenn Institute über die gesamte Prozesskette hinweg volle Transparenz und Kontrolle behalten – von Datenflüssen und Sicherheitskontrollen bis hin zu Incident-Management und Exit-Szenarien. In diesem Zusammenhang wird die Fähigkeit, auf vertrauenswürdige Partner mit nachweisbaren Governance- und Kontrollmechanismen zurückzugreifen, entscheidend. DORA entbindet Institute demnach nicht von ihrer Verantwortung, auch wenn kritische Drittanbieter künftig einer strengeren Aufsicht unterliegen. Klar definierte, integrierte Servicemodelle spielen daher eine zentrale Rolle, um Risiken zu bewerten, Kontrolle sicherzustellen und regulatorische Anforderungen konsistent zu erfüllen.

2026 ist der Wendepunkt von formaler Compliance zu gelebter Resilienz

Nach einem Jahr DORA ist klar: Die Verordnung entfaltet ihre Wirkung nicht durch Papier, sondern durch Praxis. 2026 wird zum Jahr, in dem sich entscheidet, welche Institute operative Resilienz tatsächlich beherrschen. DORA zwingt Unternehmen, ihre Architektur- und Betriebsentscheidungen neu zu bewerten. Nicht als regulatorische Pflichtübung, sondern als strategische Grundlage für Stabilität, Skalierung und Wettbewerbsfähigkeit. Front-to-Back-Integration, modulare Architekturen und servicebasierte Modelle sind dabei keine Schlagworte, sondern konkrete Antworten auf eine veränderte Aufsichtspraxis. Wer sie jetzt konsequent umsetzt, wird DORA nicht nur bestehen – sondern gestärkt daraus hervorgehen. 

Karl im Brahm

Karl im Brahm ist DACH-CEO bei Objectway. Seit mehr als 30 Jahren baut Objectway erfolgreiche Partnerschaften mit Banken, Vermögensverwaltern und Asset Managern auf, um deren Geschäft zu stärken und zu skalieren und dabei ein übergeordnetes gesellschaftliches Ziel zu verfolgen: Kapitalerhalt und Verbesserung des finanziellen Wohlergehens ihrer Kunden. Objectway bietet eine führende As-a-Service-Wachstumsplattform für Banken, Vermögens- und Asset-Manager und deren Investoren. Als ein globaler TOP-100-FinTech-Anbieter (IDC FinTech Rankings) verwaltet Objectway über 1 Billion Euro an Vermögenswerten und unterstützt mehr als 100.000 Anlageexperten (Finanzberater, Privatbankiers, Kundenbetreuer) bei der Verwaltung von über 700 Milliarden Euro AUM für mehr als 5 Millionen Anleger. Objectway verfügt über eine globale Organisation mit über 800 Geschäfts- und Technologieexperten, die von Niederlassungen in Italien, Großbritannien, Belgien, Deutschland, der Schweiz, Frankreich, Irland, den Vereinigten Arabischen Emiraten und Kanada aus arbeiten.  
 

Zurück