DORA für IKT-Dienstleister: Drittparteienrisiko und Incident-Reporting
Seit Januar 2025 gilt DORA im Finanzsektor, mit Folgen für jeden Zulieferer. Was Auslagerungsregister, Meldeketten und die ersten kritischen Einstufungen bedeuten.
DORA, der Digital Operational Resilience Act (Verordnung (EU) 2022/2554), gilt seit dem 17. Januar 2025 für den europäischen Finanzsektor. Seit dem 19. November 2025 ist die Aufsicht konkret geworden: Die europäischen Aufsichtsbehörden EBA, EIOPA und ESMA haben die erste offizielle Liste von 19 als kritisch eingestuften IKT-Drittdienstleistern veröffentlicht, darunter AWS, Google Cloud, Microsoft, Oracle, SAP, IBM und die Deutsche Telekom. Die Liste wird jährlich fortgeschrieben.
Die naheliegende Reaktion vieler IT-Dienstleister lautet: betrifft mich nicht, ich bin keine Bank. Das ist ein Trugschluss. DORA wandert über die Lieferkette.
Warum die Verordnung jeden Zulieferer erreicht
Finanzunternehmen tragen das Risiko ihrer IKT-Auslagerungen selbst und müssen es nachweisbar steuern. Bis zum 30. April 2025 mussten sie ihr Informationsregister melden, ein vollständiges Verzeichnis aller vertraglichen Vereinbarungen mit IKT-Drittdienstleistern. Damit ist jede Auslagerung für die Aufsicht sichtbar, auch die zu nicht kritischen Anbietern.
Was das Finanzunternehmen an Pflichten trägt, reicht es vertraglich an seine Dienstleister weiter. In der Praxis verlangen Finanzkunden inzwischen:
- DORA-konforme Vertragsklauseln mit klaren Leistungs-, Sicherheits- und Beendigungsregelungen.
- Audit- und Zugangsrechte, damit Kunde und Aufsicht prüfen können.
- Transparenz über Sub-Auslagerung, also wer hinter dem Dienstleister noch beteiligt ist.
- Meldeketten bei Vorfällen, schnell genug, damit der Finanzkunde seine eigenen Fristen hält.
- Exit- und Kontinuitätspläne sowie Nachweise aus Resilienz-Tests.
Incident-Reporting ist eine Kette, kein Formular
DORA verlangt für schwerwiegende IKT-Vorfälle eine gestufte Meldung: eine Erstmeldung binnen weniger Stunden nach Einstufung, einen Zwischenbericht und einen Abschlussbericht binnen eines Monats. Für Zulieferer heißt das: Der Vorfall muss nicht nur intern erkannt, sondern der Finanzkunde so rechtzeitig informiert werden, dass dieser seine regulatorische Uhr einhalten kann. Wer hier zu spät oder zu vage meldet, gefährdet die Compliance des Kunden und damit die eigene Geschäftsbeziehung.
Kritisch eingestuft heißt direkte Aufsicht
Wer als kritischer IKT-Drittdienstleister benannt wird, untersteht der direkten Aufsicht eines federführenden Overseers auf EU-Ebene. Da die Liste jährlich aktualisiert wird, ist die Einstufung kein statischer Zustand: Wer heute nicht gelistet ist, kann es mit wachsender Bedeutung im Finanzsektor werden.
Was jetzt sinnvoll ist
Für IKT-Dienstleister mit Finanzkunden lohnt sich, die eigenen Verträge auf DORA-Klauseln zu prüfen, die Sub-Auslagerung sauber zu dokumentieren und die Vorfallmeldung so zu proben, dass die Kette bis zum Finanzkunden in Stunden trägt. In unserem Modul Datargo Monitor greifen Monitoring, Incident-Engine und ein append-only Audit-Trail so ineinander, dass sich die Nachweise für solche Meldeketten erzeugen lassen. Der eigentliche Punkt ist aber unabhängig vom Werkzeug, nämlich die eigene Resilienz so zu dokumentieren, dass der Finanzkunde sich darauf verlassen kann.
DORA ist kein reines Bankenthema. Es ist die Anforderung, die Ihre Finanzkunden ab sofort an Sie weiterreichen.