BANKINGNEWS: Herr Jörg, welches Zwischenfazit ziehen Sie als Anbieter von IKT-Dienstleistungen nach einem Jahr DORA?
Thomas Jörg: Das Thema ist überall präsent, bei der Umsetzung gibt es aber noch Unterschiede. Größere Finanzunternehmen sind meist schon gut aufgestellt, brauchen allerdings länger für die Anpassung von Prozessen. Kleinere Banken und Finanzdienstleister gehen pragmatischer vor, stoßen aufgrund limitierter Ressourcen jedoch schnell an Grenzen. Die ersten Monate DORA haben auf jeden Fall gezeigt, dass es keine „Universallösung“ gibt, sondern ein großes Bedürfnis nach individuellen Lösungen.
Haben Sie das Gefühl, dass DORA schon „Business as usual“ ist, oder gibt es noch viel Klärungsbedarf?
Ich würde es so sagen: DORA ist erfolgreich gestartet, aber noch lange keine Routine – die Umsetzung befindet sich in den meisten Häusern noch im Projektmodus.
Woran liegt es, dass DORA noch nicht überall im Alltag angekommen ist?
Es muss noch an einigen Stellschrauben gedreht werden, bis sich eine Routine einstellt. Interne Zuständigkeiten zwischen Compliance, IT und Organisation sind oft ungeklärt, es gibt kaum Best Practices und die Einstufung von IKT-Dienstleistern bleibt eine der brennendsten Fragen. Auf der Habenseite steht aber, dass es ein stärkeres Bewusstsein für die digitale Resilienz in der Finanzbranche gibt. Dazu hat nicht zuletzt unsere Aufklärungsarbeit, vor allem auch auf Vorstandsebene, beigetragen.
Warum ist die Einstufung von IKT-Dienstleistern so ein komplexes Thema?
Viele sind überrascht von der Tiefe und dem Detailgrad bei der Bewertung von IKT-Dienstleistern und Subdienstleistern. Es herrscht auch Unklarheit darüber, welche Nachweise das Finanzunternehmen verlangen darf oder muss – und vor allem, wie die Einstufung in kritische oder unkritische Dienstleister genau erfolgt. Das ist nicht trivial: Eine falsche Einstufung kann entweder zu überhöhten Anforderungen oder im anderen Fall zu riskanten Lücken führen.
„Die DORA-Konformität ist aktuell ein Zielbild, kein Status quo.“
Wie unterstützen Sie Finanzunternehmen bei der Einstufung?
Wir können schon in einem frühen Stadium bei der Definition behilflich sein: Wann unterstützt die IKT-Dienstleistung kritische und existenziell wichtige Funktionen, und wann unkritische? Welche Konsequenzen hat diese Einstufung und welche Dokumentationspflichten gibt es dafür? Nicht zuletzt geben wir auch Hilfestellung bei der Vertragsgestaltung.
Welche Veränderungen bringt DORA für Sie als IKT-Dienstleister?
Das Bewusstsein dafür, dass IKT-Services ein zentraler Bestandteil der Resilienz sind, ist erheblich gewachsen. Wir erhalten deutlich mehr Anfragen nach Dokumentationen, Zertifikaten und Sicherheitsnachweisen. Dafür haben wir Nachweispakete entwickelt, um Anfragen in Bezug auf die DORA-Konformität zentral und effizient beantworten zu können – das schafft Vertrauen.
Das heißt, Ihre Dienstleistungen haben sich erweitert?
Ja, neben unserer Expertise für technische Lösungen werden wir zunehmend zum Prozessbegleiter mit beratender Funktion. Das bedeutet, die Zusammenarbeit wird noch partnerschaftlicher. Dabei kommt uns natürlich die lange Erfahrung im Finanzsektor zugute, insbesondere im Bereich MaRisk und BAIT. Dieses Wissen erleichtert uns die Übersetzung der DORA-Anforderungen in die tägliche Praxis von Finanzunternehmen.
Mussten Sie auch interne Strukturen verändern, um den neuen Ansprüchen gerecht zu werden?
Formal haben wir einiges verändert, zum Beispiel unsere Vertragsmuster proaktiv an die DORA-Mindestanforderungen angepasst, um Rechtssicherheit zu gewährleisten. Was aber viel wichtiger ist: Schon am Jahresanfang haben wir ein interdisziplinäres DORA-Kompetenzteam mit Experten aus IT-Sicherheit, Compliance, Recht und Vertrieb etabliert. So können wir Finanzunternehmen ganzheitlich durch die neue DORA-Landschaft begleiten.
Würden Sie sagen, dass bereits die Mehrzahl der Finanzunternehmen in Deutschland DORA-konform arbeitet?
Das wäre aktuell zu viel verlangt. Gerade die komplexeren Themen innerhalb von DORA brauchen noch Zeit. Wichtig ist dabei auch das grundsätzliche Verständnis: DORA ist kein einmaliges Projekt, sondern ein dauerhafter Prozess mit laufenden Anpassungen.
Daniel Fernandez ist seit 2025 Chefredakteur der BANKINGNEWS. Seine journalistische Laufbahn begann er 2017 in der Redaktion als Volontär. Er studierte English Studies an der Universität Bonn (B.A. 2016) und vertiefte seine akademische Ausbildung mit einem Master in English Literatures and Cultures, den er ebenfalls in Bonn abschloss. Erste redaktionelle Erfahrungen sammelte er parallel zum Studium als freier Werbetexter.
Thomas Jörg ist Branchenmanager Banken bei Bosch Building Technologies. Er kennt die Anforderungen von Finanzunternehmen aus der täglichen Praxis und betreut unter anderem Sparkassen, Volksbanken und Privatbanken.