DORA fordert alle – kleine Banken besonders
16. Juli 2025
Die neue Regulierung verlangt nicht nur technologische Umstellungen, sondern auch organisatorische Veränderungen, die viele kleinere Banken fundamental fordern.
Da kleinere Institute relativ viele Elemente des Geschäftsbetriebs auslagern, besteht das Risiko, nicht ausreichend notwendiges IT-Know-how und Kapazitäten intern vorhalten zu können – man verlässt sich möglicherweise zu stark auf die externen IT-Expert:innen. Dies greift der Digital Operational Resilience Act in seinen Vorgaben explizit auf. „Die Aufsicht verbietet das umfangreiche Auslagern auch in Zukunft nicht“, erklärt Frank Mehlhorn, Experte u. a. für Auslagerungsmanagement von Banken. „Aber sie verlangt mit DORA künftig deutlich expliziter, dass intern das notwendige Know-how vorhanden ist, um mögliche Risiken einzuschätzen.“
Da kleinere Institute relativ viele Elemente des Geschäftsbetriebs auslagern, besteht das Risiko, nicht ausreichend notwendiges IT-Know-how und Kapazitäten intern vorhalten zu können – man verlässt sich möglicherweise zu stark auf die externen IT-Expert:innen. Dies greift der Digital Operational Resilience Act in seinen Vorgaben explizit auf. „Die Aufsicht verbietet das umfangreiche Auslagern auch in Zukunft nicht“, erklärt Frank Mehlhorn, Experte u. a. für Auslagerungsmanagement von Banken. „Aber sie verlangt mit DORA künftig deutlich expliziter, dass intern das notwendige Know-how vorhanden ist, um mögliche Risiken einzuschätzen.“
Für kleinere Banken kann die Regulierung deshalb einen umfassenderen Change als für große Banken bedeuten. Mehlhorn: „Sie bewegen sich in einem vergleichsweise großen Netzwerk von externen Expert:innen, während große Institute Ressourcen leichter allokieren können, um den Geschäftsbetrieb intern zu managen.“ Zwar sieht der Experte in der Anfälligkeit für zum Beispiel Cyberangriffe oder Betriebsausfälle bei kleinen Banken keine größeren Risiken. Um künftigen Anforderungen gerecht zu werden, ist der Aufwand aber ungleich höher – nicht zuletzt auch durch die weiter zunehmenden technologischen Entwicklungen wie Clouddienste oder Künstliche Intelligenz.
Digitale Prozesse statt Excel-Sheet
Neben dem Nachweis, dass intern das Wissen um IT-Risiken vorhanden ist und Mitarbeitende entsprechend geschult werden, müssen auch Strukturen und Prozesse umgestaltet, z. T. komplett neu definiert werden. Mehlhorn: „Was bislang mittels eines Excel-Sheets möglich war, braucht künftig digitale Prozessabläufe.“ Diese sollten wiederum durch Tools unterstützt werden, die der Einhaltung der DORA-Anforderungen Rechnung tragen. Zum Beispiel Prioritätenlisten, die aufzeigen, welche Auswirkungen auf das Geschäftsmodell bestimmte Ausfälle haben können und welche Maßnahmen zu ergreifen sind. „Die Institute müssen klar benennen, was für sie kritische Infrastruktur ist. Das ist von Bank zu Bank unterschiedlich.“
Mehlhorn weiß von Banken, die ihre Ressourcen bereits deutlich angepasst und ihre verantwortlichen Abteilungen, die sich um Drittparteienmanagement und Auslagerungen kümmern, personell verdoppelt haben: „Unsere Befragungen zeigen, dass der Mehraufwand bei mindestens 20 Prozent liegt.“ Neben dem Aufwand, der jetzt notwendig ist, um sich „DORA-fit“ zu machen, wird die Regulierung künftig aber auch im laufenden Geschäftsbetrieb mehr Zeit, Personal und Kosten in Anspruch nehmen.
Inhouse oder auslagern?
Sollten kleinere Institute deshalb künftig wieder mehr inhouse managen, statt auszulagern? Frank Mehlhorn hält das nicht für den richtigen Weg. „Ich empfehle solchen Instituten, sich auf wenige, aber große, professionelle Anbieter zu fokussieren.“ Wichtig sei vor allem, das Know-how zu den IT-Risiken im Haus zu haben. Und das gelte sowohl für die entsprechenden Abteilungen als auch für die Aufsichtsgremien. Die Regulierer werden hier sehr genau hinsehen. Mehlhorn: „Kleinere Banken sollten DORA nutzen, um ein Radar zu entwickeln, das die Regelungen zum Drittparteienmanagement in ein gesundes Verhältnis zum eigenen Geschäftsmodell setzt. Es ist ein holistischer Blick erforderlich und betrifft die Markteinheiten genauso wie den Einkauf, die IT und das Risikomanagement.“
Für kleinere Banken kann die Regulierung deshalb einen umfassenderen Change als für große Banken bedeuten. Mehlhorn: „Sie bewegen sich in einem vergleichsweise großen Netzwerk von externen Expert:innen, während große Institute Ressourcen leichter allokieren können, um den Geschäftsbetrieb intern zu managen.“ Zwar sieht der Experte in der Anfälligkeit für zum Beispiel Cyberangriffe oder Betriebsausfälle bei kleinen Banken keine größeren Risiken. Um künftigen Anforderungen gerecht zu werden, ist der Aufwand aber ungleich höher – nicht zuletzt auch durch die weiter zunehmenden technologischen Entwicklungen wie Clouddienste oder Künstliche Intelligenz.
Digitale Prozesse statt Excel-Sheet
Neben dem Nachweis, dass intern das Wissen um IT-Risiken vorhanden ist und Mitarbeitende entsprechend geschult werden, müssen auch Strukturen und Prozesse umgestaltet, z. T. komplett neu definiert werden. Mehlhorn: „Was bislang mittels eines Excel-Sheets möglich war, braucht künftig digitale Prozessabläufe.“ Diese sollten wiederum durch Tools unterstützt werden, die der Einhaltung der DORA-Anforderungen Rechnung tragen. Zum Beispiel Prioritätenlisten, die aufzeigen, welche Auswirkungen auf das Geschäftsmodell bestimmte Ausfälle haben können und welche Maßnahmen zu ergreifen sind. „Die Institute müssen klar benennen, was für sie kritische Infrastruktur ist. Das ist von Bank zu Bank unterschiedlich.“
Mehlhorn weiß von Banken, die ihre Ressourcen bereits deutlich angepasst und ihre verantwortlichen Abteilungen, die sich um Drittparteienmanagement und Auslagerungen kümmern, personell verdoppelt haben: „Unsere Befragungen zeigen, dass der Mehraufwand bei mindestens 20 Prozent liegt.“ Neben dem Aufwand, der jetzt notwendig ist, um sich „DORA-fit“ zu machen, wird die Regulierung künftig aber auch im laufenden Geschäftsbetrieb mehr Zeit, Personal und Kosten in Anspruch nehmen.
Inhouse oder auslagern?
Sollten kleinere Institute deshalb künftig wieder mehr inhouse managen, statt auszulagern? Frank Mehlhorn hält das nicht für den richtigen Weg. „Ich empfehle solchen Instituten, sich auf wenige, aber große, professionelle Anbieter zu fokussieren.“ Wichtig sei vor allem, das Know-how zu den IT-Risiken im Haus zu haben. Und das gelte sowohl für die entsprechenden Abteilungen als auch für die Aufsichtsgremien. Die Regulierer werden hier sehr genau hinsehen. Mehlhorn: „Kleinere Banken sollten DORA nutzen, um ein Radar zu entwickeln, das die Regelungen zum Drittparteienmanagement in ein gesundes Verhältnis zum eigenen Geschäftsmodell setzt. Es ist ein holistischer Blick erforderlich und betrifft die Markteinheiten genauso wie den Einkauf, die IT und das Risikomanagement.“
Zur Person
Frank Mehlhorn
ist seit 2024 als Berater für Banken und Asset Manager tätig. Er betreut die Themen Outsourcing sowie Operational Risk und Operational Resilience. Zudem verbindet Herr Mehlhorn aufsichtliche und regulatorische Aspekte der Digitalisierung, die sich speziell an Unternehmen der Financial Service Branche richten. Dies betrifft unter anderem Fragestellungen im Kontext bankaufsichtlicher Anforderungen an die Nutzung von Cloud-Technologien oder der Künstlichen Intelligenz. Seine vorherigen beruflichen Stationen führten ihn zur Commerzbank AG, IBM, PwC und dem Bundesverband deutscher Banken e.V.
Was Sie auch interessieren könnte?
Podcastfolge: Resilienz unter DORA
Testen digitaler operationaler Resilienz unter DORA: Unternehmen des Finanzsektors müssen ein DOR-Testprogramm etablieren. Worauf Sie dabei achten sollten, welche grundlegenden Tests dazugehören und wann man sie auslagern sollte, darüber sprechen wir mit Alexandros Manakos, Cyber Security-Experte und Geschäftsführer von Apollon Security.
Podcastfolge: Anwendungsbeginn DORA
Anwendungsbeginn DORA: Wie weit ist die Finanzbranche? Seit dem 17. Januar 2025 ist DORA anzuwenden. Doch wie ist der Umsetzungsstand im Finanzsektor und welche Herausforderungen gab und gibt es möglicherweise immer noch?
Magazin: Expertenrat: Jetzt mitgestalten!
Ende 2026 startet die EUDI-Wallet. Noch wird an den Feinheiten getüftelt. In den großen Pilotprojekten (LSP) steht nun auch die Umsetzung von Payment-Funktionen im Arbeitsprogramm. Höchste Zeit, Position zu beziehen. Was raten Experten nun Banken?
Mehr erfahren
Entdecken Sie weitere Facetten des Bank-Verlags
Unser Magazin & Newsletter BV connect
Sie wollen erfahren, was gerade in der Finanzbranche diskutiert wird? In unserem Magazin finden Sie Hintergründe, Interviews, Podcasts und aktuelle Fachveranstaltungen.
Unser Podcast: BV durch die bank
Der Podcast zur Digitalisierung der Finanzbranche. Wir gehen hinter die Buzzwords und bitten Experten zum Gespräch. Entdecken Sie unsere Podcastfolgen.
Akademie
Die aktuellen Herausforderungen der Finanzbranche sind spannend und chancenreich. Erhalten Sie wertvolle Wissens-Upgrades und inspirierende Angebote, die Sie professionell weiterbringen.