DORA Compliance 2026: Kritische IKT-Drittanbieter und Systemische Risiken im EU-Finanzsektor

Digitale Technologien durchdringen jede Facette des Finanzsektors. Banken, Versicherer, Zahlungsdienstleister und Investmentfirmen setzen verstärkt auf:

• Cloud-Computing für KI-Anwendungen, Geldwäscheprävention oder Risikomodellierung

• Plattformen für den Zahlungsverkehr

• Kernbanksysteme, die das operative Herz moderner Banken bilden

• Telekommunikations- und Infrastrukturservices, die globale Finanztransaktionen erst ermöglichen

Wie Dr. Sibel Kocatepe von der BaFin im Interview erläutert, ist diese Entwicklung nicht überraschend: Skalierbarkeit, Kostenoptimierung, Innovationsfähigkeit und Sicherheitsaspekte machen externe IKT-Dienste attraktiv. Gleichzeitig eröffnen sie dir Zugang zu Technologien, die du intern nicht wirtschaftlich betreiben könntest – etwa KI oder hoch performante Rechenzentren.

Doch gerade in diesem Bereich hat sich eine starke Marktkonzentration entwickelt: Wenige globale Player bedienen große Teile des europäischen Finanzsystems. Das erhöht die Effizienz – macht den Sektor aber auch verwundbarer.

Trotz aller Vorteile gibt es ein deutliches „Aber“. Einige wenige globale IKT-Unternehmen – darunter große Cloud- und Softwareanbieter – dominieren den Markt. Viele von ihnen haben ihren Sitz außerhalb der Europäischen Union. Das erschwert nicht nur die Durchsetzung europäischer Compliance-Anforderungen, sondern schafft auch gefährliche Abhängigkeiten.

Der Ausfall des Dienstleisters Crowdstrike im Sommer 2024 hat die Verletzlichkeit der digitalisierten Finanzwelt sichtbar gemacht. Zwar blieben die unmittelbaren Auswirkungen auf den Finanzmarkt begrenzt, doch das Ereignis war ein Weckruf: Ein technischer Ausfall oder ein gezielter Cyber-Angriff bei einem systemrelevanten IKT-Dienstleister kann schnell zu einem Dominoeffekt führen, der weit über einzelne Institute hinausreicht.

Jens Obermöller von der BaFin bringt es klar auf den Punkt: Der Finanzmarkt muss künftig mit echten systemischen Schocks, insbesondere durch koordinierte Cyber-Angriffe, rechnen. Und genau deshalb wurde DORA geschaffen.

DORA verfolgt das Ziel, die digitale Widerstandsfähigkeit des europäischen Finanzmarkts ganzheitlich zu stärken. Während früher ausschließlich du als Finanzunternehmen selbst für das Management deiner IKT-Risiken verantwortlich warst, schlägt die Regulierung nun einen neuen Weg ein, dessen Kernpflichten seit Anfang 2025 gelten:

• Erstmals werden kritische IKT-Drittdienstleister (CTPPs) auf europäischer Ebene direkt beaufsichtigt.

• Dieser Paradigmenwechsel ist tiefgreifend: Die Aufsicht wird von einem mikroprudenziellen, unternehmensbezogenen Ansatz zu einer makroprudenziellen, systemweiten Perspektive erweitert.

Im Rahmen von DORA haben die drei Europäischen Aufsichtsbehörden – EBA, ESMA und EIOPA – am 18. November 2025 eine erste Liste kritischer IKT-Drittdienstleister (CTPPs) veröffentlicht. Diese umfasst 19 Unternehmen, darunter:

1. Accenture plc
2. Amazon web Services EMEA Sarl
3. Bloomberg L.P.
4. Capgemini SE
5. Colt Technology Services
6. Deutsche Telekom AG
7. Equinix (EMEA) B.V.
8. Fidelity National Information Services, Inc.
9. Google Cloud EMEA Limited
10. International Business Machine Corporation
11. InterXion HeadQuarters B.V.
12. Kyndryl Inc.
13. LSEG Data and Risk Limited
14. Microsoft Ireland Operations Limited
15. NTT DATA Inc.
16. Oracle Nederland B.V.
17. Orange SA
18. SAP SE
19. Tata Consultancy Services Limited

Diese Anbieter liefern essenzielle Technologien – von Cloud-Services über Software bis hin zu Infrastrukturdienstleistungen. Sie gehören zu den tragenden Säulen des europäischen Finanzökosystems.

Die Presseerklärung vom 18. November 2025 beschreibt detailliert den dreistufigen Prozess, mit dem die ESAs die kritischen Anbieter ausgewählt haben:

1. Dateneinsammlung: Aus den EU-weit geführten Registern zu vertraglichen IKT-Dienstleistungen wurden umfangreiche Informationen zusammengetragen.

2. Kritikalitätsbewertung: In Zusammenarbeit mit nationalen Aufsichtsbehörden prüften die ESAs die Anbieter anhand von DORA-Kriterien, darunter systemische Bedeutung, betroffene kritische oder wichtige Funktionen, Substituierbarkeit und die Reichweite der Abhängigkeiten im Finanzsektor.

3. Anhörung und finale Entscheidung: Die als kritisch eingestuften Anbieter wurden formal benachrichtigt und konnten Stellung nehmen. Erst nach Prüfung aller Erwägungen erfolgte die endgültige Einstufung.

Die Presseerklärung betont: Ziel ist es, Risiken zu erkennen, bevor sie den europäischen Finanzmarkt destabilisieren können.

Mit der CTPP-Liste beginnt der operative Teil der DORA-Aufsicht. Die ESAs richten dafür europaweite Überwachungsteams ein. Diese können:

• umfassende Informationen einfordern

• Vor-Ort-Prüfungen durchführen

• technische Tests anordnen

• Governance- und Risikomanagementstrukturen prüfen

Besonders bemerkenswert ist die Durchsetzbarkeit: Bei mangelnder Kooperation können Strafen bis zu 1 % des weltweiten täglichen Umsatzes pro Tag verhängt werden. Kumulativ können sich diese Strafen innerhalb von 180 Tagen auf signifikante Summen belaufen. Diese Dimension sorgt für die nötige Verbindlichkeit, insbesondere bei global agierenden Big-Tech-Unternehmen.

Auch wenn kritische Anbieter künftig überwacht werden, entbindet das dich als Finanzunternehmen nicht von deiner Verantwortung. Im Gegenteil: DORA erhöht die Anforderungen an das Drittparteienrisikomanagement deutlich, einschließlich der Durchführung anspruchsvoller, alle drei Jahre verpflichtender, bedrohungsorientierter Penetrationstests (TLPT), die eine signifikante organisatorische und finanzielle Belastung darstellen.

DORA verlangt insbesondere:

• Identifikation und Bewertung aller IKT-Risiken

• Management und Überwachung von Auslagerungen

• Reduktion interner Konzentrationsrisiken

• Erarbeitung belastbarer Exit-Strategien

• Stärkung der operativen Resilienz

• Nachweis der Geschäftskontinuität im Ernstfall

Du musst insbesondere prüfen, ob du selbst zu stark von einem einzelnen Dienstleister abhängig bist – unabhängig davon, wie viele andere Institute denselben Anbieter nutzen.

Digitale Resilienz ist nicht nur ein Thema für Banken und Versicherer, sondern betrifft alle digitalisierten Sektoren. Deshalb setzt Europa auf:

• Kooperation zwischen nationalen und europäischen Behörden

• gemeinsame Strategien in internationalen Arbeitsgruppen

• Formate wie das deutsche Digital Cluster Bonn

• Austausch über beste Praktiken und technische Entwicklungen

DORA wird durch diese Vernetzung zu einem zentralen Baustein europäischer digitaler Sicherheitsarchitektur.

Der Finanzmarkt lebt von Innovationen. KI, Cloud, Automatisierung und datengetriebene Geschäftsmodelle schaffen Wettbewerbsfähigkeit. Doch sie bringen Risiken mit sich, die du bewusst und methodisch managen musst.

DORA stellt sicher, dass die Vorteile moderner Technologien genutzt werden können, ohne die Finanzstabilität zu gefährden – ein Balanceakt, der angesichts zunehmender Cyberbedrohungen und globaler Abhängigkeiten wichtiger ist denn je.

Mit DORA wurde ein Meilenstein europäischer Finanzmarktregulierung gesetzt. Die Digitalisierung hat den Sektor leistungsfähiger, vernetzter und innovativer gemacht – aber auch anfälliger. Durch die direkte Überwachung kritischer IKT-Drittdienstleister und strenge Anforderungen an das Drittparteienrisikomanagement sorgt DORA für ein robusteres, widerstandsfähigeres Finanzsystem.

DORA ist nicht nur eine regulatorische Maßnahme, sondern ein struktureller Wandel: von isolierten Maßnahmen hin zu einer systemischen, europaweiten Schutzarchitektur. Damit entsteht ein Finanzökosystem, das Innovation zulässt und gleichzeitig die Stabilität der Märkte schützt – eine Voraussetzung für Vertrauen, Wachstum und langfristige Sicherheit.