Mit DORA gegen systemische Risiken: Wie Europa seine digitale Finanzstabilität stärkt

Digitale Technologien durchdringen jede Facette des Finanzsektors. Banken, Versicherer, Zahlungsdienstleister und Investmentfirmen setzen verstärkt auf:

• Cloud-Computing für KI-Anwendungen, Geldwäscheprävention oder Risikomodellierung

• Plattformen für den Zahlungsverkehr

• Kernbanksysteme, die das operative Herz moderner Banken bilden

• Telekommunikations- und Infrastrukturservices, die globale Finanztransaktionen erst ermöglichen

Diese Entwicklung betrifft die gesamte Branche und unterstreicht die zentrale Rolle, die Innovation und Digitalisierung für die Wettbewerbsfähigkeit und Stabilität der Finanz- und Versicherungswirtschaft spielen. Gerade Versicherungen nehmen im digitalen Wandel eine Schlüsselposition ein, da sie regulatorische Anforderungen und neue Technologien miteinander verbinden.

Wie Dr. Sibel Kocatepe von der BaFin im Interview erläutert, ist diese Entwicklung nicht überraschend: Skalierbarkeit, Kostenoptimierung, Innovationsfähigkeit und Sicherheitsaspekte machen externe IKT-Dienste attraktiv. Gleichzeitig eröffnen sie Zugang zu Technologien, die intern nicht wirtschaftlich zu betreiben wären – etwa KI oder hoch performante Rechenzentren.

Auch der Kapitalmarkt profitiert von der Digitalisierung, da moderne IKT-Dienste die Effizienz, Transparenz und Sicherheit von Kapitalmarkttransaktionen erhöhen und so die Entwicklung der EU-Kapitalmarktunion unterstützen.

Doch gerade in diesem Bereich hat sich eine starke Marktkonzentration entwickelt: Wenige globale Player bedienen große Teile des europäischen Finanzsystems. Das erhöht die Effizienz – macht den Sektor aber auch verwundbarer.

Trotz aller Vorteile gibt es ein deutliches „Aber“. Einige wenige globale IKT-Unternehmen – darunter große Cloud- und Softwareanbieter – dominieren den Markt. Viele von ihnen haben ihren Sitz außerhalb der Europäischen Union. Das erschwert nicht nur die Durchsetzung europäischer Compliance-Anforderungen, sondern schafft auch gefährliche Abhängigkeiten.

Der Ausfall des Dienstleisters Crowdstrike im Sommer 2024 hat die Verletzlichkeit der digitalisierten Finanzwelt sichtbar gemacht. Zwar blieben die unmittelbaren Auswirkungen auf den Finanzmarkt begrenzt, doch das Ereignis war ein Weckruf: Ein technischer Ausfall bei einem systemrelevanten IKT-Dienstleister kann schnell zu einem Dominoeffekt führen, der weit über einzelne Institute hinausreicht. Neben operationellen Risiken spielen auch Kreditrisiken eine zentrale Rolle, da sie im Falle systemischer Schocks die Stabilität des gesamten Finanzsystems gefährden können.

Jens Obermöller von der BaFin bringt es klar auf den Punkt: Der Finanzmarkt muss künftig mit echten systemischen Schocks rechnen, zu denen auch die zunehmende Bedrohung durch Cyberangriffe zählt. Und genau deshalb wurde DORA geschaffen.

DORA verfolgt das Ziel, die digitale Widerstandsfähigkeit des europäischen Finanzmarkts ganzheitlich zu stärken. Während früher ausschließlich die Finanzunternehmen selbst für das Management ihrer IKT-Risiken verantwortlich waren, schlägt die Regulierung nun einen neuen Weg ein:

Erstmals werden kritische IKT-Drittdienstleister auf europäischer Ebene direkt beaufsichtigt.

Dieser Paradigmenwechsel ist tiefgreifend: Die Aufsicht wird von einem mikroprudenziellen, unternehmensbezogenen Ansatz zu einer makroprudenziellen, systemweiten Perspektive erweitert. Neue Vorschriften im Rahmen von DORA schaffen dabei einen einheitlichen regulatorischen Rahmen, der die Komplexität der europäischen und internationalen Gesetzeslagen adressiert und die Einhaltung der Vorschriften für Finanzunternehmen und ihre Dienstleister verbindlich macht.

Im Kontext der makroprudenziellen Aufsicht spielen politische Entscheidungen und die Politik eine zentrale Rolle, da sie maßgeblich die Entwicklung und Umsetzung regulatorischer Strategien zur Stärkung der Finanzstabilität in der EU beeinflussen.

Die Presseerklärung vom 18. November 2025 beschreibt detailliert den dreistufigen Prozess, mit dem die ESAs die kritischen Anbieter ausgewählt haben:

1. Dateneinsammlung

Aus den EU-weit geführten Registern zu vertraglichen IKT-Dienstleistungen wurden umfangreiche Informationen zusammengetragen.

2. Kritikalitätsbewertung

In Zusammenarbeit mit nationalen Aufsichtsbehörden prüften die ESAs die Anbieter anhand von DORA-Kriterien, darunter:

• Systemische Bedeutung

• Betroffene kritische oder wichtige Funktionen

• Substituierbarkeit

• Reichweite der Abhängigkeiten im Finanzsektor

Anhörung und finale Entscheidung

Die als kritisch eingestuften Anbieter wurden formal benachrichtigt und konnten Stellung nehmen. Im Rahmen dieses Prozesses haben die ESAs auch Vorschläge für die Einstufung der Anbieter unterbreitet, bevor nach Prüfung aller Erwägungen die endgültige Einstufung erfolgte.

Die Presseerklärung betont:

Ziel ist es, Risiken zu erkennen, bevor sie den europäischen Finanzmarkt destabilisieren können.

Mit der CTPP-Liste beginnt der operative Teil der DORA-Aufsicht. Die ESAs richten dafür europaweite Überwachungsteams ein. Diese können:

• umfassende Informationen einfordern

• Vor-Ort-Prüfungen durchführen

• technische Tests anordnen

• Governance- und Risikomanagementstrukturen prüfen

Besonders bemerkenswert ist die Durchsetzbarkeit: Bei mangelnder Kooperation können Strafen bis zu 1 % des weltweiten täglichen Umsatzes pro Tag verhängt werden – und das bis zu 180 Tage. Diese Dimension sorgt für die nötige Verbindlichkeit, insbesondere bei Big-Tech-Unternehmen.

Auch wenn kritische Anbieter künftig überwacht werden, entbindet das die Finanzunternehmen nicht von ihrer Verantwortung. DORA erhöht die Anforderungen an das Drittparteienrisikomanagement deutlich:

• Identifikation und Bewertung aller IKT-Risiken

• Management und Überwachung von Auslagerungen

• Reduktion interner Konzentrationsrisiken

• Erarbeitung belastbarer Exit-Strategien

• Stärkung der operativen Resilienz

• Nachweis der Geschäftskontinuität im Ernstfall

Finanzunternehmen müssen insbesondere prüfen, ob sie selbst zu stark von einem einzelnen Dienstleister abhängig sind – unabhängig davon, wie viele andere Institute denselben Anbieter nutzen. Die neuen Anforderungen dienen dabei dem Interesse der Kunden und stärken die Stabilität des Marktes. Zudem bleibt eine qualifizierte Beratung für Finanzunternehmen weiterhin eine zentrale Voraussetzung, um regulatorische Vorgaben zu erfüllen und eine faire, verständliche Betreuung der Kunden sicherzustellen.

Der Finanzmarkt lebt von Innovationen. KI, Cloud, Automatisierung und datengetriebene Geschäftsmodelle schaffen Wettbewerbsfähigkeit. Doch sie bringen Risiken mit sich, die bewusst und methodisch gemanagt werden müssen.

DORA stellt sicher, dass die Vorteile moderner Technologien genutzt werden können, ohne die Finanzstabilität zu gefährden – ein Balanceakt, der angesichts zunehmender Cyberbedrohungen und globaler Abhängigkeiten wichtiger ist denn je. Dabei ist der Zugang zum Recht und die Einhaltung rechtlicher Vorgaben ein zentraler Bestandteil, um digitale Finanzstabilität nachhaltig zu sichern.