DORA-Erstprüfung: Was jetzt zählt, wohin die Reise geht und worauf sich Institute konzentrieren sollten

Digital Operational Resilience Act (DORA) – ein Meilenstein für die IT-Sicherheit und Resilienz im Finanzsektor. Doch wie sieht die erste Prüfung konkret aus? Wo liegen die Schwerpunkte, welche Erleichterungen gibt es, und was ist jetzt für Institute entscheidend?

1. Hintergrund: DORA und der Prüfstart

Mit Inkrafttreten von DORA stehen Banken und Finanzdienstleister vor einer neuen, europaweit harmonisierten Regulierung zu digitalen Risiken. Die KPMG-Anforderungsliste zur DORA-Erstprüfung zeigt detailliert, dass die Prüfer schon beim ersten Audit auf Substanz und Struktur achten. Hinzu kommen neue Verlautbarungen der BaFin, die für die erste Prüfungsrunde gezielte Erleichterungen versprechen, ohne den Anspruch an Qualität und Wirksamkeit zu relativieren

2. Prüfungsschwerpunkte und Erwartungen der Aufsicht

Die DORA-Erstprüfung fokussiert sich auf:

• Governance und klare Verantwortlichkeiten

  • Nachweis von Verantwortlichkeiten, Rollen, Gremien, Berichtslinien

• IKT-Risikomanagement

  • Aktuelle, gelebte Prozesse zur Risikoidentifikation und -bewertung

  • Einbindung in die Gesamtstrategie

• Asset- und Funktionsinventare

  • Vollständige und aktuelle Übersicht aller IT-Assets, Funktionen und kritischen Prozesse

• Vorfallmanagement und Resilienz

  • Nachweise zu Plänen und Übungen für Krisen- und Störfallmanagement

• Drittparteienmanagement

  • Dokumentation und Kontrolle von IT-Dienstleistern, Verträgen, Risikoanalysen

• IKT-Sicherheitsmanagement

  • Stichprobenartige Prüfung von Richtlinien, Maßnahmen, Tests und deren lückenlose Dokumentation

Kritischer Erfolgsfaktor: Nicht nur das Vorhandensein von Policies zählt – entscheidend ist deren konsequente, nachweisbare Umsetzung in der Organisation.

3. Was sagt die BaFin zur Erstprüfung?

Im August 2025 hat die BaFin auf Vorschläge der Branche reagiert und temporäre Erleichterungen für die DORA-Erstprüfung signalisiert. Die wichtigsten Punkte:

a) Ausnahme von der Berichtspflicht für schnell behobene Mängel

• Praktisch: Mängel, die zwischen Feststellung und Abschluss der Prüfung bereits vollständig abgestellt sind, müssen ausnahmsweise im Prüfungsbericht nicht detailliert aufgeführt werden – sofern sie klar als behoben dokumentiert sind.

• Zeitfenster für Wirksamkeitsprüfung kann verkürzt werden, sofern Maßnahmen zeitnah implementiert wurden.

• Wichtig: Die Feststellungen müssen natürlich intern sauber dokumentiert bleiben und können nachträglich geprüft werden.

b) Prüfungsumfang bei abweichendem Geschäftsjahr

• Bei „Rumpf-Geschäftsjahren“ 2024/2025 genügt es, die wichtigsten Anforderungen aus BAIT/ZAIT/KAIT zu prüfen – sofern sie auch Bestandteil von DORA sind. DORA-Anforderungen, die über das bisherige Aufsichtsrecht hinausgehen, werden in der Erstprüfung (noch) nicht eingefordert.

• Das erleichtert den Einstieg und konzentriert die Prüfung auf zentrale Digitale-Resilienz-Punkte – ohne Doppelarbeit.

c) Ab 2026 steigen die Anforderungen

• Die jetzt gewährten Erleichterungen gelten ausschließlich für die Erstprüfung. In den Folgejahren werden alle Anforderungen vollumfänglich geprüft. Institute sollten die Zeit daher nutzen, um etwaige Lücken jetzt zu schließen.

To-Do’s und Empfehlungen für Institute

Transparenz und Dokumentation

• Übersichtliche, zentrale Dokumentation aller Prozesse und Nachweise (Governance, Risiko, Vorfallmanagement, Asset-Inventar, Drittparteiensteuerung)

• Fokus auf Wirksamkeit und gelebte Praxis – nicht nur „Papier“

Agile Mängelbeseitigung

• Mängel rasch adressieren und sauber dokumentieren – so lassen sich viele Feststellungen aus der Berichtspflicht der Erstprüfung heraushalten

Fokusbereiche der Aufsicht adressieren

• Die vor allem organisatorischen und prozessualen Grundlagen (Rollen, Gremien, Verantwortlichkeiten, Überwachung der IT-Risiken)

• Nachvollziehbare Steuerung und Überwachung von IT-Outsourcing und Dienstleistern

• Durchgängiges Incident- und Krisenmanagement, ggf. vorerst auf das Wesentliche reduziert, aber dokumentiert und getestet

Die Richtung ist klar: Im Fokus steht ein effektives, transparentes und dokumentiertes Management der digitalen Risiken. Die erste DORA-Prüfung wird eine Mischung aus Substanz-Check und „Stresstest“ für die Prozesse der digitalen Resilienz. Wer jetzt pragmatisch handelt, effizient dokumentiert und zügig Schwachstellen adressiert, kann von den Erleichterungen profitieren – und sich für die umfassende Prüfung im Folgejahr optimal positionieren.

Fazit: Nutzen Sie die Erstprüfung, um Erfahrungen zu sammeln, Prozesse zu professionalisieren und Baustellen zu schließen. Denn ab dem zweiten Prüfungsjahr gilt volle Transparenz – und DORA wird zum dauerhaften Prüfungsmaßstab für alle Aspekte der operativen IT-Resilienz im Finanzsektor.

Interesse an weiteren Praxistipps, Checklisten und DORA-Workshops? Kontaktieren Sie uns gern.