DORA Compliance Checkliste 2026: Was Banken jetzt bei Audits beachten müssen

von | Feb. 22, 2026 | Regulatorik | 0 Kommentare

DORA Banken

Der Digital Operational Resilience Act (DORA) der Europäischen Union ist seit Januar 2025 vollständig anwendbar und hat die Anforderungen an die digitale operationale Resilienz im Finanzsektor grundlegend verändert. Für Banken bedeutet dies, dass sie nicht nur ihre IKT-Risikomanagement-Praktiken überarbeiten, sondern sich auch auf umfassende Audits vorbereiten müssen, die die Einhaltung der DORA-Vorschriften überprüfen. Im Jahr 2026 ist eine proaktive und detaillierte Vorbereitung auf diese Audits unerlässlich, um Compliance-Lücken zu vermeiden und die Widerstandsfähigkeit gegenüber IKT-bezogenen Störungen zu gewährleisten. Dieser Artikel bietet eine Checkliste und Best Practices für Banken, um sich auf DORA-Audits vorzubereiten.

DORA im Überblick: Die fünf Säulen der digitalen Resilienz

DORA zielt darauf ab, einen harmonisierten Rahmen für die digitale operationale Resilienz im europäischen Finanzsektor zu schaffen. Die Verordnung betrifft eine breite Palette von Finanzunternehmen, darunter Banken, Versicherungen, Wertpapierfirmen und auch kritische IKT-Drittdienstleister. Die Kernanforderungen von DORA lassen sich in fünf Säulen gliedern [1]:

  1. IKT-Risikomanagement: Finanzinstitute müssen ein robustes IKT-Risikomanagement-Framework implementieren, das die Identifizierung, Bewertung, Steuerung und Überwachung aller IKT-Risiken umfasst.
  2. Management von IKT-Vorfällen: Es müssen Prozesse zur Erkennung, Klassifizierung, Behandlung und Meldung von IKT-bezogenen Vorfällen etabliert werden.
  3. Tests der digitalen operationalen Resilienz: Regelmäßige Tests der IKT-Systeme, einschließlich fortschrittlicher Tests wie Threat-Led Penetration Testing (TLPT), sind vorgeschrieben.
  4. Management des IKT-Drittparteienrisikos: Umfassende Bewertung und Überwachung von Risiken, die sich aus der Abhängigkeit von IKT-Drittanbietern ergeben.
  5. Informationsaustausch: Förderung des Austauschs von Informationen über Cyberbedrohungen und Schwachstellen innerhalb der Finanzbranche.

Jede dieser Säulen ist für DORA-Audits relevant und erfordert eine detaillierte Dokumentation und Nachweisbarkeit der umgesetzten Maßnahmen.

Die DORA Compliance Checkliste 2026 für Banken

Die folgende Checkliste soll Banken als Leitfaden für die Vorbereitung auf DORA-Audits im Jahr 2026 dienen. Sie deckt die wesentlichen Bereiche ab, die von den Aufsichtsbehörden geprüft werden.

1. IKT-Risikomanagement-Framework

  • Governance und Organisation:
    • Ist ein klares Governance-Rahmenwerk für das IKT-Risikomanagement etabliert und dokumentiert?
    • Sind Rollen und Verantwortlichkeiten für das IKT-Risikomanagement klar definiert und zugewiesen (z.B. durch den Vorstand)?
    • Gibt es eine dedizierte IKT-Risikomanagement-Funktion?
  • Risikobewertung:
    • Werden IKT-Risiken regelmäßig identifiziert, bewertet und klassifiziert?
    • Gibt es eine Methodik zur Bewertung der Auswirkungen von IKT-Störungen auf kritische Geschäftsfunktionen?
    • Werden Bedrohungslandschaft und Schwachstellen kontinuierlich analysiert?
  • Schutz- und Präventionsmaßnahmen:
    • Sind angemessene Schutzmaßnahmen zur Abwehr von IKT-Risiken implementiert (z.B. Verschlüsselung, Zugriffskontrollen, Patch-Management)?
    • Gibt es eine Strategie für den Schutz von Daten, Systemen und Netzwerken?
    • Werden Sicherheitsrichtlinien regelmäßig überprüft und aktualisiert?
  • Dokumentation:
    • Sind alle IKT-Systeme, -Anwendungen und -Dienste dokumentiert, einschließlich ihrer Abhängigkeiten?
    • Gibt es eine aktuelle IKT-Asset-Inventarisierung?

2. Management von IKT-Vorfällen

  • Vorfallsmanagement-Prozess:
    • Ist ein klar definierter Prozess für das Management von IKT-Vorfällen vorhanden (Erkennung, Analyse, Eindämmung, Wiederherstellung, Post-Mortem)?
    • Gibt es dedizierte Teams oder Personen, die für das Vorfallsmanagement verantwortlich sind?
  • Meldepflichten:
    • Sind die Meldepflichten gemäß DORA (an zuständige Behörden) klar definiert und implementiert?
    • Gibt es Mechanismen zur schnellen und präzisen Meldung von schwerwiegenden IKT-Vorfällen?
  • Kommunikation:
    • Gibt es einen Kommunikationsplan für IKT-Vorfälle, der interne und externe Stakeholder (Kunden, Partner) berücksichtigt?
  • Lernprozess:
    • Werden IKT-Vorfälle analysiert, um aus ihnen zu lernen und zukünftige Vorfälle zu verhindern?

3. Tests der digitalen operationalen Resilienz

  • Teststrategie:
    • Gibt es eine umfassende Teststrategie für die digitale operationale Resilienz, die regelmäßig überprüft wird?
    • Werden die Tests von unabhängigen Parteien durchgeführt?
  • Arten von Tests:
    • Werden regelmäßig Schwachstellenanalysen, Penetrationstests und andere Sicherheitsbewertungen durchgeführt?
    • Sind fortschrittliche Tests wie Threat-Led Penetration Testing (TLPT) für kritische IKT-Systeme geplant oder bereits durchgeführt worden?
    • Werden Wiederherstellungs- und Backup-Funktionen regelmäßig getestet?
  • Dokumentation und Behebung:
    • Werden Testergebnisse dokumentiert und festgestellte Schwachstellen zeitnah behoben?

4. Management des IKT-Drittparteienrisikos

  • Inventarisierung:
    • Gibt es ein aktuelles Register aller IKT-Drittdienstleister und ihrer kritischen oder wichtigen Funktionen?
  • Risikobewertung und Due Diligence:
    • Werden IKT-Drittdienstleister vor Vertragsabschluss einer umfassenden Risikobewertung unterzogen?
    • Werden die Verträge mit Drittanbietern regelmäßig auf DORA-Konformität überprüft (z.B. in Bezug auf Zugriffsrechte, Audit-Rechte, Sub-Outsourcing)?
  • Überwachung:
    • Werden die IKT-Risiken von Drittanbietern kontinuierlich überwacht?
    • Gibt es Exit-Strategien für den Fall, dass ein Drittanbieter seine Dienste nicht mehr erbringen kann oder die Anforderungen nicht erfüllt?

5. Informationsaustausch

  • Teilnahme an Informationsaustausch-Regelungen:
    • Nimmt die Bank an relevanten Informationsaustausch- und Analyse-Regelungen (z.B. ISACs) teil, um Cyberbedrohungen zu teilen und zu empfangen?
  • Interne Prozesse:
    • Gibt es interne Prozesse, um relevante Informationen über Cyberbedrohungen zu sammeln, zu analysieren und mit anderen Finanzinstituten oder Behörden auszutauschen?

Best Practices für DORA-Audits 2026

Neben der reinen Erfüllung der Checklistenpunkte sollten Banken folgende Best Practices beherzigen, um DORA-Audits erfolgreich zu bestehen:

Best Practice Beschreibung
Ganzheitlicher Ansatz DORA ist keine reine IT-Aufgabe. Der gesamte Vorstand und alle relevanten Abteilungen müssen involviert sein und die Bedeutung von DORA verstehen.
Kontinuierliche Überwachung Compliance ist kein einmaliges Projekt, sondern ein kontinuierlicher Prozess. Regelmäßige interne Überprüfungen und Anpassungen sind unerlässlich.
Umfassende Dokumentation Jede Maßnahme, jeder Prozess und jede Entscheidung im Zusammenhang mit DORA muss lückenlos dokumentiert werden, um sie im Audit nachweisen zu können.
Schulung und Sensibilisierung Mitarbeiter auf allen Ebenen müssen für die Bedeutung der digitalen Resilienz und ihre Rolle bei der DORA-Compliance geschult werden.
Einbindung von Drittanbietern Stellen Sie sicher, dass Ihre IKT-Drittdienstleister ebenfalls DORA-konform sind und dies nachweisen können.
Proaktive Kommunikation Suchen Sie den Dialog mit den Aufsichtsbehörden, um Unklarheiten zu beseitigen und Ihre Compliance-Bemühungen transparent zu machen.

Fazit: DORA als Chance für mehr Resilienz

DORA stellt für Banken eine erhebliche Herausforderung dar, bietet aber gleichzeitig die Chance, die digitale operationale Resilienz auf ein neues Niveau zu heben. Eine sorgfältige Vorbereitung auf Audits im Jahr 2026 ist nicht nur eine Pflichtübung, sondern ein strategischer Schritt, um die Bank vor den wachsenden IKT-Risiken zu schützen, das Vertrauen der Kunden zu stärken und die Wettbewerbsfähigkeit im digitalen Finanzmarkt zu sichern. Wer DORA proaktiv angeht, wird nicht nur Compliance erreichen, sondern auch eine robustere und zukunftssichere IT-Infrastruktur aufbauen.

Referenzen

  1. EIOPA: Digital Operational Resilience Act (DORA)
  2. BitSight: DORA Compliance Checklist & Guide
  3. Thomas Murray: DORA Compliance Checklist: Practical Guidance for Q4 2025 and 2026
  4. Qawerk: Comprehensive DORA Compliance Checklist
  5. Fortra: DORA Compliance: The Ultimate Guide
Jens

Dr. Jens Bölscher ist studierter Betriebswirt mit Schwerpunkt Wirtschaftsinformatik. Er promovierte im Jahr 2000 zum Thema Electronic Commerce in der Versicherungswirtschaft und hat zahlreiche Bücher und Fachbeiträge veröffentlicht. Er war langjährig in verschiedenen Positionen tätig, zuletzt 14 Jahre als Geschäftsführer. Seine besonderen Interessen sind Innovationen im IT Bereich.