Ein Jahr nach Inkrafttreten von DORA zeigt sich, wie stark fragmentierte IT-Strukturen Banken unter regulatorischen Druck setzen. 2026 wird zum Praxistest für operative Resilienz.
Banken mit fragmentierten IT-Systemen und fehlender Front-to-Back-Strategie riskieren aus DORA regulatorische Sanktionen.
Seit dem 17. Januar 2025 ist der Digital Operational Resilience Act (DORA) für Finanzinstitute in der EU verbindlich. Seine praktischen Auswirkungen werden jedoch erst 2026 deutlich. Nach einem Jahr, das vielerorts von Registeraufbau, Richtlinienarbeit und organisatorischer Neuordnung geprägt war, beginnt nun die Phase, in der Aufsichtsbehörden konkrete Wirksamkeit einfordern: belastbare Prozesse, getestete Resilienz und Transparenz über Abhängigkeiten. Besonders unter Druck geraten Institute mit historisch gewachsenen, fragmentierten IT-Strukturen.
Von der Theorie zur operativen Resilienz
Die europäische Finanzbranche befindet sich damit im ersten vollständigen Jahr unter aktiver DORA-Aufsicht. Obwohl die Regulierung bereits 2025 angewendet wurde, stand dieses Jahr in vielen Häusern im Zeichen der Orientierung. Register wurden erstellt, Zuständigkeiten definiert und bestehende Anforderungen gebündelt. Das war notwendig, aber es war der leichtere Teil. 2026 markiert den Übergang in eine Phase, in der nicht mehr die Dokumentation im Vordergrund steht, sondern die tatsächliche Belastbarkeit. Entscheidend ist, ob Strukturen im Ernstfall funktionieren.
Dabei ist DORA kein Projekt mit Enddatum, sondern ein dauerhaftes Aufsichtsregime mit laufenden Prüf-, Melde- und Testpflichten. Jetzt zeigt sich, welche Institute regulatorische Resilienz tatsächlich operationalisiert haben und welche sich vor allem auf formale Compliance gestützt haben.
Fragmentierte Banken-IT wird zum Compliance-Risiko
Inhaltlich ist DORA keine reine IT-Verordnung. Sie umfasst Governance, Risikomanagement, Incident-Handling, Resilienztests sowie den Umgang mit IKT-Drittanbietern, und das über alle Geschäftsbereiche hinweg. Genau hier liegt für viele Institute eine strukturelle Herausforderung. In der Praxis bestehen weiterhin fragmentierte Front-, Middle- und Back-Office-Landschaften. Prozesse verteilen sich auf unterschiedliche Systeme, Daten werden redundant vorgehalten, Verantwortlichkeiten folgen gewachsenen Silos.
Was ist eine Front-to-Back-Strategie?
Eine Front-to-Back-Strategie ist ein ganzheitlicher Ansatz, der Kundeninteraktionen im Front-Office nahtlos mit Geschäftsprozessen im Back-Office verbindet. Sie integriert digitale Technologien, Daten und Prozesse über die gesamte Wertschöpfungskette hinweg – von der Kundenakquisition über Transaktionen bis zur Buchhaltung und Berichterstattung.
Solange regulatorische Anforderungen punktuell adressiert wurden, ließ sich diese Komplexität verwalten. Mit DORA ändert sich das grundlegend. Resilienz lässt sich nur dort überzeugend nachweisen, wo Abhängigkeiten transparent sind. Im Kern geht es um drei Fragen: Welche Systeme sind für kritische Prozesse relevant? Welche Auswirkungen haben Störungen entlang der Prozesskette? Und welche Drittanbieter sind eingebunden, einschließlich ihrer Substituierbarkeit? Gerade an Schnittstellen entstehen Risiken. Wo Systeme nicht integriert sind, wird die Vorfallanalyse komplex, Resilienztests werden aufwendig und die Steuerung verliert an Präzision. Fragmentierung wird damit vom Effizienzproblem zum aufsichtsrechtlichen Risiko.
Resiliente Betriebsmodelle: von SaaS bis BPaaS
Zugleich zeigt DORA, dass operative Resilienz nicht allein technologisch zu verstehen ist, sondern eng mit dem Betriebsmodell zusammenhängt. Software-as-a-Service und Business-Process-as-a-Service gewinnen strategisch an Bedeutung. Insbesondere BPaaS ermöglicht standardisierte, automatisierte und resilientere Prozesse mit klaren Verantwortlichkeiten und definierten Service-Level-Agreements.
Voraussetzung bleibt, dass Institute über die gesamte Prozesskette hinweg Transparenz und Kontrolle behalten – von Datenflüssen und Sicherheitsmechanismen bis zu Incident-Management und Exit-Szenarien. Die Zusammenarbeit mit Partnern, die belastbare Governance- und Kontrollstrukturen nachweisen können, wird damit zum entscheidenden Faktor. Denn auch wenn kritische Drittanbieter künftig strenger beaufsichtigt werden, bleibt die Verantwortung letztlich beim Institut. Integrierte Servicemodelle sind zentral, um Risiken zu bewerten und regulatorische Anforderungen konsistent zu erfüllen.
Ein Jahr nach Inkrafttreten wird deutlich: DORA entfaltet seine Wirkung nicht auf dem Papier, sondern in der operativen Umsetzung. 2026 wird zum Wendepunkt – weg von formaler Compliance, hin zu gelebter Resilienz. Institute müssen ihre Architektur- und Betriebsentscheidungen neu bewerten, wenn sie weiterhin resilient bleiben und vor allen Dingen mit dem Wettbewerb mithalten wollen.
Dabei gilt: Front-to-Back-Integration, modulare Architekturen und servicebasierte Modelle sollten keine Schlagworte mehr für die Entscheider sein, sondern konkrete Antworten auf eine veränderte Aufsichtspraxis. Wer diese Transformation konsequent angeht, wird DORA nicht nur erfüllen, sondern daraus nachhaltige Stärke gewinnen.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
* Der Autor Karl im Brahm ist CEO DACH bei Objectway.
:quality(80)/p7i.vogel.de/wcms/c5/45/c54568adfee2a4c6ed992a94abebdb5e/0126992413v1.jpeg "Die souveräne Cloud ermöglicht es, sensible Daten rechtskonform und unter größerer Kontrolle des Kunden zu speichern und zu verarbeiten. (Bild: © Catsby_Art – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/13/3f/133f5ccfbd6ce74a4f52ca35ea85669f/0127552212v1.jpeg "Alle Gewinner der IT-Awards 2025 unserer Insider-Portale: ausgezeichnet mit Platin, Gold und Silber in jeweils sechs Kategorien – gewählt von unseren Leserinnen und Lesern. (Bild: Manuel Emme Fotografie)")
:quality(80)/p7i.vogel.de/wcms/43/e4/43e42f37cc71f12e6ae46717e700644e/0126701619v1.jpeg "Wer sind die Gewinner unserer großen Leserwahl? CloudComputing-Insider verleiht heute die IT-Awards 2025 in sechs Kategorien. (Bild: Vogel IT-Medien GmbH)")
:quality(80)/p7i.vogel.de/wcms/e8/38/e8387251b85fc72e0f56d2fa1915043d/0129328744v2.jpeg "Law as Code bezeichnet die digitaltaugliche Bereitstellung des Rechts als ausführbarer Code und ermöglicht so die systematische Umsetzung von Gesetzen in maschinenlesbare Form. (Bild: © InfiniteFlow - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/95/d6/95d6c599b3ff7ee542b413a6bf68af69/0129076535v2.jpeg "Der Begriff Supercloud beschreibt im Wesentlichen die nächste Evolutionsstufe des Cloud Computings und der Multicloud. (Bild: © Khela - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a7/08/a70864697c140742ad03eda65f774709/0129076511v2.jpeg "Nicht eindeutig definierbar: Der Begriff Neocloud beschreibt eine aufstrebende Cloud-Kategorie – wahlweise für KI-Workloads oder Cloud-Angebote mit speziellen Souveränitätsmerkmalen. (Bild: © ImageFlow - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6f/e2/6fe252d5a13f98b6d06e002e27905339/0130146769v1.jpeg "SEO ist die technische Eintrittskarte dafür, dass die eigenen Informationen und Produkte von KI-Systemen überhaupt erst als qualitativ hochwertig eingestuft und verarbeitet werden. (Bild: © Sebelas Studio - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/61/dd/61dda96c07a20d7a1ec6f164a39f0092/0130433482v1.jpeg "Achim Weiß, CEO von Ionos (l.), und Frank Karlitschek, CEO von Nextcloud, präsentieren die souveräne Open-Source-Office-Suite Euro-Office, vor politischen Vertretern in Berlin. (Bild: Nextcloud)")
:quality(80)/p7i.vogel.de/wcms/91/36/9136d461d77c89cf7157c3c3e1668a37/0130044290v1.jpeg "Perplexity kann die Antworten mehrerer KI-Modelle miteinander abgleichen. (Bild: © Arnab Dey - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8d/9d/8d9d7cbec5a6e732e331ad4f56974a01/0129965415v1.jpeg "Back Market und Google starten ein partnerschaftliches Programm für längere Gerätenutzung und weniger Elektroschrott. (Bild: Back Market)")
:quality(80)/p7i.vogel.de/wcms/9f/73/9f734921aa9def56de7534d60f2ec06e/0130042672v1.jpeg "Banken mit fragmentierten IT-Systemen und fehlender Front-to-Back-Strategie riskieren aus DORA regulatorische Sanktionen. (Bild: © Best_Seller - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/6b/12/6b12c1086536e0c29ce20e479bf1becc/0129742542v1.jpeg "Susanne Arndt von FTI Consulting sieht das Fundament vieler Organisationen angesichts von Veränderungsmüdigkeit und Vertrauensverlust ernsthaft in Gefahr. (Bild: AndiWerner.com)")
:quality(80)/p7i.vogel.de/wcms/07/7a/077a23a7c4d326536b145a18304aa2d5/0129989785v2.jpeg "Standardisierte Vorlagen schaffen einheitliche Compliance-Abläufe, reduzieren Fehler und verkürzen Audits messbar. (Bild: © Pixels Hunter - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fc/3c/fc3c5f87958f2a3383e439868b2b9a69/0129675357v2.jpeg "Das BSI sorgt mit einem neuen Verfahren dafür, dass die Zertifizierung auch nach Software-Updates belastbar bleibt. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/6b/44/6b448c9c64342e98523b8e6900184157/0130084176v1.jpeg "Der Weg in die KI-gestützte Zukunft führt nicht über eine blinde Auslagerung von Verantwortung, sondern über eine bewusste und strategische Gestaltung der eigenen digitalen Infrastruktur. (Bild: © Blue Planet Studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/36/d2/36d2c361c0951cbd891c2821e1d46f91/0129770307v1.jpeg "Die IT-Investitionen in Deutschland steigen, führen aber auch zu höheren Erwartungen an messbare Mehrwerte. (Bild: © InfiniteFlow – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ae/85/ae8525144ff216d2d878156dfe81cc32/0129769581v1.jpeg "Fast neun von zehn Tech-Start-ups sehen in KI den wichtigsten Technologietrend. (Bild: © Art.disini – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/c3/35/c3355fe57641b90823e1ec88e132d77a/0130411559v1.jpeg "CloudFest 2026: Zum Familientreffen der Hosting-Branche trafen sich mehr als 10.000 Teilnehmende im Europa-Park Rust. (Bild: Rene Lamb Fotodesign)")
:quality(80)/p7i.vogel.de/wcms/25/7b/257b93e212ba127a71db42d4e46c08aa/0129380266v1.jpeg "Cohesity Data Cloud: Werden beim Scan verdächtige Dateien gefunden, werden diese mit Kompromittierungsindikatoren angezeigt. (Bild: Cohesity)")
:quality(80)/p7i.vogel.de/wcms/32/7b/327b440496ca084acbada47c77658426/0130038951v1.jpeg "Ein IT-Carve-out gleicht der Operation am offenen Herzen: Die präzise Trennung von IT-Systemen und Daten sichert das Überleben im unabhängigen Weiterbetrieb. (Bild: © Tobilander - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/04/5b/045b2a2377281669c8c9b8d46ff801dc/0130002990v1.jpeg "Fairscan verspricht Scans immer und überall – ohne Werbung, Kontopflicht oder Tracking. (Bild: Fairscan)")
:quality(80)/p7i.vogel.de/wcms/1a/aa/1aaa631dd70260682b38fcb84f7178a2/0129858760v1.jpeg "Der aktuelle Cloud Storage Index 2026 von Wasabi zeigt geringen ROI bei KI-Projekten und massive Budget-Überschreitung durch unvorhergesehene Gebühren. (Bild: © Seventyfour - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/cd/81/cd818511a315c793e54b9c8aa7b1b1c3/0130078997v1.jpeg "KI-Initiativen in hybriden Cloud-Szenarien, insbesondere SAP S/4HANA Cloud & Datasphere, scheitern oft an der Architektur. (Bild: © Justlight - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/06/fe/06fe0c1826d39fa021a40dad38629f34/0129912380v1.jpeg "Erst durch semantische Harmonisierung werden KI und Advanced Analytics realisierbar und ohne eine einheitliche Semantik bleibt der Einsatz von KI in der Industrie oft ein isoliertes Experiment ohne klaren ROI. (Bild: © shobakhul - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/dd/ed/dded7ccb96ba6580912330a0e70e560e/0129989320v1.jpeg "Die neue AI-native Cloud verschiebt das Grundprinzip der Cloud von einer Ressourcen-orientierten Architektur mit virtuellen Maschinen hin zu einer Funktionalitäts-orientierten Welt mit KI-Modell-APIs. (Bild: © fotomek - stock.adobe.com)")
:fill(fff,0)/p7i.vogel.de/companies/69/78/6978b25fc2f5d/easy-by-conrizon-logo-black-cmyk-ai.jpeg "easy-by-conrizon-logo-black-cmyk-ai (Easy Software_Lucy Turpin)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/68/6c/686cc778b54e4/flexera-no-tagline-rgb-full-color.png "flexera-no-tagline-rgb-full-color (Flexera Software GmbH)")
:fill(fff,0)/p7i.vogel.de/companies/69/6f/696f5d0545dbe/yorizon-logo-schwarz.png "yorizon-logo-schwarz (Yorizon)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/b0/37/b0370ece0abae67ce95463b8cb22503e/0128775212v1.jpeg "Angesichts der aktuellen geopolitischen Lage und regulatorischen Anforderungen müssen Banken und Versicherer Strategien entwickeln, um ihre Abhängigkeit von globalen Cloud-Anbietern zu reduzieren und gleichzeitig Effizienz und Innovation zu sichern. (Bild: © Franklin - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f9/52/f95219a81c11a3a7b3e7885f6b73b226/0124085781v1.jpeg "Der Finanzsektor erlebt eine Ära, in der das Vertrauen, insbesondere im Zeitalter der Künstlichen Intelligenz, eine noch größere Bedeutung für den Umgang mit sensiblen Daten erhält. (Bild: Argan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/87/cc/87cc46c6c556a3562a37df663392d122/0128734661v1.jpeg "Indem Prozesse, Architektur und Technologie Hand in Hand gehen, lassen sich Unternehmen erfolgreich und effizient steuern. (Bild: © Tida - stock.adobe.com / KI-generiert)")