DORA 2026: Warum 44% der Finanzunternehmen nicht compliant sind — und was jetzt zu tun ist

Seit dem 17. Januar 2025 ist der Digital Operational Resilience Act (DORA) anwendbar. Über ein Jahr später zeigt sich ein ernüchterndes Bild: Aktuelle Erhebungen belegen, dass nahezu jedes zweite Finanzunternehmen in Deutschland erhebliche Umsetzungsprobleme hat. Der durchschnittliche Umsetzungsstand liegt bei rund zwei Dritteln der Anforderungen — weit entfernt von der vollständigen Compliance, die die BaFin erwartet. Gleichzeitig beginnt die Aufsichtsbehörde 2026 mit systematischen Prüfungen und Nachschauprüfungen.

Dieser Artikel analysiert die fünf größten Schwachstellen bei der DORA-Umsetzung, zeigt auf, wo die BaFin 2026 besonders genau hinsehen wird, und liefert einen konkreten Fahrplan für Finanzunternehmen, die ihre Compliance-Lücken jetzt schließen müssen.

Was DORA von Finanzunternehmen verlangt — ein Überblick

DORA ist keine IT-Verordnung. DORA ist eine Geschäftsleitungs-Verordnung. Die EU-Regulierung verpflichtet Finanzunternehmen, ihre digitale operationale Resilienz systematisch aufzubauen, zu testen und nachzuweisen. Das betrifft Banken, Versicherungen, Zahlungsdienstleister, Wertpapierfirmen, Krypto-Dienstleister und zahlreiche weitere Akteure im Finanzsektor.

Die fünf Kernpfeiler von DORA umfassen:

1. IKT-Risikomanagement — ein umfassendes Rahmenwerk für das Management von Risiken der Informations- und Kommunikationstechnologie
2. Incident Reporting — Meldung schwerwiegender IKT-bezogener Vorfälle an die Aufsichtsbehörde
3. Testen der digitalen operationalen Resilienz — von Basistests bis hin zu Threat-Led Penetration Testing (TLPT)
4. IKT-Drittparteienrisikomanagement — Steuerung und Überwachung aller IKT-Dienstleister
5. Informationsaustausch — freiwilliger Austausch von Bedrohungsinformationen zwischen Finanzunternehmen

Was DORA von früheren Regulierungen wie BAIT, VAIT oder KAIT unterscheidet: Die Verordnung gilt unmittelbar als EU-Recht, hat einen deutlich breiteren Anwendungsbereich und setzt erheblich schärfere Fristen — insbesondere beim Incident Reporting. Wer die regulatorische Gesamtlandschaft 2026 mit NIS2, AI Act und CRA verstehen will, muss DORA als zentralen Baustein einordnen.

Der Status quo: Wo Finanzunternehmen bei der DORA-Umsetzung stehen

Die Zahlen sind deutlich. Eine KPMG-Untersuchung zeigt, dass viele Finanzunternehmen selbst nach dem Anwendungsstichtag im Januar 2025 noch nicht alle erforderlichen Maßnahmen vollständig umgesetzt haben. Laut einer Metafinanz-Erhebung lag der durchschnittlich geplante Umsetzungsstand zum Stichtag bei etwa zwei Dritteln der Anforderungen — bestenfalls bei 90 Prozent, im schlechtesten Fall bei nur 30 Prozent. Die BaFin selbst hat bereits 2025 in ihren Workshops häufige Fehler bei der Einreichung der Informationsregister dokumentiert und bereitet für 2026 erneute Workshops vor.

Besonders betroffen sind mittelständische Finanzunternehmen, die weder über die Ressourcen großer Banken noch über die vereinfachten Anforderungen nach Artikel 16 DORA für Kleinstunternehmen verfügen. Sie befinden sich in einer regulatorischen Sandwichposition: volle Anforderungen, begrenzte Kapazitäten.

Die zentrale Erkenntnis: DORA-Compliance ist kein einmaliges Projekt mit einem Stichtag. Es ist ein laufender Prozess, bei dem 2026 die operative Bewährungsprobe beginnt.

Die fünf größten DORA-Schwachstellen 2026

1. Incident Reporting: Die 4-Stunden-Frist als Stresstest

Die Meldepflicht für schwerwiegende IKT-bezogene Vorfälle ist die wohl schärfste Anforderung in DORA. Die Erstmeldung muss innerhalb von vier Stunden nach der Klassifizierung als schwerwiegend erfolgen — spätestens jedoch 24 Stunden nach Entdeckung des Vorfalls. Das ist deutlich ambitionierter als die 24-Stunden-Frist unter NIS2.

Was das in der Praxis bedeutet: Ein Unternehmen muss innerhalb weniger Stunden einen Vorfall erkennen, klassifizieren, die Auswirkungen auf andere Finanzinstitute und IKT-Drittdienstleister bewerten und eine strukturierte Meldung an die BaFin absetzen. Danach folgen eine Zwischenmeldung innerhalb von 72 Stunden und ein Abschlussbericht innerhalb eines Monats.

Die Realität sieht in vielen Häusern anders aus. Incident-Response-Prozesse sind häufig auf technische Eskalation ausgelegt, nicht auf regulatorische Meldepflichten. Es fehlt an:

• Definierten Klassifizierungskriterien, die DORA-konform sind und nicht nur auf interne Severity-Level abstellen
• Vorbereiteten Meldeformularen und -prozessen, die in vier Stunden befüllbar sind
• Übergabeprozessen zwischen IT-Security, Compliance und Geschäftsleitung, die nachts und am Wochenende funktionieren
• Regelmäßigen Übungen, die den gesamten Meldeprozess durchspielen — nicht nur die technische Incident Response

Wer hier nicht vorbereitet ist, riskiert nicht nur Bußgelder, sondern auch Reputationsschäden. Denn die BaFin wird bei Prüfungen explizit nach dokumentierten Incident-Response-Übungen fragen.

2. Das IKT-Drittanbieter-Register: Shadow IT als blinder Fleck

DORA verpflichtet Finanzunternehmen, ein vollständiges Informationsregister über alle vertraglichen Vereinbarungen mit IKT-Drittdienstleistern zu führen. Dieses Register muss der BaFin auf Anforderung vorgelegt werden und wird ab 2026 jährlich an die europäischen Aufsichtsbehörden (ESAs) übermittelt.

Die BaFin hat bereits 2025 bei der erstmaligen Einreichung häufige Fehler identifiziert und bietet 2026 erneut Workshops an, um die Finanzunternehmen auf die zweite Einreichungsrunde vorzubereiten. Die Schwerpunkte: Erfahrungen aus dem vergangenen Jahr und Vermeidung wiederkehrender Fehler.

Das grundlegende Problem liegt tiefer als fehlerhafte Formulare. Viele Informationsregister sind schlicht unvollständig. Die Gründe:

Shadow IT ist allgegenwärtig. Fachabteilungen nutzen SaaS-Dienste, Cloud-Speicher und KI-Tools, die nie durch den offiziellen Beschaffungsprozess gelaufen sind. Ein Marketing-Team, das Canva nutzt, ein Analyst mit einem ChatGPT-Abo, ein Vertriebsmitarbeiter mit einem nicht genehmigten CRM-Addon — all das sind IKT-Drittanbieterbeziehungen im Sinne von DORA.

Subdienstleister-Ketten sind intransparent. Selbst wenn ein Cloud-Provider im Register steht, fehlen häufig dessen Unterauftragnehmer. DORA verlangt aber explizit Transparenz über die gesamte Lieferkette.

Vertragsmanagement ist fragmentiert. IKT-Verträge liegen verteilt bei Einkauf, IT, Fachabteilungen und externen Rechtsberatern. Ein zentrales, DORA-konformes Register erfordert eine konsolidierte Sicht.

Die Lösung beginnt mit einer ehrlichen Bestandsaufnahme: Welche IKT-Dienste nutzen wir wirklich? Nicht nur die, die wir offiziell eingekauft haben, sondern alle — einschließlich der Schatten-IT, die in keinem Inventar steht.

3. Ausstiegsstrategien: Der ignorierte Pflichtbaustein

DORA verlangt in Artikel 28 explizit, dass Finanzunternehmen Ausstiegsstrategien für kritische IKT-Drittdienstleister definieren. Diese Exit-Pläne müssen sicherstellen, dass ein Wechsel des Dienstleisters ohne Unterbrechung der Geschäftstätigkeit möglich ist.

In der Praxis fehlen diese Strategien in der Mehrheit der Finanzunternehmen. Die Gründe sind nachvollziehbar, aber nicht akzeptabel:

Vendor Lock-in ist systemisch. Wer seine Kernbankensysteme bei einem Cloud-Provider betreibt, kann nicht in vier Wochen migrieren. Ausstiegsstrategien für solche Szenarien erfordern realistische Migrationskonzepte, alternative Dienstleister und getestete Übergangsprozesse.

Die Kosten wirken prohibitiv. Ein vollständiger Exit-Plan inklusive Testmigration kostet Geld, das keine unmittelbare Wertschöpfung bringt. Deshalb wird er priorisiert — ganz unten.

Vertragsklauseln fehlen. Viele Bestandsverträge mit IKT-Dienstleistern enthalten keine DORA-konformen Ausstiegsklauseln. Nachverhandlungen sind aufwendig und stoßen bei großen Providern auf Widerstand.

Die BaFin wird bei Prüfungen gezielt nach Exit-Strategien für kritische und wichtige IKT-Funktionen fragen. Wer hier nur ein Konzeptpapier vorlegen kann, das nie getestet wurde, wird Nachbesserungsbedarf attestiert bekommen.

4. TLPT: Knappe Marktkapazitäten treffen auf steigende Nachfrage

Threat-Led Penetration Testing (TLPT) nach TIBER-EU-Rahmenwerk ist die Königsdisziplin der DORA-Testanforderungen. Nicht alle Finanzunternehmen müssen TLPT durchführen — aber diejenigen, die aus IKT-Perspektive ausgereift genug und von systemischer Relevanz sind, müssen alle drei Jahre einen solchen Test absolvieren.

Ein TLPT ist kein gewöhnlicher Penetrationstest. Er umfasst das gesamte Unternehmen, basiert auf realen Bedrohungsszenarien (Threat Intelligence) und wird von spezialisierten Red Teams durchgeführt, die unter Aufsicht der BaFin agieren. Der Prozess erstreckt sich typischerweise über sechs bis zwölf Monate und erfordert enge Abstimmung zwischen dem Finanzunternehmen, dem Threat-Intelligence-Provider, dem Red Team und der Aufsichtsbehörde.

Das Problem: Die Kapazitäten am deutschen Markt sind begrenzt. Es gibt nur eine überschaubare Anzahl von Anbietern, die TLPT nach TIBER-EU/DORA-Standard durchführen können und von der BaFin akzeptiert werden. Die Anforderungen an die Tester sind hoch — sie müssen nachweisbare Erfahrung mit TIBER-Tests haben, unabhängig sein und strenge Vertraulichkeitsanforderungen erfüllen.

Für betroffene Finanzunternehmen bedeutet das: Wer 2026 oder 2027 einen TLPT durchführen muss, sollte jetzt mit der Planung beginnen. Die Vorlaufzeiten für die Beschaffung geeigneter Anbieter, die Abstimmung mit der BaFin und die eigentliche Testdurchführung lassen keinen Aufschub zu.

Auch Unternehmen, die nicht TLPT-pflichtig sind, sollten die allgemeinen Testanforderungen nach Artikel 25 DORA nicht unterschätzen. Penetrationstests, Schwachstellenscans, Netzwerksicherheitstests und Szenario-basierte Tests müssen regelmäßig durchgeführt und dokumentiert werden. Die BaFin erwartet ein risikobasiertes Testprogramm, das alle kritischen IKT-Systeme und -Anwendungen abdeckt.

5. Governance: DORA als Geschäftsleitungsthema

DORA macht unmissverständlich klar: Die Verantwortung für die digitale operationale Resilienz liegt bei der Geschäftsleitung. Artikel 5 verpflichtet das Leitungsorgan, das IKT-Risikomanagement-Rahmenwerk zu genehmigen, zu überwachen und regelmäßig zu überprüfen. Die Geschäftsleitung muss nachweislich über ausreichende Kenntnisse und Fähigkeiten verfügen, um IKT-Risiken zu verstehen und zu bewerten.

In der Praxis bedeutet das: IKT-Risiken gehören als fester Tagesordnungspunkt in Vorstandssitzungen. Budget für digitale Resilienz muss auf Geschäftsleitungsebene entschieden werden. Und die Verantwortlichen müssen regelmäßig geschult werden — nicht mit einer PowerPoint-Präsentation, sondern mit substanziellen Trainings.

Viele Finanzunternehmen haben ihre Governance-Strukturen formal angepasst, aber die operative Umsetzung hinkt hinterher. Es gibt Richtlinien, aber keine gelebte Praxis. Es gibt Verantwortliche, aber keine Eskalationswege. Es gibt Berichte, aber keine Entscheidungen.

Die BaFin hat in ihrer zweiten Aufsichtsmitteilung zu DORA deutlich gemacht, dass sie die Governance-Anforderungen ernst nimmt. Bei Prüfungen wird nicht nur nach Dokumenten gefragt, sondern nach gelebter Praxis. Kann der Vorstand erklären, welche kritischen IKT-Drittanbieter das Unternehmen nutzt? Wann wurde zuletzt ein Business-Continuity-Test durchgeführt? Welche Ergebnisse hatte der letzte Penetrationstest?

Was die BaFin 2026 prüfen wird

Die BaFin hat für 2026 und 2027 Nachschauprüfungen angekündigt. Die Schwerpunkte lassen sich aus den bisherigen Veröffentlichungen und Workshops ableiten:

Informationsregister: Die BaFin wird die Qualität und Vollständigkeit der Informationsregister prüfen. Nach den Erfahrungen aus der Ersteinreichung 2025 sind die Erwartungen für 2026 deutlich gestiegen. Häufige Fehler aus dem Vorjahr werden nicht mehr toleriert.

IKT-Risikomanagement-Rahmenwerk: Die BaFin erwartet ein dokumentiertes, von der Geschäftsleitung genehmigtes Rahmenwerk, das alle Anforderungen aus Kapitel II DORA abdeckt. Besonderes Augenmerk liegt auf der Integration in das unternehmensweite Risikomanagement.

Incident-Reporting-Prozesse: Die BaFin wird prüfen, ob die 4-Stunden-Meldefrist operativ umsetzbar ist. Dokumentierte Prozesse, Übungsnachweise und Erfahrungen aus realen Vorfällen werden erwartet.

Testprogramme: Die BaFin erwartet ein risikobasiertes Testprogramm, das regelmäßig aktualisiert wird. Für TLPT-pflichtige Institute wird die Planung und gegebenenfalls Durchführung der Tests überprüft.

Drittparteienmanagement: Neben dem Informationsregister wird die BaFin die vertraglichen Vereinbarungen mit kritischen IKT-Drittdienstleistern prüfen — einschließlich der Ausstiegsstrategien.

Wichtig: Die BAIT (Bankaufsichtliche Anforderungen an die IT) gelten für bestimmte Institute noch bis zum 31. Dezember 2026. In der Übergangsphase müssen diese Institute sowohl DORA als auch die noch geltenden BAIT-Anforderungen erfüllen. Ab 2027 wird der Anwendungsbereich durch das Finanzmarktdigitalisierungsgesetz (FinmadiG) zusätzlich erweitert.

Der Fahrplan: Sechs Maßnahmen für DORA-Compliance in 2026

Maßnahme 1: Gap-Analyse mit Priorisierung

Beginnen Sie mit einer ehrlichen Bestandsaufnahme. Wo stehen Sie bei jedem der fünf DORA-Kernpfeiler? Nicht auf Basis von Selbsteinschätzungen, sondern auf Basis einer systematischen Gap-Analyse, die dokumentierte Nachweise prüft. Priorisieren Sie die Lücken nach Risiko und regulatorischer Sichtbarkeit — das Informationsregister und die Incident-Reporting-Prozesse werden 2026 als erstes geprüft.

Maßnahme 2: Informationsregister vervollständigen

Nutzen Sie die BaFin-Workshops 2026, um aus den Fehlern des Vorjahres zu lernen. Führen Sie eine umfassende Shadow-IT-Inventur durch. Erweitern Sie das Register um Subdienstleister-Ketten. Stellen Sie sicher, dass das Register nicht als statisches Dokument behandelt wird, sondern als lebendiges Verzeichnis, das bei jeder Vertragsänderung aktualisiert wird.

Maßnahme 3: Incident-Response-Prozesse DORA-konform gestalten

Etablieren Sie einen dedizierten DORA-Incident-Response-Prozess, der parallel zum technischen Incident Management läuft. Definieren Sie klare Klassifizierungskriterien auf Basis der DORA-Vorgaben. Erstellen Sie Meldevorlagen. Benennen Sie Verantwortliche für die 4-Stunden-Meldung — auch für Nächte, Wochenenden und Feiertage. Üben Sie den Prozess mindestens quartalsweise.

Maßnahme 4: Exit-Strategien für kritische Dienstleister entwickeln

Identifizieren Sie Ihre kritischen und wichtigen IKT-Funktionen. Für jeden kritischen Dienstleister: Entwickeln Sie eine dokumentierte Ausstiegsstrategie, die realistische Migrationsszenarien, alternative Anbieter und Übergangsprozesse umfasst. Verhandeln Sie DORA-konforme Vertragsklauseln nach — insbesondere Zugangs-, Audit- und Kündigungsrechte.

Maßnahme 5: Testprogramm aufbauen und TLPT planen

Erstellen Sie ein risikobasiertes Testprogramm, das Penetrationstests, Schwachstellenscans und Szenario-basierte Tests umfasst. Wenn Sie TLPT-pflichtig sind: Beginnen Sie jetzt mit der Anbietersuche und der Abstimmung mit der BaFin. Die Marktkapazitäten sind begrenzt, und die Vorlaufzeiten betragen typischerweise sechs bis zwölf Monate.

Maßnahme 6: Governance operationalisieren

DORA-Compliance ist Chefsache. Stellen Sie sicher, dass die Geschäftsleitung nicht nur formale Verantwortung übernimmt, sondern operative Steuerung ausübt. Etablieren Sie regelmäßige Reporting-Formate. Schulen Sie die Geschäftsleitung substanziell. Und stellen Sie sicher, dass bei einer BaFin-Prüfung nicht nur der CISO, sondern auch der Vorstand auskunftsfähig ist.

DORA im Kontext der Regulierungswelle 2026

DORA steht nicht isoliert. Die Regulierungswelle 2026 mit NIS2, AI Act und Cyber Resilience Act trifft Finanzunternehmen gleichzeitig. Wer DORA-Compliance als isoliertes Projekt betreibt, verpasst Synergien und riskiert Doppelarbeit.

Konkret: Das IKT-Risikomanagement nach DORA und das Risikomanagement nach NIS2 haben erhebliche Überschneidungen. Incident-Reporting-Prozesse können — mit Anpassungen an die unterschiedlichen Fristen — konsolidiert werden. Und die Anforderungen an Drittparteienmanagement unter DORA ergänzen sich mit den Supply-Chain-Anforderungen unter NIS2.

Auch die BaFin-Positionierung zu KI und DORA ist relevant: Der zunehmende Einsatz von KI-Systemen in Finanzunternehmen schafft neue IKT-Risiken, die im DORA-Rahmenwerk berücksichtigt werden müssen. KI-gestützte Handelsalgorithmen, automatisierte Kreditentscheidungen und KI-basierte Betrugserkennung sind IKT-Systeme im Sinne von DORA und unterliegen den entsprechenden Test- und Risikomanagement-Anforderungen.

Sanktionen und Konsequenzen bei Nichteinhaltung

DORA sieht keine EU-weit einheitlichen Bußgelder vor — die Sanktionierung obliegt den nationalen Aufsichtsbehörden. Die BaFin verfügt über ein breites Instrumentarium, das von Verwaltungsmaßnahmen über öffentliche Bekanntmachungen bis hin zu Bußgeldern reicht. Entscheidend ist jedoch nicht nur das finanzielle Risiko.

Die größeren Konsequenzen drohen auf operativer Ebene: Die BaFin kann Nachbesserungsmaßnahmen anordnen, die erhebliche Ressourcen binden. Sie kann die Nutzung bestimmter IKT-Dienstleister untersagen. Und sie kann bei wiederholten Verstößen die Geschäftsleitung persönlich in die Verantwortung nehmen.

Hinzu kommt das Reputationsrisiko. In einer Branche, die auf Vertrauen basiert, kann eine öffentlich bekannt gewordene DORA-Noncompliance zu Kundenverlusten, Rating-Herabstufungen und erschwertem Zugang zu Kapitalmärkten führen.

Warum externe Unterstützung sinnvoll sein kann

Die DORA-Umsetzung ist komplex, querschnittlich und ressourcenintensiv. Sie betrifft IT, Compliance, Recht, Beschaffung und Geschäftsleitung gleichermaßen. Viele Finanzunternehmen — insbesondere im Mittelstand — verfügen nicht über die internen Kapazitäten, um alle Anforderungen parallel abzuarbeiten.

Externe Unterstützung kann in mehreren Bereichen Mehrwert liefern:

• Gap-Analysen und Readiness Assessments, die einen objektiven Blick auf den Umsetzungsstand liefern
• Aufbau des IKT-Drittanbieter-Registers, inklusive Shadow-IT-Inventur und Subdienstleister-Mapping
• Entwicklung von Incident-Response-Prozessen, die die 4-Stunden-Frist operativ abbilden
• TLPT-Vorbereitung und -Begleitung, einschließlich Anbieterauswahl und BaFin-Abstimmung
• Governance-Beratung, die sicherstellt, dass DORA nicht nur ein IT-Projekt bleibt

Advisori unterstützt Finanzunternehmen bei der DORA-Umsetzung — von der Gap-Analyse bis zur Prüfungsvorbereitung. Unser Ansatz ist praxisnah, regulatorisch fundiert und auf die spezifischen Herausforderungen des deutschen Finanzmarkts zugeschnitten. Auf dora.advisori.de finden Sie eine Übersicht unserer DORA-Leistungen.

FAQ: Häufig gestellte Fragen zu DORA 2026

Welche Unternehmen fallen unter DORA?

DORA betrifft nahezu alle regulierten Finanzunternehmen in der EU: Kreditinstitute, Zahlungsdienstleister, Versicherungen und Rückversicherungen, Wertpapierfirmen, Handelsplätze, zentrale Gegenparteien, Krypto-Dienstleister und viele weitere. Auch IKT-Drittdienstleister, die als kritisch eingestuft werden, unterliegen einer direkten Aufsicht durch die ESAs. Ab 2027 erweitert das FinmadiG den Anwendungsbereich in Deutschland zusätzlich. Kleinstunternehmen mit weniger als 10 Mitarbeitenden oder unter 2 Millionen Euro Jahresumsatz unterliegen vereinfachten Anforderungen nach Artikel 16 DORA.

Was passiert, wenn ein Finanzunternehmen die 4-Stunden-Meldefrist nicht einhält?

Die 4-Stunden-Frist beginnt mit der Klassifizierung eines Vorfalls als schwerwiegend — spätestens 24 Stunden nach Entdeckung. Bei Nichteinhaltung drohen aufsichtsrechtliche Maßnahmen der BaFin, die von Verwaltungsanordnungen bis hin zu Bußgeldern reichen können. Entscheidend ist, dass das Unternehmen nachweisen kann, dass es über funktionierende Prozesse verfügt und die Frist nicht aus organisatorischem Versagen gerissen wurde. Dokumentierte Incident-Response-Übungen und ein klar definierter Meldeprozess sind der beste Schutz.

Muss jedes Finanzunternehmen TLPT durchführen?

Nein. TLPT ist nur für Finanzunternehmen verpflichtend, die aus IKT-Perspektive eine hinreichende Reife aufweisen und von systemischer Relevanz sind. Die BaFin legt auf Basis der RTS-Kriterien fest, welche Institute TLPT-pflichtig sind. Die Tests müssen mindestens alle drei Jahre durchgeführt werden. Alle anderen Finanzunternehmen müssen jedoch ein risikobasiertes Testprogramm nach Artikel 25 DORA umsetzen, das Penetrationstests und Schwachstellenscans umfasst.

Was ist der Unterschied zwischen DORA und BAIT?

BAIT (Bankaufsichtliche Anforderungen an die IT) war eine nationale BaFin-Verwaltungsvorschrift für Banken. DORA ist eine unmittelbar geltende EU-Verordnung mit deutlich breiterem Anwendungsbereich. DORA geht in mehreren Bereichen über BAIT hinaus — insbesondere beim Incident Reporting (4-Stunden-Frist), beim IKT-Drittparteienmanagement (Informationsregister, Ausstiegsstrategien) und bei TLPT. Die BAIT gelten für bestimmte Institute noch bis zum 31. Dezember 2026, danach werden sie vollständig durch DORA ersetzt.

Wie lange dauert eine DORA-Umsetzung typischerweise?

Das hängt stark vom Ausgangszustand ab. Für ein mittelgroßes Finanzunternehmen, das bereits über ein grundlegendes IKT-Risikomanagement verfügt, sind sechs bis zwölf Monate für die Herstellung der wesentlichen Compliance realistisch. Für die volle Compliance — inklusive getesteter Exit-Strategien, vollständigem Informationsregister und operativ belastbaren Incident-Response-Prozessen — sollte ein Zeitraum von zwölf bis achtzehn Monaten eingeplant werden. TLPT-Projekte erfordern zusätzlich sechs bis zwölf Monate Vorlauf.

Fazit: Handeln statt abwarten

Die Zahlen sind eindeutig: Ein erheblicher Teil der deutschen Finanzunternehmen ist noch nicht DORA-compliant. Die BaFin beginnt 2026 mit systematischen Prüfungen. Die Fristen sind scharf, die Anforderungen komplex und die Marktkapazitäten für spezialisierte Dienstleistungen wie TLPT begrenzt.

Wer jetzt nicht handelt, riskiert nicht nur regulatorische Konsequenzen, sondern auch operative Verwundbarkeit. DORA ist keine Bürokratie-Übung — die Verordnung adressiert reale Cyberbedrohungen, die den Finanzsektor zunehmend treffen. Jede Woche, die ein Unternehmen mit der Umsetzung wartet, ist eine Woche, in der es ungeschützt operiert.

Sie wollen wissen, wo Ihr Unternehmen bei der DORA-Umsetzung steht? [Sprechen Sie mit unseren DORA-Experten](/kontakt) — wir identifizieren Ihre Lücken und entwickeln einen konkreten Fahrplan zur Compliance.