9. Februar 2026
Seit über einem Jahr ist nun DORA (Digital Operational Resilience Act) verbindlich von Finanzunternehmen anzuwenden.
Erfahrungsberichte zur DORA‑Einführung zeigen ein relativ einheitliches Muster: Viele Finanzunternehmen unterschätzen den Aufwand, insbesondere in der operativen Umsetzung. DORA wird als deutliche Verschärfung gegenüber bisherigen IT‑Rundschreiben (z.B. BAIT oder KAIT) empfunden, insbesondere wegen der neuen Detailtiefe und des EU‑weit einheitlichen Anspruchs. DORA-Compliance bedeutet aber nicht nur die Erstellung von Dokumenten, sondern Prüfer und Aufsicht erwarten vielmehr, dass digitale Resilienz tatsächlich im Tagesgeschäft gelebt wird.
Aufsichtsbehörden kündigen zudem an, DORA als Schwerpunkt in (Sonder-)Prüfungen zu setzen.
Wie wichtig der deutschen Aufsicht das Thema ist, zeigen auch mittlerweile regelmäßig von der BaFin stattfindende Veranstaltungen zum Thema. Zuletzt am 4. Februar 2026 kündigte sie unter dem Titel „DORA: BaFin-Workshop zur Einreichung der Informationsregister 2026“ für den 24. und 26. Februar 2026 zwei Online-Workshops über die Anforderungen an Informationsregister an; ein Schwerpunkt soll hierbei die Erfahrungen aus dem vergangenen Jahr 2025 sein.
Bereits am 4. Dezember 2025 hatte die BaFin in einem virtuellen Event unter dem Titel „IT‑Aufsicht im Finanzsektor: Das erste Jahr DORA“ über 4 500 Teilnehmer:innen über ihre Erwartungshaltung zu DORA informiert. Gemeinsam mit Nikolas Speer, Exekutivdirektor Bankenaufsicht der BaFin, wurden hierbei zentrale Erkenntnisse aus dem ersten Jahr DORA gezogen. Die BaFin hat anhand der Praxiserfahrung deutlich gemacht, dass DORA nicht nur formale Vorgabe ist, sondern aktiv im täglichen Risikomanagement verankert werden muss. Insbesondere mit Blick auf vermehrte IKT-Vorfälle und -Konzentrationsrisiken stellt die BaFin klare Erwartungen an die Branche und positioniert sich selbst als zentraler Akteur zur Beobachtung und Steuerung dieser Risiken.
Die Erwartungshaltung der BaFin spiegelt sich auch im bereits im August 2025 vom Institut der Wirtschaftsprüfer veröffentlichten Entwurf des IDW EPS 528 wider, der die Prinzipien für Abschlussprüfer zur Beurteilung der Einhaltung der DORA im Finanzsektor und damit auch Kapitalverwaltungsgesellschaften und Wertpapierinstituten festlegen wird. Mit der Finalisierung des Standards wird in den nächsten Wochen gerechnet. Zwar hat die BaFin mit den IDW-Erleichterungen für das Prüfungsjahr 2025 in dem Sinne vereinbart, über im Jahr der Erstprüfung der Umsetzung der DORA-Anforderungen festgestellte Mängel bei betroffenen Finanzunternehmen, die bereits während dieses Jahres vollständig behoben werden, nicht näher berichten zu müssen; dies gilt aber nicht für die zum Ende des Berichtszeitraums weiterhin bestehenden Mängel.
Die VIVACIS Consulting GmbH hat sich bereits frühzeitig als Beratungshaus auf die Umsetzung der neuen DORA-Regelungen spezialisiert. Zwischenzeitlich können wir auf eine Praxiserfahrung von sehr zahlreichen DORA-Umsetzungsprojekten insbesondere bei Kapitalverwaltungsgesellschaften und Wertpapierinstituten aller Größenklassen zurückschauen. Unsere Beauftragung erfolgte zuletzt auch als Reaktion zur Beseitigung von stattgefundenen § 44-Sonderprüfungen der BaFin zum Thema DORA. Die Ergebnisse unserer Umsetzungsprojekte haben in den letzten Wochen zudem bereits zahlreiche Überprüfungen von (Konzern-)Revisionen, Vorprüfungen der Big4 oder Next15 Wirtschaftsprüfer oder die sog. „Quick Checks“ von anderen Beratungshäusern durchlaufen, in denen sich jeweils unser hoher Qualitätsstandard in der Umsetzung herausgestellt hat.
Ergänzt wird unsere DORA-Expertise durch die Übernahme der mit DORA neu geschaffenen Funktion des „IKT-Risikomanagers“, den wir operativ im Zuge der Auslagerung im Sinne von § 36 KAGB bzw. § 40 WpIG bei unseren Kunden übernehmen. Beginnend mit dem DORA-Reporting in Q1/2025 haben sich bisher bereits zahlreiche Gesellschaften für diese Zusammenarbeit mit der VIVACIS entschieden.
Neben der Durchführung von eigenen Schulungen von Geschäftsführungen und Mitarbeitern von Kapitalverwaltungsgesellschaften und Wertpapierinstituten zum Nachweis der DORA-Kompetenz, besuchen unsere Mitarbeiter ebenfalls regelmäßig Zertifikatslehrgänge zu DORA und arbeiten in Fachgremien von Verbänden mit, um ihr Wissen stets aktuell zu halten.
Sollten wir mit unseren Ausführungen ihr Interesse für einen weiteren Austausch geweckt haben oder sollten sie Rückfragen haben, kommen sie jederzeit auf uns zu.