Seit DORA gelten IT-Störungen im Finanzsektor nicht mehr als reine Technikpanne. Banken, Zahlungsdienste und ihre IT-Dienstleister müssen digitale Resilienz nachweisen – das betrifft am Ende auch Banking-Apps, Kartenzahlung und Vertrauen in Finanzinfrastruktur.
DORA ist im europäischen Finanzsektor längst kein Abkürzungswissen für Compliance-Abteilungen mehr. Die Verordnung zur digitalen operationalen Resilienz ist seit dem 17. Januar 2025 anwendbar; EBA, EU-Kommission und BaFin führen sie als zentralen Rahmen dafür, wie Finanzunternehmen mit IT-Risiken, Dienstleistern und schweren Störungen umgehen müssen. Der praktische Punkt dahinter: Wenn Banking-App, Kartenzahlung oder Zahlungsdienst ausfallen, soll das nicht mehr wie eine interne Technikpanne behandelt werden.
Für Verbraucher klingt das zunächst trocken. Ist es aber nicht. Finanzinfrastruktur ist heute Software-Infrastruktur. Eine Bankfiliale kann offen sein, während die App streikt; eine Kasse kann funktionieren, bis der Zahlungsdienstleister hakt; ein Wertpapierdepot hängt an Schnittstellen, Cloud-Diensten und externen IT-Partnern. DORA verschiebt deshalb den Blick: Nicht nur Kapital, Liquidität und Betrugsprävention zählen, sondern auch die Frage, ob digitale Systeme unter Stress weiterlaufen, sauber wiederhergestellt werden und Risiken bei Dienstleistern beherrschbar bleiben.
Das Wichtigste auf einen Blick
- DORA macht IT-Resilienz prüfbar: Finanzunternehmen müssen Risiken aus Informations- und Kommunikationstechnik systematisch steuern.
- Störungen werden formaler: Schwere ICT-Vorfälle müssen nach festen Regeln bewertet, dokumentiert und gemeldet werden.
- Dienstleister rücken in den Fokus: Cloud-, Software- und IT-Provider sind nicht mehr nur Einkaufsthema, sondern Teil der Risikosteuerung.
- Der Nutzen für Kunden ist indirekt: DORA garantiert keine störungsfreie Bank-App, erhöht aber den Druck, Ausfälle vorzubereiten, zu testen und transparent zu behandeln.
Warum aus IT-Störungen Infrastrukturpolitik wird
Der Finanzsektor hängt an einer Kette digitaler Abhängigkeiten. Kernbankensysteme, Zahlungsverkehr, Kartenprozessoren, Identitätsdienste, Betrugserkennung, Callcenter, Cloud-Plattformen und externe Softwareanbieter greifen ineinander. Fällt ein Glied aus, spüren es nicht nur Administratoren. Es kann bedeuten, dass Gehaltseingänge verspätet sichtbar sind, Kartenzahlungen im Handel stocken oder Unternehmen kurzfristig keinen zuverlässigen Zugriff auf Konten haben.
DORA zwingt Institute deshalb, solche Abhängigkeiten nicht nur zu kennen, sondern aktiv zu managen. Dazu gehören ICT-Risikomanagement, klare Verantwortlichkeiten, Prozesse für Vorfälle, Tests der digitalen Widerstandsfähigkeit und ein genauerer Blick auf Drittanbieter. Besonders wichtig ist der letzte Punkt: Moderne Finanz-IT wird selten vollständig im eigenen Keller betrieben. Wer kritische Cloud- oder Softwaredienste nutzt, muss wissen, welche Risiken damit verbunden sind und wie ein Ausfall aufgefangen werden kann.
Was Banken und Zahlungsdienste jetzt anders behandeln müssen
Der große Unterschied liegt im Maßstab. Früher konnten einzelne IT-Probleme leicht als Betriebsproblem erscheinen: ärgerlich, aber intern. Unter DORA werden sie Teil einer regulierten Resilienzarchitektur. Unternehmen müssen Vorfälle klassifizieren, Kommunikationswege vorbereiten, Risiken auslagern und ihre Schutzmaßnahmen regelmäßig testen. Das ist mehr als ein neues Formularset. Es verändert Budgets, Lieferantenverträge und Prioritäten in Vorständen.
Für Banken und Zahlungsdienste wird damit auch die alte Kostenfrage neu gestellt. Redundanz, Monitoring, Notfallübungen, Protokollierung und Lieferantenkontrolle kosten Geld. Gleichzeitig sind längere Ausfälle teuer: Kundenvertrauen sinkt, Servicekanäle laufen voll, Aufsicht und Öffentlichkeit fragen nach. DORA macht diese Abwägung sichtbarer. Digitale Stabilität wird nicht mehr als angenehmes IT-Extra behandelt, sondern als Teil der Betriebserlaubnis in einem vernetzten Finanzmarkt.
Was Verbraucher davon haben – und was nicht
Niemand sollte DORA als Versprechen verstehen, dass Bank-Apps künftig nie wieder ausfallen. Auch gut getestete Systeme können Störungen haben: Softwarefehler, fehlerhafte Updates, Probleme bei Dienstleistern oder externe Angriffe verschwinden nicht per Regulierung. Der konkrete Nutzen liegt anders: Institute müssen besser vorbereitet sein, Vorfälle sauberer einordnen und ihre digitale Lieferkette ernster nehmen.
Im Alltag kann das bedeuten, dass Ausfälle schneller erkannt, Eskalationen klarer gesteuert und Kommunikationspflichten ernster genommen werden. Für Firmenkunden ist das besonders relevant, weil Zahlungsverkehr und Liquiditätsplanung an digitalen Kanälen hängen. Für Privatkunden geht es um Verlässlichkeit: Kann ich zahlen, überweisen, auf mein Konto zugreifen – und erfahre ich zeitnah, was los ist?
Der heikle Punkt: Abhängigkeit von großen IT-Dienstleistern
DORA trifft auch eine Machtfrage der Digitalwirtschaft. Viele Finanzunternehmen nutzen große Cloud-, Software- und Datenanbieter. Diese Konzentration kann effizient sein, macht den Markt aber empfindlicher, wenn ein zentraler Dienstleister Probleme bekommt. Genau deshalb schaut die Verordnung nicht nur auf einzelne Banken, sondern auch auf kritische ICT-Drittdienstleister und deren Rolle im Finanzsystem.
Das ist für Europa strategisch interessant. Finanzstabilität hängt nicht mehr nur an Bankenregulierung, sondern auch an Plattformtechnik, Cybersicherheit und Vertragsmacht gegenüber globalen Technologieanbietern. DORA ist damit ein Beispiel dafür, wie Regulierung versucht, die Realität digitaler Abhängigkeit einzuholen: nicht spektakulär, aber mit Folgen für Einkauf, Architektur und Aufsicht.
Worauf man jetzt achten sollte
Entscheidend wird, ob DORA im Betrieb mehr wird als Papier-Compliance. Gute Resilienz zeigt sich nicht in schönen Richtlinien, sondern in getesteten Wiederanlaufplänen, klaren Zuständigkeiten und ehrlicher Transparenz bei Vorfällen. Für Kunden bleibt der beste Indikator schlicht: Wie verlässlich funktionieren Zahlungs- und Banking-Dienste, wie offen kommuniziert ein Anbieter bei Problemen, und wie schnell kommt der Dienst zurück?
Für TechZeitgeist ist DORA deshalb keine reine Finanzregulierung. Es ist eine Nachricht über digitale Grundversorgung. Bezahlen, Banking und Finanz-Apps sind Alltagstechnik geworden. Wenn diese Technik ausfällt, merkt man sehr schnell, dass „IT“ nicht irgendwo im Hintergrund läuft, sondern mitten in der Infrastruktur steckt.
Quellen
- European Banking Authority: Digital Operational Resilience Act (DORA)
- EU-Kommission: Digital operational resilience for the financial sector (DORA)
- BaFin: DORA
Hinweis: Für diesen Artikel wurden KI-gestützte Recherche- und Editierwerkzeuge verwendet. Der Inhalt wurde menschlich redaktionell geprüft. Stand: 15. Mai 2026
