Der erste gemeinsame DORA-Bericht von EBA, EIOPA und ESMA zeichnet ein Bild, das nicht zur öffentlichen Debatte über Cyberkriminalität passt. Von den 3.383 schweren IKT-Vorfällen, die Finanzunternehmen im Jahr 2025 meldeten, entfielen lediglich rund zehn Prozent auf Cybersecurity-Ereignisse. Dominierend waren stattdessen Systemausfälle, technische Fehlfunktionen und externe Störungen. Mehr als die Hälfte aller Vorfälle wurde durch Systemfehler ausgelöst, fast ein Drittel stand im Zusammenhang mit externen Ereignissen. Rund 29 Prozent gingen auf Ausfälle von Drittanbietern zurück.
Damit verschiebt sich der Fokus der Aufsicht. Die entscheidende Frage lautet nicht mehr, wie gut einzelne Unternehmen gegen Angriffe geschützt sind. Sondern wie stabil die Infrastruktur ist, auf der ganze Marktsegmente gleichzeitig aufbauen.
Die eigentliche Botschaft von DORA hat mit Cybersecurity nur teilweise zu tun
Viele Banken, Versicherer und Finanzvertriebe haben DORA zunächst als weiteres IT-Sicherheitsregime verstanden. Diese Lesart greift zu kurz.
Die Verordnung verfolgt ein anderes Ziel. Sie soll sicherstellen, dass Finanzunternehmen auch dann funktionsfähig bleiben, wenn kritische digitale Systeme ausfallen. Dabei spielt es keine Rolle, ob die Ursache im eigenen Haus liegt oder bei einem externen Anbieter entsteht.
Für die Aufsicht wird damit die gesamte digitale Wertschöpfungskette relevant.
Cloud-Anbieter, Rechenzentren, Softwarehäuser, Maklerverwaltungsprogramme, Vergleichsplattformen und Outsourcing-Dienstleister werden zu Bestandteilen des operationellen Risikoprofils eines Unternehmens.
Der Blick verschiebt sich vom einzelnen Institut auf die Infrastruktur, von der zahlreiche Institute gleichzeitig abhängen.
Die neue Verwundbarkeit heißt Konzentration
Die Digitalisierung der vergangenen Jahre folgte einer einfachen ökonomischen Logik.
Standardisierung senkt Kosten. Auslagerung erhöht Effizienz. Gemeinsame Plattformen beschleunigen Prozesse.
Genau deshalb konzentrieren sich heute zentrale Funktionen der Finanzwirtschaft auf wenige Anbieter. Viele Versicherer arbeiten mit identischen Kernsystemen. Vermittler nutzen dieselben Vergleichsplattformen und Maklerverwaltungsprogramme. Große Teile der europäischen Finanzbranche laufen auf denselben Cloud-Infrastrukturen.
Was betriebswirtschaftlich sinnvoll erscheint, erzeugt jedoch eine neue Form von Verwundbarkeit.
Der DORA-Bericht zeigt, dass inzwischen rund ein Drittel aller schweren Vorfälle auf Ausfälle bei Drittanbietern zurückzuführen ist. Gleichzeitig hatten etwa ein Drittel aller gemeldeten Ereignisse grenzüberschreitende Auswirkungen. Die Risiken verlaufen damit längst nicht mehr entlang von Unternehmensgrenzen, sondern entlang gemeinsamer technischer Infrastrukturen.
Aus Sicht der Aufsicht entsteht daraus ein klassisches Konzentrationsproblem.
Je mehr Marktteilnehmer dieselben Systeme nutzen, desto größer wird die Wahrscheinlichkeit, dass ein einzelner Ausfall zahlreiche Unternehmen gleichzeitig trifft.
Das digitale Pendant zu „Too big to fail“
Die Finanzkrise hat die Aufsicht gelehrt, dass bestimmte Banken systemrelevant werden können.
DORA erweitert dieses Denken auf die digitale Welt.
Nicht mehr nur Institute können systemkritisch sein. Auch technische Infrastrukturen können eine Größe erreichen, bei der ihr Ausfall erhebliche Teile des Finanzsystems beeinträchtigt.
Der Bericht verweist ausdrücklich auf die Bedeutung kritischer ICT-Drittdienstleister und auf das DORA-Register of Information, mit dem die Aufsicht erstmals die vertraglichen Abhängigkeiten der Branche systematisch erfasst. Ziel ist es, Konzentrationen sichtbar zu machen, bevor sie zum Stabilitätsproblem werden.
Damit entsteht schrittweise eine neue Form der Finanzaufsicht: die Aufsicht über digitale Infrastruktur.
Warum Vermittler das Thema unterschätzen
Auf den ersten Blick scheint die Debatte vor allem große Banken und Versicherungskonzerne zu betreffen.
Tatsächlich sind Vermittler oft noch stärker von externen Systemen abhängig.
Maklerverwaltungsprogramme, Kundenportale, Vergleichsrechner, Dokumentenmanagement, digitale Signaturen oder KI-gestützte Anwendungen bilden heute den operativen Kern vieler Vermittlungsbetriebe.
Fällt eines dieser Systeme aus, steht nicht selten der gesamte Geschäftsbetrieb still.
Die relevante Frage lautet deshalb nicht, ob ein Vermittler unmittelbar unter DORA fällt.
Entscheidend ist, wie handlungsfähig das Unternehmen bleibt, wenn der wichtigste Dienstleister plötzlich nicht mehr erreichbar ist.
Die Aufsicht interessiert sich zunehmend für den Plan B
Die praktische Konsequenz aus DORA ist weitreichend.
Die Aufsicht prüft nicht mehr allein, ob Dienstleister vertraglich eingebunden sind. Sie interessiert sich zunehmend dafür, was im Störungsfall tatsächlich geschieht.
Gefragt wird nach Wiederanlaufzeiten, Exit-Strategien, Notfallkonzepten, Ersatzprozessen und Testnachweisen.
Ein Vertrag dokumentiert eine Beziehung.
Resilienz zeigt sich erst im Ausfall.
Genau deshalb gewinnen Notfallübungen und Wiederanlauftests an Bedeutung. DORA verschiebt den Schwerpunkt von Dokumentation auf Nachweisfähigkeit.
Digitalisierung wird zur Lieferkettenfrage
Der erste DORA-Bericht offenbart einen grundlegenden Zielkonflikt der digitalen Transformation.
Die Finanzbranche hat über Jahre Effizienzgewinne durch Standardisierung und Outsourcing realisiert. Diese Entwicklung hat Kosten gesenkt, Skaleneffekte geschaffen und Innovation beschleunigt.
Gleichzeitig entstanden neue Abhängigkeiten, die lange kaum sichtbar waren.
Je digitaler ein Unternehmen wird, desto stärker hängt seine Stabilität von der Stabilität externer Infrastrukturen ab.
Die digitale Lieferkette wird damit zu einem Risikofaktor, der strategisch gesteuert werden muss.
Erkenntnis für die Zukunft
Der erste DORA-Bericht verändert den Blick auf operative Risiken in der Finanzbranche.
Die zentrale Erkenntnis lautet nicht, dass Cyberangriffe gefährlich sind. Das war bereits bekannt. Neu ist die Einsicht, dass die größte Verwundbarkeit zunehmend dort entsteht, wo viele Unternehmen dieselben technischen Infrastrukturen nutzen.
Damit rückt eine Frage in den Mittelpunkt, die weit über IT-Sicherheit hinausgeht: Wie viel Konzentration verträgt die digitale Finanzwirtschaft?
DORA macht aus dieser Frage keine technische Detaildiskussion mehr. Die Verordnung behandelt sie als Stabilitätsfrage des gesamten Finanzsystems.
FAQ: DORA und Drittanbieter-Risiken
