Die Digitalisierung im Finanzsektor schreitet unaufhaltsam voran – damit einhergehend steigen auch die Anforderungen an Cybersicherheit, Resilienz und das Management digitaler Risiken. Die neue EU-Verordnung DORA (Digital Operational Resilience Act) stellt einen bedeutenden Meilenstein dar, um die digitale Widerstandsfähigkeit von Finanzunternehmen in der EU zu stärken.
Mit dem FS Digital Risk Barometer möchte PwC ein umfassendes Bild über den aktuellen Stand der DORA-Compliance in regulierten Finanzunternehmen wie Banken, Versicherungen und Vermögensverwaltern zeichnen und perspektivisch ein Benchmark-Instrument etablieren. Ziel der Erhebung war es, auf Basis einer strukturierten Online-Umfrage mit 23 Fragen konkrete Einblicke in Umsetzungsstände, Herausforderungen und Best Practices zu gewinnen. Die Ergebnisse bieten nicht nur eine Momentaufnahme des Finanzsektors in Bezug auf die digitale Resilienz, sondern ermöglichen auch die Ableitung strategischer Handlungsempfehlungen.
Verantwortung des Leitungsorgans
Die Auswertung der durchgeführten Umfrage unter 72 Finanzunternehmen hat ergeben, dass 77 % den Vorstand als Verantwortlichen für das IKT-Risikomanagement benennen, während bei 22 % die Verantwortung bei den Bereichs- oder Abteilungsleitungen liegt und bei 1 % einzelne Teams oder Mitarbeitende genannt werden. Diese Ergebnisse verdeutlichen, dass einigen Organisationen noch nicht bewusst ist, dass gemäß DORA-Artikel 5 Absatz 2 das „Leitungsorgan“ – also Vorstand oder Geschäftsführung – verpflichtend alle Maßnahmen des IKT-Risikomanagements festlegen, genehmigen, überwachen und verantworten muss. DORA verleiht dem Leitungsorgan durch präzise Anforderungen eine deutlich größere Verantwortung und stärkt damit seine Rolle in Governance und Organisationsstruktur.
Ausgestaltung des IKT-Risikomanagementrahmens
Beachtlich ist auch die Umsetzung des IKT-Risikomanagementrahmens, bei der die Mehrheit der Unternehmen einen vollständig ausgestalteten Rahmen gemäß Artikel 6 Absatz 2 DORA implementiert hat. Dieser müsste bereits bei allen Finanzunternehmen unverzichtbare Strategien, Leit- und Richtlinien, Verfahren sowie IKT-Protokolle und -Tools beinhalten, die sicherstellen, dass alle potenziellen IKT-Risiken identifiziert, bewertet und gesteuert werden können. Die Etablierung dieser Dokumente und Vorgehen sind essenzielle Schritte für die angestrebte digitale Resilienz. Unternehmen, die heute schon strategisch vorausdenken, sichern sich nicht nur einen klaren Wettbewerbsvorteil, sondern auch eine stabile und resiliente Zukunft – denn dass es den entscheidenden Unterschied machen kann, zeigt sich oft erst im Ernstfall.
Umsetzungsstand der DORA Anforderungen
Obwohl DORA schon seit dem 17.01.2025 anzuwenden ist, stehen viele der Teilnehmer erst kurz vor dem Abschluss der Anpassungen ihrer schriftlich fixierten Ordnung. Entsprechend befindet sich die operative Umsetzung der DORA-Vorgaben in den Fachbereichen bei den meisten Organisationen noch in einem frühen Stadium. Diese Ausgangslage bietet die Chance, jetzt mit klar priorisierten Maßnahmen Struktur in die Umsetzung zu bringen. Aus bisherigen Projekten zeigt sich deutlich: Wer auf erprobte Best Practices setzt, kann typische Hürden effizient überwinden. Der Austausch mit erfahrenen Partnern kann dabei helfen, bestehende Lücken effizient zu schließen und pragmatische Lösungen zu etablieren, die den spezifischen Anforderungen der Organisation gerecht werden – ohne dabei den operativen Betrieb unnötig zu belasten.
Einsatz von künstlicher Intelligenz
Aktuell nutzen nur 11 % der befragten Organisationen Künstliche Intelligenz oder planen deren Einsatz im DORA-Umfeld. Dabei könnten KI-gestützte Prozesse, wie automatisierte Vertragsprüfungen oder Abgleiche der sfO, erhebliche Effizienzgewinne bieten. Unternehmen, die den Nutzen von KI frühzeitig erkennen und einsetzen, können nicht nur ihre Betriebseffizienz steigern, sondern auch ungenutzte Potenziale erschließen. Die Integration von Künstlicher Intelligenz entwickelt sich zunehmend zum strategischen Hebel, um Effizienzpotenziale auszuschöpfen und die eigene Marktposition nachhaltig zu stärken. Unternehmen, die frühzeitig auf KI setzen, schaffen nicht nur operative Vorteile, sondern sichern sich auch einen klaren Vorsprung im Wettbewerb.
Fazit – Es bleibt weiterhin viel zu tun
Die Mehrheit der teilgenommenen Unternehmen hat die formalen Grundlagen geschaffen und erste Prozesse implementiert, doch wesentliche Elemente – insbesondere ein vollständig integrierter IKT-Risikomanagement-Rahmen, die unabhängige Kontrollfunktion, umfassende Vertragsnachverhandlungen mit Drittanbietern und fortgeschrittene Resilienztests – sind unter anderem noch lückenhaft. Diese Lücken können in den teilweise bereits laufenden DORA-Vorprüfungen, spätestens in den DORA-Hauptprüfungen, zu Feststellungen führen.
Derzeit befindet sich die Branche in einem wichtigen Übergangsstadium: Die DORA-Anforderungen sind erkannt und wurden teilweise umgesetzt, doch der Reifegrad ist gegenwärtig noch nicht ausreichend, um die ab dem 17.01.2025 erforderliche digitale operationelle Resilienz vollständig und wirksam unter Beweis zu stellen. Jetzt ist die Zeit, um Governance-Lücken schnell zu schließen, Verträge anzupassen und sowohl technische als auch organisatorische Kontrollen zu intensivieren. Unternehmen, die diese Herausforderungen rechtzeitig angehen, werden besser gerüstet sein, um den gesetzlichen Anforderungen zu entsprechen und dabei ihre operative Effizienz sowie Marktposition nachhaltig zu stärken.
Die Studie „FS Digital Risk Barometer 2025“ und weitere Studienergebnisse finden Sie hier.
(PwC vom 26.08.2025 / RES JURA Redaktionsbüro – vcd)
