Share Tweet Pin It
Next Story: Mechanisch oder elektronisch? Entscheidungshilfe für Profianwender →
Posted in Finanzen / Bilanzen

Payment Agenda 2025, Teil 3: Digital Operational Resilience Act (DORA)

Posted by Firma Novalnet Posted on 3. Juni 2025
Payment Agenda 2025, Teil 3: Digital Operational Resilience Act (DORA) Posted on 3. Juni 2025

Am 17. Januar 2025 ist der Digital Operational Resilience Act (DORA) der Europäischen Union in Kraft getreten. Diese umfassende Verordnung zielt darauf ab, den Finanzsektor der EU vor den wachsenden Herausforderungen von Cyber-Angriffen und IT-Risiken zu schützen. Für Banken, Finanzinstitute und insbesondere Payment-Service Provider (PSPs) markiert DORA einen bedeutenden Wendepunkt. In diesem Teil unserer Payment Agenda 2025 beleuchten wir, was die Verordnung bedeutet, welche Anforderungen sie stellt und welche Konsequenzen sie mit sich bringt.

Was ist DORA?

DORA ist die erste EU-weite Verordnung, die die digitale operationale Resilienz des Finanzsektors regelt. Sie schafft ein einheitliches Regelwerk, das die bisher verstreuten Anforderungen in den Bereichen Risikomanagement, IT-Security, Compliance und Outsourcing zusammenführt. Ziel ist es, die Finanzmärkte der EU robuster gegenüber IT-Risiken zu machen, ohne dabei die Innovationskraft der Branche zu ersticken. Dass die Verordnung nötig ist, zeigt ein Blick in die Zahlen: Die Digitalisierung und der Trend hin zu immer komplexeren digitalen Ökosystemen verlagern nicht nur immer mehr kritische Bereiche unserer Infrastruktur in den Cyber-Raum, das Bundesamt für Sicherheit in der Informationstechnik (BSI) weist auch darauf hin, dass Attacken auf die digitale Infrastruktur aufgrund der zunehmenden geopolitischen Konflikte immer häufiger und heftiger werden. Und: Fast jeder fünfte der bekannt gewordenen globalen Cyber-Vorfälle der vergangenen zwanzig Jahre betraf die Finanzbranche – mit einem Gesamtschaden in Höhe von fast 12 Milliarden US-Dollar seit 2004 (Quelle: Internationaler Währungsfond / IWF). Tendenz: stark steigend.

Die fünf zentralen Bereiche von DORA:

  • IT-Risiko- und Governance-Management: Hier macht DORA klare Vorgaben, wie IT-Systeme und Prozesse verwaltet werden müssen, um Risiken zu minimieren.
  • IT-Vorfälle: Hier regelt DORA Meldepflichten und standardisierte Berichtsformate für IT-bezogene Vorfälle.
  • Resilienztests: Hier schreibt DORA regelmäßige Tests der digitalen Resilienz vor, einschließlich Threat-Led Penetration Testing (TLPT).
  • IT-Drittparteienrisiken: Hier regelt DORA das Management von Risiken entlang der gesamten digitalen Lieferkette, also auch bei externen Dienstleistern.
  • Informationsaustausch: Hier legt DORA Standards fest für den internen und externen Austausch relevanter Informationen.

Was bedeutet DORA für Banken und PSPs?

Die Umsetzung von DORA stellt für Banken und PSPs eine enorme Herausforderung dar. Sie müssen umfassende Anpassungen an ihren Prozessen, IT-Systemen und internen Strukturen vornehmen. Die Herausforderungen liegen hier besonders in den folgenden Bereichen:

  • Kosten: Das Einhalten der neuen Standards erfordert erhebliche Investitionen in Technologie, Automatisierung und Personal. Experten rechnen daher mit deutlich steigenden Compliance-Kosten.
  • Organisatorische Veränderungen: DORA wird vermutlich zur Schaffung neuer Rollen wie etwa einem Operational Resilience Officer (ORO) führen, der die Einhaltung der Vorschriften überwacht und die Zusammenarbeit zwischen IT-, Risk- und Compliance-Abteilungen koordiniert.
  • Automatisierung und KI: Ohne den Einsatz von Automatisierung und Künstlicher Intelligenz (KI) wird die Einhaltung der DORA-Vorgaben kaum möglich sein. Tools zur Echtzeit-Analyse von Bedrohungen, zum Melden von IT-Vorfällen und zur Risikoanalyse sind künftig unverzichtbar – und dürften zu einem weiteren Fintech-Boom führen.

Besondere Herausforderungen für Payment-Service Providers (PSPs)

Für PSPs, die oft als Schnittstelle zwischen Endkunden und Banken agieren, birgt DORA zusätzliche Hürden. Als Anbieter von kritischen Dienstleistungen liegen besonders die folgenden Aspekte im Fokus:

  • IT-Security: PSPs müssen sicherstellen, dass ihre Systeme nicht nur den höchsten Sicherheitsstandards entsprechen, sondern auch die Meldepflichten bei Vorfällen lückenlos erfüllt werden.
  • Outsourcing: Viele PSPs arbeiten mit externen Dienstleistern. DORA verlangt eine gründliche Prüfung und Überwachung aller Drittanbieter – von Onboarding-Prozessen bis hin zu vertraglichen Vereinbarungen.
  • Low-Code-Plattformen: Viele PSPs nutzen innovative Technologien wie Low-Code-Entwicklungsplattformen. Diese müssen nun einer strikten Prüfung unterzogen werden, um Risiken durch sogenannte „Schatten-IT“-Strukturen zu minimieren.

Chancen und Risiken für Kunden

Für Endkunden bringt DORA sowohl Vorteile als auch mögliche Herausforderungen:

  • Sicherheit: Die standardisierten Vorgaben verbessern den Schutz sensibler Kundendaten und reduzieren das Risiko von IT-Ausfällen.
  • Transparenz: Kunden profitieren von klareren Prozessen und einer besseren Kommunikation bei IT-Vorfällen.
  • Mögliche Kostensteigerungen: Die höheren Compliance-Kosten könnten andererseits aber langfristig auf die Preise von Bankdienstleistungen und Zahlungsservices umgelegt werden – und gegen den langfristigen Trend wieder für steigende Kosten sorgen, die am Ende auf die Endkunden umgelegt werden.

DORA: Ohne Automatisierung geht es nicht

Die Vielzahl der DORA-Anforderungen macht eines deutlich: Manuelle Prozesse reichen nicht aus. Banken und PSPs müssen auf hochentwickelte Technologien setzen, um die Regelungen effizient umzusetzen. Künstliche Intelligenz (KI) wird dabei eine Schlüsselrolle spielen. Typische Einsatzbereiche sind:

  • Automatisierte Bedrohungserkennung und -behandlung
  • Echtzeit-Analysen und Berichte
  • Prognosen zur Risikoentwicklung
  • Automatisiertes Management von Resilienztests

Darüber hinaus wird der Softwareentwicklungsprozess selbst DORA-konform gestaltet werden müssen, um die Compliance-Anforderungen auch auf technischer Ebene zu erfüllen.

Ein erster Schritt in eine sicherere, regulierte Zukunft

DORA ist nicht das Ende, sondern der Anfang einer neuen Ära der Regulierung im Finanzsektor. Die Komplexität der Anforderungen wird voraussichtlich weiter zunehmen, und Anpassungen an die neue Realität sind schon lange erkennbar. Gleichzeitig bietet DORA aber auch eine Chance: Durch ein einheitliches Regelwerk können Banken und PSPs ihre Risiko- und Resilienzstrategien objektiv messen und bewerten. Langfristig könnte sich die Qualität des Risikomanagements zu einem entscheidenden Wettbewerbsfaktor entwickeln – nicht nur im Hinblick auf die Wahrnehmung von Händlern und Finanzdienstleistern – sondern auch für den gesamten Wirtschaftsraum EU als sicherem Hafen in einer zunehmend turbulenten und unsicheren digitalen Welt.

Fazit

Der Digital Operational Resilience Act (DORA) bringt tiefgreifende Veränderungen für den Finanzsektor. Banken, PSPs und andere Finanzinstitute stehen vor der Herausforderung, komplexe Anforderungen zu erfüllen, Prozesse zu automatisieren und ihre Organisationen neu auszurichten. Für Kunden bedeutet das prinzipiell mehr Sicherheit und Transparenz, jedoch möglicherweise auch höhere Kosten. Fest steht: Mit DORA wird die digitale Resilienz zu einem zentralen Thema für die Zukunft des Finanzwesens in Europa. Jetzt liegt es an den Unternehmen, diese Herausforderung anzunehmen – und die Chancen zu nutzen, die sich daraus ergeben.

Über die Novalnet AG

Die Novalnet AG, gegründet im Januar 2007, ist ein führendes europäisches Zahlungsinstitut für professionelle elektronische Zahlungsabwicklung. Payment-Service-Provider gibt es viele. Einen Full-Service-Payment-Provider wie Novalnet mit seinem einzigartigen Portfolio gibt es nur einmal. Dieses bietet alle gängigen Zahlungsarten mit allen nötigen Services komplett aus einer Hand: eine sichere Zahlungsabwicklung über Treuhandkonten namhafter Banken in Deutschland und Österreich, ein integriertes umfangreiches Risikomanagement zur Minimierung von Zahlungsausfällen und Betrug, eine automatisierte Rechnungsstellung, ein automatisiertes Debitoren- und Forderungsmanagement inkl. verschiedener Mahnstufen, kostenlosen und vollen technischen Support sowie zahlreiche Zusatzservices (z.B. umfangreiche Abonnement- und Mitgliederverwaltung, ein nützliches Affiliate-Programm etc.).

Der Vorteil für Online-Händler liegt in der Gesamtheit aller dieser vielfältigen Dienstleistungen unter einem Dach. Es bleibt ihnen erspart, mit unterschiedlichen Banken, Kreditkartenacquirern, Auskunfteien, Inkassounternehmen, Affiliate-Plattformen und Technologiepartnern (wie z.B. PCI) unzählige Verträge mit unterschiedlichen Laufzeiten und Gebühren abzuschließen. Bei Novalnet haben sie die Möglichkeit, mit nur einem Vertrag und nur einem direkten Ansprechpartner alle oben genannten Leistungen in Anspruch zu nehmen.

Firmenkontakt und Herausgeber der Meldung:

Novalnet AG
Gutenbergstraße 7
85748 Garching near Munich
Telefon: +49 89 9230683-20
Telefax: +49 89 9230683-11
http://www.novalnet.de

Ansprechpartner:
Sebastian Deck
Telefon: +49 89 9230 683218
Fax: +49 89 9230 68311
E-Mail: sd@novalnet.de
Weiterführende Links
Für die oben stehende Story ist allein der jeweils angegebene Herausgeber (siehe Firmenkontakt oben) verantwortlich. Dieser ist in der Regel auch Urheber des Pressetextes, sowie der angehängten Bild-, Ton-, Video-, Medien- und Informationsmaterialien. Die United News Network GmbH übernimmt keine Haftung für die Korrektheit oder Vollständigkeit der dargestellten Meldung. Auch bei Übertragungsfehlern oder anderen Störungen haftet sie nur im Fall von Vorsatz oder grober Fahrlässigkeit. Die Nutzung von hier archivierten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Eine systematische Speicherung dieser Daten sowie die Verwendung auch von Teilen dieses Datenbankwerks sind nur mit schriftlicher Genehmigung durch die United News Network GmbH gestattet.

counterpixel