DORA (Digital Operational Resilience Act) gilt seit Januar 2025 für Finanzunternehmen in der EU. Was viele SaaS-Anbieter, IT-Dienstleister und FinTech-Plattformen unterschätzen: Sobald ein Finanzunternehmen euren Service einsetzt und ihr als „wesentlicher ICT-Drittanbieter" klassifiziert werdet, gelten DORA-Pflichten auch für euch – durchgereicht über den Dienstleister-Vertrag.
Wann ein Lieferant „wesentlich" wird
DORA Art. 28 + RTS definieren „wesentliche ICT-Drittanbieter" über vier Kriterien:
- Funktion ist kritisch oder wichtig für die fortlaufende Erbringung der Finanzdienstleistung.
- Schwer ersetzbar ohne erhebliche Wirkung auf Kunden oder Marktstellung des Finanzkunden.
- Konzentrations-Indikator: viele Finanzkunden hängen am gleichen Anbieter (Cloud-Provider, Kern-Banking, ein bestimmter SaaS-Workflow).
- Daten-Sensitivität: Verarbeitung kritischer oder regulierungs-relevanter Daten.
Wer ein, zwei oder fünf dieser Kriterien erfüllt, sollte mit verschärften DORA-Anforderungen seiner Finanzkunden rechnen.
Was DORA technisch durchreicht
1. ICT-Risk-Management-Framework, vom Vorstand genehmigt
Schriftlich, jährlich aktualisiert, mit dokumentierter Genehmigung der Geschäftsleitung. Dazu gehört: Asset-Inventar, Risiko-Bewertung, Treatment-Plan, Wirksamkeits-Reviews. Die Multi-Framework-Plattform hilft, weil ISO-27001-Foundation 80 % der DORA-Anforderungen abdeckt.
2. Vorfalls-Klassifizierung mit RTS-Trigger
Jeder Vorfall wird klassifiziert (high/medium/low) gemäß DORA-RTS. „Bedeutsame" Vorfälle sind binnen 4 h zu melden, mit Erst-, Zwischen- und Schluss-Bericht. Ein integriertes Health-Monitoring + Audit-Log liefert die Daten in Minuten statt Tagen.
3. Operational-Resilience-Tests
Jährliche Resilienz-Tests dokumentiert, alle 3 Jahre TIBER-EU-konformes Threat-Led Penetration Testing für signifikante Anbieter. Ergebnisse archiviert und Lessons-Learned umgesetzt.
4. Vertrags-Anforderungen DORA Art. 30
- Audit-Rechte für den Finanzkunden + Aufsichtsbehörde
- Servicelevel mit Sanktionen
- Exit-Plan dokumentiert (Datenrückgabe, Migrations-Unterstützung)
- Sub-Contracting-Transparenz (welche eigenen Lieferanten nutzt der Anbieter?)
- Vorfalls-Meldung an den Finanzkunden, mit Frist
- Schlüssel-Personen-Klausel
5. Konzentrations-Risiko-Analyse
Wenn euer Service viele Finanzkunden hat, wird der Aufseher (BaFin, EBA, SSM) die summierte Risiko-Lage prüfen. Mehrere Banken-Ausfälle wegen eines SaaS-Vorfalls = systemisches Risiko = direkte Aufsicht durch ESAs.
Was Finanz-Kunden 2026 von Lieferanten verlangen
Aus realen Lieferanten-Audits 2025/2026:
- ISO 27001-Zertifikat (oft Mindest-Voraussetzung)
- Trust-Center mit aktueller Compliance-Belege-Sammlung (White-Label Trust Center liefert das öffentlich)
- Sub-Prozessor-Liste in DSGVO-konformer Form
- Pen-Test-Bericht ≤12 Monate alt
- Backup + Restore-Test-Protokolle
- EU-Hosting-Bestätigung mit Schrems-II-Bewertung
- SLA-Vereinbarung mit Vorfall-Reaktion
- Exit-Plan mit Daten-Migrationsformaten
Strategische Konsequenzen
Option 1: DORA als Sales-Vorteil positionieren
Wer Finanzkunden gezielt akquirieren will: DORA-Konformität proaktiv nachweisen. Das öffnet Türen, die für andere SaaS-Anbieter zu sind.
Option 2: Finanzkunden gezielt aussortieren
Wenn Finanzkunden nur 5 % des Umsatzes ausmachen und DORA-Pflichten 30 % höhere Compliance-Kosten verursachen: kann strategisch sinnvoll sein, das Segment nicht aktiv zu pflegen. Aber: dann schriftlich mit „nicht für Finanzdienstleister geeignet" dokumentieren, sonst droht Auftrags-Annahme mit Pflicht-Übernahme.
Option 3: Sub-Contracting strukturiert managen
Wenn ihr selbst Cloud-Provider oder andere SaaS nutzt: DORA-Pflichten reichen weiter durch. Eure eigenen Lieferanten müssen auch DORA-tauglich sein. TPRM-Modul mit DORA-Erweiterung verwaltet das.
Realistische Compliance-Aufwand-Schätzung
- SaaS mit ISO 27001 vorhanden: ~30 PT zusätzlich für DORA-Erweiterung (Vertrags-Templates, Vorfalls-RTS, Exit-Plan).
- SaaS ohne ISO 27001: ~120 PT für ISO-Foundation + ~30 PT DORA-Top-Up.
- Jährlicher laufender Aufwand: 15–25 PT für Reviews, Re-Tests, Vertrags-Updates.
Fazit
DORA betrifft euch, wenn auch nur ein Finanzunternehmen euren Service einsetzt – und betrifft euch massiv, wenn ihr „wesentlicher ICT-Drittanbieter" werdet. Eine integrierte Compliance- und Sicherheits-Plattform mit ISO 27001-Foundation und DORA-Top-Up bringt euch in 4–6 Monaten in einen Zustand, in dem ihr Finanz-Lieferanten-Audits ohne Drama besteht. Wer 2026 mit Finanzkunden wachsen will, sollte das nicht aufschieben.