DORA für IT-Dienstleister – Wenn das KMU plötzlich Banken-Standards erfüllen muss

Die Digital Operational Resilience Act (DORA) ist eine EU-Verordnung, die die Cyber-Resilienz und operative Widerstandsfähigkeit des europäischen Finanzsektors sichern soll.

Direkt verpflichtet sind alle regulierten Akteure des Finanzmarktes: Banken, Versicherungen, Wertpapierfirmen, Zahlungsdienstleister und FinTechs. Diese Unternehmen müssen umfassende Vorgaben in den Bereichen IKT-Risikomanagement, Incident Reporting und Resilienz-Tests umsetzen.

Für die meisten KMUs im IT-Bereich gilt: Sie unterliegen DORA nicht unmittelbar – es sei denn, sie werden von den EU-Aufsichtsbehörden als einer der wenigen „kritischen IKT-Drittdienstleister" (wie große Hyperscaler) eingestuft. Alle anderen IT-Dienstleister sind indirekt betroffen, weil ihre regulierten Kunden die DORA-Vorgaben vertraglich an sie weitergeben müssen.

DORA richtet sich zwar direkt an Banken, Versicherungen und FinTechs, trifft aber indirekt fast jeden IT-Dienstleister, der mit diesem Sektor arbeitet. 

Finanzunternehmen sind nun gesetzlich verpflichtet, ihre IT-Lieferanten strenger zu überwachen und vertraglich in die Pflicht zu nehmen. Für viele kleine und mittlere IT-Unternehmen bedeutet das: Sie müssen plötzlich Compliance-Anforderungen erfüllen, die bisher eher Konzernen vorbehalten waren – und das meist ohne eigene Rechts- oder Compliance-Abteilung.

DORA enthält strikte Regeln zum „Management von IKT-Drittparteienrisiken". Finanzunternehmen müssen nachweisen, dass ihre IT-Dienstleister keine Schwachstelle in ihrer eigenen Sicherheitskette darstellen. 

Das bedeutet für dich in der Praxis:

• Verschärfte Due-Diligence-Pflichten: Finanzkunden müssen vor Vertragsabschluss und danach laufend prüfen, ob deine Sicherheitsmaßnahmen ausreichen.
• Vertragliche Mindestanforderungen: DORA schreibt zwingend vor, welche Klauseln Verträge mit IT-Dienstleistern enthalten müssen – etwa zu Audit-Rechten, Exit-Strategien und Subunternehmern.
• Incident-Reporting-Ketten: Tritt bei dir ein relevanter Sicherheitsvorfall auf, musst du diesen extrem schnell an deinen Finanzkunden melden, damit dieser seinen strengen gesetzlichen Meldepflichten nachkommen kann.

Kannst du die geforderten Nachweise nicht liefern, riskiert dein Kunde Probleme mit der Aufsicht und wird im Zweifel den Vertrag mit dir beenden oder gar nicht erst abschließen.

Die konkreten Erwartungen variieren je nach Kritikalität deiner Dienstleistung. Folgende Kernbereiche fordern Finanzkunden nun standardmäßig ein:

• Informationssicherheits-Management: Nachweis eines strukturierten, risikobasierten Sicherheitskonzepts (idealerweise ISO 27001) inklusive dokumentierter Richtlinien.
• Incident Management: Definierte und getestete Prozesse zur schnellen Erkennung und Meldung von Sicherheitsvorfällen an den Kunden.
• Business Continuity & Disaster Recovery: Dokumentierte Notfallpläne sowie regelmäßige Tests der Backup- und Wiederherstellungsfähigkeit (RTO und RPO).
• Subunternehmer-Management: Volle Transparenz über deine eigenen Zulieferer. Du musst garantieren, dass auch deine Subunternehmer die Sicherheitsstandards einhalten.
• Audit- und Prüfrechte: Vertragliche Einräumung von Audit-Rechten, die es dem Finanzkunden oder dessen Prüfern erlauben, deine Sicherheit vor Ort oder via Self-Assessments zu kontrollieren.
• Exit-Strategien: Nachweise, wie Daten im Falle einer Vertragsbeendigung sicher, vollständig und in einem nutzbaren Format zurückgegeben werden (Vermeidung von Vendor-Lock-in).

DORA-Readiness bedeutet für KMUs nicht, dass du über Nacht ein Enterprise-Compliance-Programm kopieren musst. Die Verordnung verweist in Artikel 4 explizit auf das Proportionalitätsprinzip: Maßnahmen müssen verhältnismäßig zur Größe, zum Risiko und zur Komplexität des Dienstleisters sein. Nutze diesen schrittweisen Ansatz:

• Schritt 1: Bestandsaufnahme: Welche deiner Kunden sind DORA-pflichtig? Welche Dienstleistungen erbringst du für sie und wie kritisch sind diese für das Kerngeschäft des Kunden? Priorisiere danach deinen Fokus.
• Schritt 2: Quick Wins umsetzen: Dokumentiere Prozesse, die du in der Praxis ohnehin schon lebst (z. B. dein Patch-Management oder deine Backup-Routinen). Erstelle eine transparente Liste deiner kritischen Subdienstleister.
• Schritt 3: Incident-Meldewege definieren: Erstelle einen klaren Prozess für den Fall der Fälle. Wer informiert den Finanzkunden bei einem Cyber-Angriff innerhalb welcher Frist?
• Schritt 4: Verträge prüfen: Bereite dich auf Vertragsanpassungen vor. Prüfe, ob deine Haftungsklauseln, Audit-Rechte und Regelungen zu Subunternehmern mit den DORA-Anforderungen deiner Kunden harmonieren.

Die internationale Norm ISO 27001 für Informationssicherheits-Managementsysteme (ISMS) ist für IT-Dienstleister eines der effektivsten Werkzeuge, um DORA-Anforderungen zu erfüllen.

• Breite Abdeckung: Das Framework deckt systematisch fast alle Kernbereiche ab, die Finanzkunden im Rahmen von DORA prüfen – von der Risikoanalyse bis zum Lieferantenmanagement.
• Hohe Marktakzeptanz: Ein ISO 27001-Zertifikat (oder der nachweisbare Aufbau eines entsprechenden Systems) nimmt den Kunden die Prüflast und verkürzt Due-Diligence-Prozesse drastisch.
• Skalierbarkeit: Ein ISMS lässt sich perfekt an die überschaubare Größe eines KMU anpassen.

Wichtig zu wissen: ISO 27001 ist eine hervorragende Basis, aber kein automatischer Freifahrtschein. DORA fordert in Teilbereichen – wie den hochspezifischen Fristen beim Incident Reporting oder den expliziten Vorgaben für Exit-Szenarien – noch etwas mehr Detailtiefe, die du individuell in den Kundenverträgen abbilden musst.

Nutze diese Checkliste zur Selbsteinschätzung: Ist dein Unternehmen DORA-ready? Die Checkliste bündelt die typischen Schwachstellen von KMUs und die Erwartungen regulierter Kunden:

Organisation & Sicherheitssystem

• Ein Sicherheitskonzept oder ein leichtgewichtiges ISMS (z. B. nach ISO 27001) ist vorhanden.
• Eine verantwortliche Person für Informationssicherheit (z. B. ein ISB) ist intern benannt.
• Mitarbeiter werden regelmäßig zu IT-Sicherheit und Phishing sensibilisiert.
• Technische Basismaßnahmen (MFA für kritische Systeme, Netzwerksegmentierung, Verschlüsselung) sind flächendeckend aktiv.

Notfall- & Vorfallsmanagement

• Ein dokumentierter Prozess zur Erkennung und Eskalation von IT-Sicherheitsvorfällen existiert.
• Die vertraglichen Meldefristen für Kunden-Benachrichtigungen bei Incidents sind definiert.
• Es gibt ein getestetes Backup- und Recovery-Konzept mit definierten Wiederherstellungszeiten (RTO/RPO).
• Business-Continuity-Pläne (Notfallpläne) liegen schriftlich vor und werden regelmäßig gestestet.

Lieferkette & Verträge

• Alle kritischen Subdienstleister (z. B. Cloud- oder Rechenzentrumsanbieter) sind dokumentiert.
• Verträge mit Subdienstleistern enthalten passende Sicherheits- und Datenschutzvorgaben.
• Standardverträge und AGB wurden um DORA-Klauseln (Audit-Rechte, Exit-Szenarien, Datenportabilität) ergänzt.

Alleine mit den rechtlichen Vorschriften zu kämpfen kann hart sein. Kontaktiere uns, wenn du eine Beratung von Experten benötigst.

DORA erhöht den Compliance-Druck auf IT-Dienstleister spürbar, bietet für KMUs aber auch eine enorme Chance zur Marktdifferenzierung. Wer die geforderten Nachweise proaktiv erbringen kann, sichert nicht nur bestehende Kundenbeziehungen, sondern verschafft sich einen echten Wettbewerbsvorteil bei der Gewinnung regulierter Finanzkunden.

Perfekte Compliance von Tag eins an verlangt niemand. Ein klarer, dokumentierter Fahrplan, die Orientierung an bewährten Standards wie der ISO 27001 und eine transparente Kommunikation mit deinen Kunden reichen in der Praxis meist völlig aus, um DORA-ready zu werden.

Muss ich als kleiner IT-Dienstleister jetzt eine eigene Compliance-Abteilung aufbauen?

Nein. Dank des Proportionalitätsprinzips reicht es für KMUs völlig aus, eine verantwortliche Person für Informationssicherheit zu benennen (z. B. einen ISB), die das Thema koordiniert. Entscheidend ist, dass die dokumentierten Prozesse in der Praxis auch tatsächlich gelebt werden. Wenn du dabei eine externe Unterstützung von Expert:innen brauchst, wende dich gerne an uns. 

Was passiert, wenn ich die neuen DORA-Klauseln im Vertrag einfach nicht unterschreibe?

Da Finanzinstitute gesetzlich dazu verpflichtet sind, diese Klauseln bei ihren Dienstleistern durchzusetzen, riskieren sie bei Missachtung empfindliche Bußgelder. Unterschreibst du nicht, wird der Kunde die Zusammenarbeit langfristig beenden müssen.

Gilt DORA auch für uns, wenn wir reine Software-Entwicklung ohne Hosting anbieten?

Ja, sofern eure Software für kritische oder wichtige Funktionen des Finanzinstituts eingesetzt wird. Finanzkunden müssen dann sicherstellen, dass dein Entwicklungszyklus (SDLC) sicher ist, um Risiken wie Code-Schwachstellen oder Supply-Chain-Angriffe zu minimieren.