DORA Art. 28 Umsetzung: Die 7-Schritte-Checkliste für Banken
Seit dem 17. Januar 2025 ist der Digital Operational Resilience Act (DORA) unmittelbar anwendbares Unionsrecht. Für Banken, Wertpapierfirmen, Zahlungsinstitute, E-Geld-Institute und weitere Finanzunternehmen im Sinne des Art. 2 DORA bedeutet das: Der Umgang mit IKT-Drittdienstleistern ist nicht länger eine operative Auslagerungsfrage, sondern ein aufsichtsrechtlich durchreguliertes Pflichtprogramm mit Meldepflichten, Registerführung und verbindlichen Vertragsinhalten. In der Praxis zeigt sich, dass die Lücke zwischen formaler Kenntnisnahme und tatsächlicher Compliance-Tiefe bei den meisten Instituten erheblich ist — insbesondere bei mittelgroßen Banken, die bisher mit einem pragmatischen MaRisk-Auslagerungsregister gearbeitet haben.
Dieser Beitrag vertieft den bereits veröffentlichten Grundlagenartikel zu Art. 28 DORA und liefert eine konkrete, prüfungsfeste Umsetzungs-Checkliste in sieben Schritten. Jeder Schritt enthält eine Verknüpfung zu den relevanten Artikeln der Verordnung (EU) 2022/2554, den zugehörigen Regulatory Technical Standards (RTS) und — für DACH-Häuser besonders relevant — den nationalen und europäischen Pendants.
Ausgangslage: Warum Art. 28 DORA die Messlatte höher legt
Die bisherige Auslagerungssteuerung nach § 25b KWG und den MaRisk AT 9 war primär risikoorientiert und ließ den Instituten Ermessensspielräume bei Wesentlichkeitseinstufung, Vertragsgestaltung und Exit-Planung. Art. 28 DORA ersetzt diesen Spielraum weitgehend durch präskriptive Vorgaben: Es gibt ein einheitliches Register of Information (RoI), eine Pflicht zur Differenzierung zwischen Funktionen, die „critical or important" sind, und solchen, die es nicht sind (Art. 3 Nr. 22 DORA), sowie einen Mindestkatalog an Vertragsinhalten in Art. 30 DORA.
Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) hat in ihrem Rundschreiben zur DORA-Umsetzung vom Dezember 2024 klargestellt, dass Altverträge, die den Anforderungen des Art. 30 DORA nicht entsprechen, bis zum nächsten regulären Vertragsverlängerungszyklus, spätestens jedoch mit Wirkung zum Prüfungszeitpunkt, anzupassen sind. Wer auf eine Übergangsphase gehofft hat, wird enttäuscht.
Die 7-Schritte-Checkliste
Schritt 1: Register of Information (RoI) aufbauen
Der RoI ist nach Art. 28 Abs. 3 DORA Pflicht und muss der zuständigen nationalen Behörde — in Deutschland der BaFin, in Österreich der FMA, in der Schweiz der FINMA nach deren eigenem Regime — auf Anfrage und regelmäßig übermittelt werden. Die European Supervisory Authorities (ESAs) haben dazu mit der Durchführungsverordnung (EU) 2024/2956 vom 29. November 2024 einen standardisierten ITS-Meldebogen mit 15 Templates veröffentlicht.
Vollständige Erfassung aller IKT-Drittdienstleister: Nicht nur Cloud-Provider, sondern auch SaaS-Tools, Managed-Security-Provider, Outsourcing-Partner im Back-Office und — häufig übersehen — Subdienstleister in der vierten und fünften Ebene.
Mindestfelder pro Eintrag: LEI des Anbieters, Leistungsbeschreibung, CIF-Einstufung, Vertragslaufzeit, Datenkategorien, geografische Datenverarbeitung, Subunternehmer-Kette.
Meldefrequenz an die BaFin: Jährlich zum 30. April des Folgejahres, erstmals turnusmäßig 2025 für das Berichtsjahr 2024.
Praxistipp: Wer den RoI in einer Excel-Tabelle führt, wird spätestens beim dritten Audit an Grenzen stoßen. Die Datenmodell-Anforderungen der ITS sind relational und verlangen referentielle Integrität zwischen Entitäten, Verträgen und Funktionen.
Schritt 2: CIF-Klassifizierung (Critical or Important Functions)
Die Einstufung einer Funktion als „critical or important" löst die materiell strengsten Pflichten aus: verschärfte Due Diligence, erweiterte Vertragsinhalte nach Art. 30 Abs. 3 DORA, laufende Risikoüberwachung und — bei Einsatz eines als „critical" designierten Third-Party Providers (CTPP) — direkte Beaufsichtigung durch die ESAs.
Definition nach Art. 3 Nr. 22 DORA heranziehen: Eine Funktion ist kritisch oder wichtig, wenn ihre Unterbrechung die finanzielle Leistungsfähigkeit, die aufsichtsrechtliche Compliance oder die Kontinuität der Finanzdienstleistungen des Instituts wesentlich beeinträchtigen würde.
Kriterienkatalog anlegen: Marktwirkung, Substituierbarkeit des Anbieters, Datensensitivität, regulatorische Verankerung.
Dokumentierte Einzelfallentscheidung je Vertrag — keine pauschale Einstufung.
Review-Zyklus mindestens jährlich und anlassbezogen (neuer Subdienstleister, Leistungserweiterung, Incident).
Schritt 3: Pre-contractual Due Diligence
Art. 28 Abs. 4 DORA verpflichtet zu einer risikoadäquaten Due Diligence vor Vertragsschluss. Für CIF-Leistungen setzen die RTS der ESAs (finalisiert im Juli 2024) einen deutlich erweiterten Prüfkatalog voraus.
Reputations- und Integritätsprüfung: Hintergrundüberprüfung der geschäftsführenden Personen und der Key-Function-Holder des Anbieters. Hier greifen die Anforderungen mit § 25c KWG (Zuverlässigkeit und fachliche Eignung) ineinander — saubere Background-Checks, insbesondere bei personalintensiven Managed-Service-Providern, sind keine Kür, sondern aufsichtsrechtliche Pflicht.
Finanzielle Solidität: Mindestens drei Jahresabschlüsse, Bonitätsauskunft, gegebenenfalls Rating.
Operative und technische Kapazität: ISO 27001, SOC 2 Type II, Penetrationstestberichte, Business-Continuity-Nachweise.
Konzentrationsrisiko: Marktübersicht, Single-Point-of-Failure-Analyse, geografische Klumpenrisiken.
Sub-Outsourcing-Kette: Vollständige Offenlegung, nicht nur der unmittelbaren Subdienstleister.
Eine HireRight-Erhebung aus dem Jahr 2017 ergab, dass rund 85 % der Arbeitgeber in mindestens einem geprüften Lebenslauf materielle Diskrepanzen fanden — ein Datenpunkt, der unterstreicht, warum DORA an dieser Stelle nicht auf Selbstauskünften beruht, sondern auf dokumentierter Prüfung.
Schritt 4: Vertrags-Mindestanforderungen (Art. 30 DORA)
Art. 30 DORA enthält einen abschließenden Katalog an Vertragsinhalten. Für Nicht-CIF-Verträge gilt der Grundkatalog in Abs. 2, für CIF-Verträge kommt der erweiterte Katalog in Abs. 3 hinzu.
Vertragsbestandteil | Nicht-CIF (Art. 30 Abs. 2) | CIF (Art. 30 Abs. 3) |
|---|---|---|
Leistungsbeschreibung und Serviceumfang | Pflicht | Pflicht, erweitert |
Orte der Datenverarbeitung | Pflicht | Pflicht, mit Änderungsvorbehalt |
Datenschutz- und Geheimnisklauseln | Pflicht | Pflicht |
SLAs mit quantifizierten KPIs | Empfohlen | Pflicht |
Audit- und Informationsrechte (inkl. On-Site) | Grundrechte | Erweiterte Rechte, auch für Aufsicht |
Kooperation mit der Aufsicht | Pflicht | Pflicht, ausdrücklich |
Kündigungsrechte und Exit-Unterstützung | Pflicht | Pflicht, mit dokumentierter Migrationsunterstützung |
Teilnahme an Threat-Led-Penetration-Testing | – | Pflicht |
Besonderer Fallstrick: Viele Standardverträge US-amerikanischer Cloud-Provider enthalten Klauseln, die Audit-Rechte auf Drittprüfer beschränken oder Ortsangaben der Datenverarbeitung unter Änderungsvorbehalt stellen. Solche Klauseln sind mit Art. 30 Abs. 3 lit. e und i DORA nicht vereinbar.
Schritt 5: Laufendes Monitoring
Art. 28 Abs. 1 lit. c DORA verlangt ein „ongoing monitoring" über die gesamte Vertragslaufzeit. In der Praxis bedeutet das einen operativen Jahreszyklus mit klar zugeordneten First-, Second- und Third-Line-Verantwortlichkeiten.
First Line (Business Owner): SLA-Tracking, operatives Incident-Handling, Quarterly Business Reviews mit dem Anbieter.
Second Line (Risk und Compliance): Risikobewertung, Konzentrationsanalyse, Due-Diligence-Updates, Vertragsreviews.
Third Line (Interne Revision): Jährliches Audit des gesamten Outsourcing-Prozesses mit Stichproben auf Einzelvertragsebene.
Reporting an den Vorstand: Quartalsweise für CIF-Verträge, halbjährlich aggregiert für das Gesamtportfolio.
Schritt 6: Incident-Reporting-Prozess
Art. 19 DORA führt ein vierstufiges Meldesystem für bedeutende IKT-Vorfälle ein. Die Fristen sind knapp und nicht verhandelbar: Die Initial Notification ist binnen 4 Stunden nach Klassifizierung als „major incident" an die zuständige Behörde zu melden. Der Intermediate Report folgt binnen 72 Stunden, der Final Report binnen eines Monats.
Klassifizierungskriterien nach Art. 18 DORA implementieren: Anzahl betroffener Kunden, Dauer, geografische Reichweite, Reputationsschaden, wirtschaftlicher Schaden.
Meldeketten-Playbook mit benannten Verantwortlichen und 24/7-Erreichbarkeit.
Vertragliche Verpflichtung des Drittanbieters, Incidents binnen definierter Frist (in der Praxis 1 Stunde nach Entdeckung) zu melden — sonst kann das Institut die eigene 4-Stunden-Frist strukturell nicht einhalten.
Template-basiertes Reporting über die ESAs-Portale, die seit Mitte 2025 produktiv sind.
Schritt 7: Exit-Strategie dokumentieren
Art. 28 Abs. 8 DORA verlangt für CIF-Verträge eine dokumentierte Ausstiegsstrategie, die unabhängig vom Kooperationswillen des Anbieters umsetzbar ist. Das Institut muss nachweisen, dass es die kritische oder wichtige Funktion binnen einer definierten Frist entweder intern übernehmen oder zu einem Alternativanbieter migrieren kann.
Szenarien-Analyse: Insolvenz, Kündigung aus wichtigem Grund, regulatorische Intervention, Cyber-Vorfall beim Anbieter.
Alternative Provider identifiziert: Mindestens einer, idealerweise zwei, mit dokumentiertem Onboarding-Aufwand.
Datenportabilität: Vertraglich gesicherte Rückgabe in marktüblichen Formaten, keine proprietären Lock-ins.
Testlauf: Mindestens alle zwei Jahre Tabletop-Exercise oder Teilmigration zur Validierung des Exit-Plans.
Rechtliche Pendants in CH, AT und EU-weit
Schweiz
Die Schweiz ist kein DORA-Geltungsbereich, verfolgt aber mit dem FINMA-Rundschreiben 2018/3 „Outsourcing — Banken und Versicherer" einen strukturell ähnlichen Ansatz. Seit der Revision 2023 sind die Anforderungen an Vertragsinhalte, Inventarführung und Risikosteuerung substanziell an internationale Standards angelehnt. Grundlage bleibt Art. 3 BankG (Bewilligungsvoraussetzungen für Banken, insbesondere Gewähr für einwandfreie Geschäftstätigkeit) sowie die Bankenverordnung (BankV). Die FINMA hat im März 2025 in einem Aufsichtsmitteilungsschreiben klargestellt, dass sie für Institute mit EU-Tochtergesellschaften oder -Kunden eine faktische DORA-Äquivalenz erwartet, auch wenn das Rundschreiben 2018/3 formal nicht angepasst wurde. Für schweizerische Gruppen mit EU-Präsenz bedeutet das: zwei Regime, ein Prozess.
Österreich
In Österreich gilt DORA unmittelbar und wird flankiert durch das Bankwesengesetz (BWG), insbesondere § 5 BWG (Bewilligungsvoraussetzungen) und § 39 BWG (allgemeine Sorgfaltspflichten der Geschäftsleiter). Die FMA hat mit den FMA-Mindeststandards für das Auslagerungsmanagement aus 2024 den nationalen Rahmen konkretisiert und explizit auf die DORA-Terminologie ausgerichtet. Eine Besonderheit: Die FMA verlangt für CIF-Auslagerungen eine Vorabanzeige, die in der Bearbeitungspraxis drei bis sechs Wochen in Anspruch nimmt — dieser zeitliche Puffer ist in österreichische Projektpläne einzubauen.
EU-weit
Auf Unionsebene ergänzen die von den ESAs erarbeiteten RTS und ITS den DORA-Text. Zentral sind die RTS zu Art. 28 Abs. 9 DORA (finalisiert Juli 2024, in Kraft Januar 2025) zur Spezifizierung des Policy-Rahmens für IKT-Drittdienstleister sowie die ITS-Technical Specifications zum RoI. Die EBA-ESMA Joint Guidelines 2024 zur Governance überlappen inhaltlich mit der CIF-Definition und sind parallel zu beachten. Für Institute, die unter die CRD VI fallen, kommt ab 2026 zusätzlich eine erweiterte Fit-and-Proper-Prüfung der Outsourcing-Verantwortlichen hinzu — was die Schnittstelle zwischen Auslagerungssteuerung und Personal-Compliance weiter verdichtet.
Was die Aufsicht tatsächlich prüft
Eine PwC-Analyse aus dem ersten Quartal 2025 zur DORA-Readiness europäischer Banken zeigt ein konsistentes Muster der Aufsichtsprüfungen: Der RoI wird auf Vollständigkeit und ITS-Konformität geprüft, die CIF-Klassifizierung wird auf Dokumentationstiefe und Konsistenz mit MaRisk AT 9 abgeklopft, und die Vertragsanpassungen werden in Stichproben gegen den Art.-30-Katalog gematched. Wer hier Lücken zeigt, muss mit Prüfungsfeststellungen und — bei CIF-relevanten Verstößen — mit Sanktionen nach Art. 50 DORA in Höhe von bis zu 1 % des weltweiten jährlichen Gesamtumsatzes rechnen.
Die Kienbaum-Compliance-Studie 2024 bestätigt, dass der Engpass in der Umsetzung selten auf Vorstandsebene liegt, sondern im operativen Mittelbau: in der Abstimmung zwischen Einkauf, Vertragsmanagement, Risk, Compliance und IT. Institute, die einen zentralen DORA-Koordinator mit durchgriffsfähigem Mandat eingesetzt haben, kommen messbar schneller voran.
Fazit und Handlungsempfehlung
Art. 28 DORA ist keine isolierte Vorschrift, sondern der Ankerpunkt eines durchstrukturierten Regelsystems, das von der Vertragsgestaltung über das Incident-Reporting bis zur Exit-Fähigkeit alle Stufen des Drittanbieter-Lebenszyklus abdeckt. Die 7-Schritte-Checkliste liefert einen pragmatischen Umsetzungspfad — ersetzt aber nicht die institutsspezifische Risikoanalyse und die enge Verzahnung mit den bestehenden MaRisk-, BAIT- und KWG-Strukturen.
Besonders an der Schnittstelle zu § 25c KWG (Zuverlässigkeit und fachliche Eignung der Geschäftsleiter und Schlüsselpersonen) zeigt sich der wachsende Bedarf an prüfungsfesten, DSGVO-konformen Hintergrundprüfungen — nicht nur für eigene Mitarbeiter, sondern auch für Schlüsselpersonen auf Anbieterseite. Indicium Technologies unterstützt Banken im DACH- und EU-Raum mit einer regulatorisch abgestimmten, auditfähigen Plattform für Background-Checks und Fit-and-Proper-Dokumentation.
Buche eine Demo und sprich mit unserem Team über die konkrete Integration in deine DORA- und KWG-Prozesslandschaft.
Weiterlesen — verwandte Artikel
Nabil El Berr
