Vom Hygienefaktor zum Wettbewerbsvorteil 

In den bisherigen Teilen der Serie standen vor allem Risiken im Mittelpunkt: persönliche Verantwortung des Leitungsorgans, Governance-Schwächen in Legacy-Landschaften, Abhängigkeiten von Dienstleistern und die operative Härte realer Krisenszenarien. 

Genau daraus ergibt sich aber eine zentrale Management-Erkenntnis: Resilienz ist nicht nur Abwehr. Resilienz ist Steuerungsqualität. 

Für Finanzinstitute bedeutet das konkret: Wer kritische oder wichtige Funktionen sauber identifiziert, Abhängigkeiten transparent steuert, Vorfälle belastbar klassifiziert und im Krisenfall konsistent handelt, erfüllt nicht nur regulatorische Anforderungen. Er schafft damit Vertrauen nach innen und nach außen: durch klarere Verantwortlichkeiten, belastbarere Entscheidungswege und höhere Glaubwürdigkeit gegenüber Prüfern, Kunden, Auslagerungspartnern und Investoren. 

Resilienz bleibt damit zwar ein Hygienefaktor in dem Sinne, dass ihr Fehlen sofort negativ auffällt. Ihre nachweisbare Stärke wird jedoch zunehmend zum Differenzierungsfaktor. 

Wo Resilienz in der Praxis tatsächlich Mehrwert schafft 

Für Finanzinstitute zeigt sich der Wert von Resilienz nicht in einem abstrakten Sicherheitsversprechen, sondern in ganz konkreten Situationen: 

1. In Prüfungen und aufsichtlichen Gesprächen 
Ein Institut, das seine kritischen Funktionen, IKT-Assets, Drittparteien, Exit-Szenarien und Meldewege sauber darstellen kann, wirkt nicht nur compliant, sondern steuerungsfähig. Genau dieser Unterschied entscheidet häufig darüber, ob Aufsicht und Revision eine Organisation als beherrscht oder als reaktiv wahrnehmen. 

2. In Auslagerungen und Partnerbeziehungen 
Wer seine Abhängigkeiten, Mindestanforderungen und Eskalationswege klar geregelt hat, verhandelt stärker. Resilienz verbessert damit nicht nur die Kontrollfähigkeit, sondern auch die Qualität von Auslagerungsbeziehungen und die eigene Position in Vertrags- und Steuerungsgesprächen. 

3. In Kunden- und Marktvertrauen 
Institutionelle Kunden und Geschäftspartner achten zunehmend darauf, ob ein Anbieter nicht nur leistungsfähig, sondern auch belastbar ist. Nachweisbare Stabilität, klare Notfallfähigkeit und transparente Governance reduzieren Zweifel und schaffen Vertrauen, gerade in kritischen oder sensiblen Geschäftsprozessen. 

4. In interner Effizienz und Entscheidungsqualität 
Viele Resilienzmaßnahmen erzeugen nicht nur Sicherheit, sondern Ordnung: klarere Rollen, weniger Schattenprozesse, bessere Dokumentation, konsistentere Informationslagen und kürzere Eskalationswege. Was regulatorisch gefordert ist, wirkt dadurch oft gleichzeitig als Organisationsverbesserung. 

5. In strategischer Entscheidungsfreiheit 
Ein Institut, das seine Abhängigkeiten versteht und Exit-, Notbetriebs- oder Übergangsszenarien vorbereitet hat, bleibt nicht nur im Stressfall handlungsfähig. Es gewinnt auch strategische Entscheidungsfreiheit, weil technologische oder vertragliche Sackgassen früher erkannt und Alternativen realistischer bewertet werden können. 

Wie aus regulatorischer Pflicht strategischer Nutzen wird 

Der eigentliche Hebel liegt darin, dass Resilienz nicht bei Compliance stehen bleibt. Sie stärkt Markt- und Prüfungsfähigkeit, schafft Transparenz über Komplexität und Kosten, verbessert die Qualität von Management-Entscheidungen und wirkt positiv auf das wahrgenommene Risikoprofil eines Instituts. 

Genau darin liegt ihr strategischer Wert: Was regulatorisch gefordert ist, kann bei sauberer Umsetzung zugleich zu besserer Steuerbarkeit, höherer Glaubwürdigkeit und größerer organisatorischer Reife führen. 

Was aus fünf Teilen bleibt 

Die eigentliche Botschaft dieser Serie ist damit klar: DORA verlangt von Finanzinstituten nicht einfach mehr Dokumentation. DORA verlangt eine Organisation, die Risiken, Abhängigkeiten, Entscheidungen und Reaktionen tatsächlich steuern kann. 

Genau darin liegt der gemeinsame Nenner aller fünf Teile: 

• Governance schafft Verantwortbarkeit.  

• Transparenz schafft Steuerbarkeit.  

• Krisenfähigkeit schafft Glaubwürdigkeit.  

• Und belastbare Resilienz schafft Vertrauen.  

Wer diese Logik nur als regulatorische Last betrachtet, wird Resilienz als Kostenfaktor erleben. Wer sie als Führungs- und Qualitätsdisziplin versteht, baut damit die Grundlage für Stabilität, Verlässlichkeit und Differenzierung im Markt. 

Der Weg zur Resilienz-Exzellenz: Unser Angebot 

Resilienz entsteht nicht durch große Schlagworte, sondern durch belastbare Strukturen: klare Verantwortlichkeiten, realistische Szenarien, steuerbare Abhängigkeiten und eine Governance, die auch unter Druck funktioniert. 

Genau dort setzen wir an. Wir unterstützen Finanzinstitute dabei, regulatorische Anforderungen so umzusetzen, dass daraus nicht nur Prüffähigkeit, sondern echte Steuerungsfähigkeit entsteht. 

Unser Angebot: In einer Strategie-Session betrachten wir gemeinsam, wie sich Ihre aktuelle DORA- und Resilienz-Roadmap fachlich schärfen und organisatorisch wirksamer aufstellen lässt. Pragmatisch, prüfbar und mit Blick auf den tatsächlichen Mehrwert für Ihr Haus. 

Ancarix Consulting
Responsible by Design

Kritische Prozesse unter DORA: Warum IT-Vorfälle schnell geschäftskritisch werden

Nicht jeder IT-Vorfall ist automatisch existenzbedrohend und nicht jede Anwendung verdient denselben Krisenmodus. Die eigentliche Relevanz dieses Artikels liegt deshalb dort, wo der Schaden nicht nur „technisch“ ist, sondern geschäftskritisch und regulatorisch spürbar wird: bei kritischen und wichtigen Prozessen.

Genau diese Prozesse sind es, die im Ernstfall den Unterschied machen, etwa Zahlungsverkehr, Handels- und Abwicklungssysteme, Kernbankfunktionen, digitale Kundenkanäle oder Identitäts- und Berechtigungsservices. Hier führt eine Störung nicht nur zu Verzögerungen, sondern schnell zu materiellem Impact: Kunden sind betroffen, Service-Level reißen, operative Risiken materialisieren, und die Melde- und Steuerungspflichten werden scharf.

Radikale Transparenz: Wenn der Technik-Ausfall zur Meldepflicht wird

Ein Cyberangriff am Freitagnachmittag. Ein Ausfall des Kernsystems kurz vor dem Quartalsabschluss. Szenarien, die jedem Geschäftsleiter den Schweiß auf die Stirn treiben.

Der Unterschied zu früher: Mit DORA ist Krisenmanagement nicht mehr nur Technik, sondern ein hochregulierter, zeitkritischer Führungsprozess. Es zählt nicht nur, dass Sie stabilisieren, sondern auch wie schnell Sie klassifizieren, wie nachvollziehbar Sie kommunizieren und wie belastbar Ihre Informationslage ist.

Der alte „Notfallordner im Schrank“ ist damit endgültig obsolet: In der Praxis brauchen Sie Playbooks, Entscheidungsregeln, Nachweisfähigkeit und eine Organisation, die das routiniert kann.

Der 24-Stunden-Countdown: Zeit ist jetzt ein Compliance-Risiko

Der größte Stressfaktor ist die Uhr: Für schwerwiegende IKT-Vorfälle gelten enge Meldepflichten.

Die erste Meldung: Innerhalb von 4 Stunden nach Kenntnisnahme müssen Sie der Aufsicht (und ggf. Kunden) eine erste Meldung erstatten.

Das Problem: In den ersten Stunden wissen Sie häufig noch nicht genug. Handelt es sich um einen Angriff? Welche Services sind betroffen? Gibt es Hinweise auf Datenabfluss? Gleichzeitig werden intern Entscheidungen erwartet und extern steigt der Kommunikationsdruck.

Der Zielzustand (und genau hier setzt DORA-Reife an): Diese Phase darf kein improvisiertes „Ad hoc“ sein, sondern muss wie ein eingespielter Ablauf funktionieren:

• klare Trigger & Kriterien für „schwerwiegend“
• vordefinierte Erstmeldung-Templates (was wir sagen können, obwohl wir noch nicht alles wissen)
• Timeboxing für Lagebild, Klassifizierung, Freigaben
• ein Eskalationsmodell, das 24/7 handlungsfähig ist (inkl. Stellvertretungen)

Damit verschiebt sich das Risiko: Nicht nur der Vorfall selbst schadet, sondern auch zu späte/unklare Klassifikation oder inkonsistente Meldelogik. Genau das kann schnell als Organisationsmangel gewertet werden.

Die organisatorische Sollbruchstelle: Technik reagiert – Governance wackelt

In der Praxis sehen wir häufig ein typisches Muster:

• Die technische Incident Response funktioniert („wir isolieren, wir stabilisieren, wir recovern“).
• Die regulatorische und organisatorische Steuerung hakt („wer entscheidet, wer informiert, wer dokumentiert, wer genehmigt, was ist die konsistente Linie?“).

DORA verlangt eine klare Klassifizierung und konsistente Kommunikation. Zwei Fragen entscheiden über Ihre Handlungsfähigkeit:

1) Entscheidungsfähigkeit:
Wer entscheidet in Ihrem Haus nachts um 3 Uhr belastbar, ob ein Vorfall „schwerwiegend“ ist – nach definierten Kriterien und ohne „Management-Pingpong“?

2) Informationsfähigkeit über die Lieferkette:
Sind die Wege zu Ihren Dienstleistern (Cloud, Software, Outsourcing) so etabliert, dass Sie rechtzeitig verwertbare Informationen in der Struktur, die Sie für Meldung und Management-Entscheidungen brauchen erhalten?

Wenn diese Klarheit fehlt, entsteht nicht nur Chaos. Sie riskieren den Eindruck, dass Kontrollpflichten nicht wirksam wahrgenommen werden. Krisenmanagement wird damit zu einem Governance-Test unter Echtzeitbedingungen.

Von „Plan vorhanden“ zu „Plan wirkt“: Üben, messen, nachweisen

An dieser Stelle kippt in vielen Dokumenten der rote Faden: Man springt von Meldepflichten direkt zu „Tests“. Der Zusammenhang ist aber zentral:

Sie können nur schnell und korrekt melden, wenn Sie die Abläufe vorher geübt haben, inklusive der Schnittstellen zu Dienstleistern, Freigaben, Kommunikationslinien und Dokumentation.

Ein Notfallplan, der nie geübt wurde, ist das Papier nicht wert, auf dem er steht. Der Anspruch ist 2026 nicht „wir haben BCM“, sondern:

• wir haben Tests, die reale Engpässe sichtbar machen
• wir haben Korrekturmaßnahmen, die umgesetzt werden
• wir können gegenüber Prüfern/Aufsicht zeigen, dass wir daraus lernen

Das bedeutet: Weg vom „Schönwetter-Test“, bei dem alle vorbereitet sind, hin zu realistischen Simulationen, inklusive Abwesenheiten, gestörter Kommunikationskanäle, unvollständiger Provider-Infos und Zeitdruck.

Unser Ansatz: Krisenfähigkeit als Routine – nicht als Ausnahmezustand

Wir helfen Ihnen, Ruhe ins Chaos zu bringen. Unser Fokus liegt nicht darauf, Firewalls zu konfigurieren, sondern Ihre Entscheidungswege und Ihre Nachweisfähigkeit zu stählen damit Sie operativ UND regulatorisch handlungsfähig bleiben.

1) Meldekette & Entscheidungslogik operationalisieren

• Rollen, Stellvertretungen, 24/7-Eskalation
• Trigger & Klassifizierung nach Kriterien
• Templates, Checklisten, „Minimum Viable Information“ für t0–t24

2) Krisenstab-Coaching für Managementfähigkeit unter Unsicherheit

• Lagebildführung, Entscheidungsprotokoll, Freigabeprozesse
• Krisenkommunikation: konsistent, belastbar, prüffähig
• Umgang mit „wir wissen es noch nicht“ – ohne Aussagechaos

3) Incident-Simulationen / Tabletop Exercises mit Lieferkette

• Ausfall kritischer Systeme + Provider-Abhängigkeiten
• Test der Informationsbeschaffung beim Dienstleister
• Test der End-to-End-Kette: Technik → Governance → Meldung → Kommunikation → Lessons Learned

So wird Krisenmanagement von einer reaktiven Disziplin zu einem steuerbaren Betriebsprozess.

Im nächsten Teil der fünfteiligen Serie:

Im letzten Teil unserer Serie: Wenn Sie Ihre Hausaufgaben gemacht haben, wird Resilienz mehr als nur eine Versicherung. Erfahren Sie im abschließenden Artikel, wie Sie Sicherheit in einen Wettbewerbsvorteil verwandeln: „Resilienz als Wachstumshebel: Vom Kostentreiber zum Gütesiegel“.

Ancarix Consulting
Responsible by Design

DORA Drittparteienrisiko – warum Outsourcing die Verantwortung nicht auslagert

Auslagerungen sind effizient, Cloud-Dienste machen flexibel und spezialisierte Software-Anbieter sichern Innovation. Doch aus Sicht der Aufsicht ist diese Vernetzung vor allem eines: Ein gigantisches, oft unübersichtliches Risikofeld.

Mit dem Digital Operational Resilience Act (DORA) verschiebt sich der Fokus der Prüfung massiv. Während früher (unter MaRisk AT 9) vor allem die wesentlichen Auslagerungen im Fokus standen, zieht DORA das Netz viel weiter. Es geht nun um das Management sämtlicher IKT-Drittparteienrisiken.

Das Credo der Aufsicht für 2026 ist unmissverständlich: Sie können Aufgaben delegieren, aber niemals die Verantwortung. Wenn Ihr Dienstleister patzt, haften Sie, und zwar so, als wäre der Fehler in Ihrer eigenen IT passiert.

Von „ausgelagert“ zu „haftet trotzdem“: Was Verantwortung unter DORA wirklich bedeutet

Genau an dieser Stelle setzt DORA einen klaren Kontrapunkt zur gängigen Praxis: Ein Vertrag verlagert Leistungen – aber keine Verantwortung. Auch wenn Betrieb, Entwicklung oder Security-Services bei einem Provider liegen, bleibt die Kontroll- und Steuerungspflicht bei Ihnen. Für die Aufsicht zählt am Ende nicht, wer den Fehler gemacht hat, sondern ob Ihr Institut die Risiken beherrscht hat.

Was das in der Praxis heißt: Ein Dienstleister-Vorfall wird regulatorisch wie ein eigener Vorfall behandelt – inklusive der Erwartungen an Nachweisbarkeit, Steuerungsfähigkeit und Reaktionsfähigkeit. Wenn ein Provider nicht patcht, ein Subunternehmer ausfällt oder eine Cloud-Fehlkonfiguration zu Datenabfluss führt, ist das kein „Problem des Lieferanten“, sondern ein Organisations- und Governance-Thema Ihres Hauses.

Damit wird Drittparteien-Management zu einer Kernfunktion der operativen Resilienz – mit drei unmittelbaren Konsequenzen:

1. Sie müssen Kontrolle ausüben können – nicht nur Leistung „bestellen“: Verträge und SLAs sind nur dann belastbar, wenn sie Ihnen echte Steuerungshebel geben (z. B. Zugriff auf relevante Informationen, klare Eskalationsmechanismen, definierte Mitwirkung bei Vorfällen).
2. Sie müssen Transparenz über die Leistungserbringung haben: Wer erbringt die Leistung tatsächlich; der Anbieter selbst oder weitere Subunternehmer? Welche kritischen Abhängigkeiten entstehen dadurch? Ohne belastbare Transparenz können Sie Verantwortung nicht wahrnehmen.
3. Sie müssen im Ernstfall handlungsfähig bleiben: DORA denkt Verantwortung bis zum Krisenmoment. Wenn Sie nicht kurzfristig entscheiden, priorisieren, kommunizieren und umsteuern können, hilft Ihnen der „beste Vertrag“ nicht; dann fehlt die operative Steuerbarkeit.

Kurz: Unter DORA reicht es nicht, dass ein Dienstleister „liefert“. Entscheidend ist, ob Ihr Institut die Leistung aktiv steuert, Risiken laufend überwacht und im Störfall nachweisbar die Zügel in der Hand behält.

Der Vendor-Lock-in-Test: Wie abhängig sind wir wirklich?

Auslagerung schafft Geschwindigkeit, aber sie schafft auch Bindung. Und genau hier wird DORA unbequem: Nicht die Nutzung von Cloud, SaaS oder spezialisierten Providern ist das Problem, sondern die Frage, ob Ihr Institut im Zweifel handlungsfähig bleibt. Der „Vendor-Lock-in-Test“ ist deshalb ein realistischer Blick auf die eigene Abhängigkeit: Können Sie den Dienstleister wechseln oder die Leistung anderweitig sicherstellen, ohne dass der Geschäftsbetrieb ins Stolpern gerät?

In der Praxis entsteht Lock-in selten durch einen einzelnen Vertragspunkt, sondern durch ein Bündel aus technischen, organisatorischen und wirtschaftlichen Faktoren. Technisch sind es oft proprietäre Plattform-Services, individuelle Konfigurationen, nicht standardisierte Schnittstellen oder fehlende Portabilität von Daten und Identitäten. Organisatorisch verschärfen fehlende Dokumentation, Wissenskonzentration beim Provider und unklare Verantwortlichkeiten die Lage. Und wirtschaftlich machen lange Laufzeiten, hohe Wechselkosten oder komplexe Subdienstleister-Ketten den Ausstieg faktisch unattraktiv, selbst wenn er theoretisch möglich wäre.

DORA zwingt Institute, diese Realität offen zu adressieren. Denn ein Lock-in ist nicht nur ein Einkaufs- oder Architekturthema, sondern ein Resilienz- und Governance-Risiko. Wenn ein Provider ausfällt, kompromittiert wird oder regulatorisch „schwierig“ wird, müssen Sie nachweisen können, wie Sie die kritische Funktion stabil weiterbetreiben. Das bedeutet nicht zwingend, dass Sie jederzeit per Knopfdruck migrieren können. Aber Sie müssen belegen, dass Sie Abhängigkeiten kennen, Alternativen bewertet haben und Übergangsszenarien geplant sind. Mit klaren Triggern, Verantwortlichkeiten und Mindestanforderungen an Kontinuität.

Ein pragmatischer Vendor-Lock-in-Test für Ihre Exit-Strategie lässt sich entlang weniger Leitfragen strukturieren:

• Portabilität: Können Daten, Logs, Konfigurationen und Schlüsselmaterial in einem nutzbaren Format exportiert werden, inklusive Vollständigkeit und Zeitnähe?
• Identitäten & Zugriffe: Sind IAM/Rollenmodelle, Berechtigungen und Admin-Zugänge so gestaltet, dass ein Wechsel nicht zur Neu-Erfindung der Sicherheitsarchitektur führt?
• Schnittstellen & Abhängigkeiten: Welche Anwendungen, Prozesse und Subdienstleister hängen an der Leistung und was bricht zuerst, wenn der Dienst „wackelt“?
• Betriebsfähigkeit im Übergang: Gibt es ein realistisch beschreibbares Übergangsmodell (Parallelbetrieb, Notbetrieb, Ersatzprovider, temporäre Inhouse-Übernahme)?
• Wechselkosten & Zeit: Wie lange würde eine Migration dauern und welche Ressourcen (Fachlichkeit, Budget, Architekturkapazität) wären tatsächlich verfügbar?

Unser Ansatz: Vom „Verwalten“ zum „Steuern“

Wir sehen das Drittparteien-Management nicht als reine Admin-Aufgabe. Wir nutzen die DORA-Anforderungen, um Ihre Lieferkette resilienter und Ihre Verhandlungsposition stärker zu machen.

• Prüfungssichere Klassifizierung: Wir helfen Ihnen, den Dschungel Ihrer Dienstleister zu lichten und exakt zu bestimmen, wer „kritisch“ im Sinne der DORA ist. Das spart Aufwand, da Sie nicht jeden Toner-Lieferanten mit der vollen Compliance-Härte treffen müssen.
• Gap-Analyse der Verträge: Wir prüfen Ihre Bestandskontrakte auf die fehlenden DORA-Pflichtklauseln (z.B. Audit-Rechte, Mitwirkungspflichten bei TLPT).
• Pragmatische Exit-Pläne: Wir schreiben keine Romane, sondern definieren machbare Szenarien. Wir unterscheiden zwischen dem, was technisch möglich und dem, was regulatorisch notwendig ist.

Im nächsten Teil der fünfteiligen Serie:

Selbst mit den besten Dienstleistern und Systemen wird es irgendwann knallen. Die Frage ist nicht ob, sondern wann. Lesen Sie im nächsten Artikel, warum die neuen Meldepflichten jeden Notfall zum Wettlauf gegen die Uhr machen: „Krisenmanagement 2.0: Wenn der Ernstfall zum Alltag wird“.

Ancarix Consulting
Responsible by Design

Der Paradigmenwechsel der EBA: Third-Party Risk statt isoliertem Outsourcing-Management

Die European Banking Authority (EBA) hat am 8. Juli 2025 ein Konsultationspapier zu neuen Guidelines für das Management von Third-Party Risk veröffentlicht – mit klarem Fokus auf non-IKT-Leistungen und einer bewussten Ausrichtung an den Governance-Prinzipien von DORA.

Der Kern der Leitlinie ist ein Paradigmenwechsel: Outsourcing wird nur noch als Teilmenge verstanden. Künftig sollen Institute alle „Third-Party Arrangements“ bzw. Drittbeziehungen (nicht nur „formale Auslagerungen“) in ein einheitliches Steuerungsmodell über den gesamten Lebenszyklus überführen.

Wenn die angekündigte MaRisk-Neuerung sich wie erwartet an die EBA-Third-Party-Guidelines angleicht, trifft das inhaltlich zu: Dann ist „Outsourcing“ nicht mehr das leitende Ordnungsprinzip, sondern auch im deutschen Markt nur noch eine Unterkategorie im breiten Third-Party-Risk-Framework. Entscheidend wird nicht mehr das Label im Vertrag, sondern die steuerbare End-to-End-Governance über alle Drittbezüge: Registerqualität, Lieferkette/Subdienstleister, Audit-/Informationsrechte und nachweisbare Exit-Fähigkeit. Kurz: Outsourcing stirbt als Begriff und Third-Party Risk wird die neue Disziplin.

Was sich ändert: Von Auslagerungslogik zu Third-Party Risk Framework

Bisher war „Auslagerungsmanagement“ häufig ein Spezialprozess für wenige, als Outsourcing klassifizierte Verträge. Die EBA dreht das Denken um: Third-Party Arrangements sind der Regelfall, Outsourcing eine besondere Unterkategorie.

Das ist mehr als Semantik: Es zwingt Institute, Risiken aus Dienstleister-Ökosystemen, Subdienstleisterketten und Konzentrationen systematisch zu erfassen und inklusive nachweisbarer Exit-Fähigkeit zu steuern.

1) Die Kernanforderungen der EBA an Third-Party Risk Management

Ganzheitlicher Scope: Institute sollen sämtliche Third-Party Arrangements erfassen und steuern, unabhängig davon, ob sie bislang als Outsourcing gelabelt wurden. Kritische/wichtige Funktionen stehen besonders im Fokus.

Third-Party Risk ist end-to-end zu managen – von der Risikoprüfung vor Beauftragung über Due Diligence, laufendes Monitoring bis zur Beendigung/Exit-Umsetzung. Tiefe und Aufwand richten sich nach Kritikalität, Art der Leistung, Abhängigkeiten sowie Konzentrations- und Subdienstleisterrisiken. Dies soll risikobasiert und proportional erfolgen.

2) Register, Transparenz, Verträge: EBA und DORA wachsen zusammen

DORA gilt seit 17. Januar 2025 und setzt für IKT-Drittbezüge u. a. stark auf ein Register of Information. Die EBA-Draft-Guidelines zielen darauf, für non-IKT-Leistungen ein vergleichbar steuerbares Modell (perspektivisch) mit integrierter Registerlogik statt paralleler Silos zu etablieren. Das Register wird nicht nur „Dokumentation“, sondern zentrales Steuerungsinstrument: Kritikalität, Abhängigkeiten, Subdienstleister, Konzentration, Exit-Optionen; Alles muss, nachvollziehbar, konsistent und auditierbar dokumentiert sein.

Mindestanforderungen an Vertragsinhalte

Die EBA koppelt Transparenz an durchsetzbare Rechte im Vertrag. Typische Mindestbausteine (insb. bei critical/important functions):

• klare Leistungs- und Verantwortlichkeitsdefinition, ggf. SLA/Qualitätsparameter
• Informations-, Prüf- und Auditrechte (inkl. Remote-Audits)
• Subcontracting-Regeln inkl. Transparenz über die Lieferkette und „Flow-down“ relevanter Rechte
• Daten-/Sicherheits-/Verfügbarkeitsregeln und Meldepflichten bei Störungen
• Exit- & Beendigungsfähigkeit (Transition Support, Datenrückgabe/Migration/Löschung, BC-Absicherung)
• Anpassungsmechanismen für regulatorische/risikorelevante Änderungen

3) Verhältnis zu DORA: Ein Zielbild statt Doppelstrukturen

• DORA definiert detaillierte Anforderungen für IKT-Drittparteien inkl. Register-Pflichten und Oversight-Mechanik.
• EBA-Guidelines erweitern diese Governance-Logik auf non-IKT-Drittbezüge und schaffen ein übergreifendes Third-Party-Risk-Rahmenwerk.

Praktisch heißt das: Der angestrebte Zielzustand ist ein integriertes Third-Party Risk Framework, in dem DORA die IKT-Spezialdisziplin bildet – nicht einen separaten Nebenprozess.

4) Zeitplan: Konsultation, Finalisierung, Übergang

Die Konsultation lief bis 8. Oktober 2025. In der Fachöffentlichkeit wird u. a. eine Veröffentlichung der finalen Leitlinie bis April 2026 diskutiert; für Bestandsarrangements ist ein Übergangszeitraum von zwei Jahren vorgesehen (insbesondere für Vertrags- und Registeranpassungen).

5) BaFin & MaRisk: Was Institute in Deutschland erwarten sollten

Auch wenn EBA-Leitlinien europäisch wirken, werden sie in der Praxis typischerweise über Aufsichtserwartungen, Prüfungsfokus und Auslegung schnell wirksam. Für deutsche Institute ist daher plausibel, dass BaFin-Prüfungen stärker auf Registerqualität, Vertragsrechte, Lieferketten-Transparenz und Exit-Fähigkeit zielen – auch jenseits der klassischen Auslagerungsdefinition. Gleichzeitig bleibt MaRisk AT9 der nationale Referenzrahmen für Auslagerungen.

Fazit: Third-Party Risk wird zur Kernfunktion

Die EBA macht deutlich: „Outsourcing“ reicht als Steuerungsbrille nicht mehr. Institute sollten jetzt die Weichen stellen, um Third-Party Risk integriert, steuerbar und resilient aufzubauen:

• Transparenz über alle Drittbezüge (IKT und non-IKT)
• einheitliche Vertragsstandards mit echten Steuerungsrechten (Durchgriff- und Exit-Rechte)
• Register & Governance DORA-kompatibel, aber ohne Silostrukturen

Wer früh konsolidiert, reduziert nicht nur regulatorische Risiken, sondern gewinnt operative Resilienz und echte Steuerbarkeit im Dienstleister-Ökosystem.

Praxis-Check: In 5 Schritten den eigenen Status quo prüfen

Führen Sie diese fünf kurzen Checks durch und bewerten Sie ehrlich, wo Ihr Institut heute steht und identifizieren Sie ihren Handlungsbedarf:

1. Gibt es eine vollständige, aktuelle Übersicht aller Drittbezüge, inklusive non-IKT Leistungen, Subdienstleister und interner Provider?
2. Sind kritisch/wichtige Funktionen klar definiert und einheitlich über alle Third-Party-Arrangements angewendet oder existieren parallele Logiken?
3. Enthalten Ihre Verträge risikobasierte und prüfbare Steuerungsrechte (Audit, Informationspflichten, Subdienstleister-Transparent, Exit-Support)?
4. Können Sie realistisch erklären, wie en kritischer Dienstleister ersetzt oder beendet wird, inklusive Übergang, Datenmigration und Business Continuity Absicherung?
5. Gibt es ein integriertes Third-Party-Risk-Framework, in dem DORA die IKT-Spezialdisziplin ist oder haben Sie getrennte Register, Prozesse und Verantwortlichkeiten?

Ancarix Consulting
Responsible by Design

„Never change a running system“?

Oder sollten wir fragen: Maybe check your running system?

In vielen Vorstandsetagen herrscht ein stillschweigendes Abkommen über die großen Altsysteme (Legacy-Systeme): Solange sie laufen und die Buchungen korrekt verarbeiten oder Geschäftsprozesse richtig darstellen, werden sie nicht angefasst. Sie gelten als das operative Fundament, welches massiv, teuer, aber stabil ist.

Mit dem Digital Operational Resilience Act (DORA) muss dieses Schweigen gebrochen werden. Die Aufsicht betrachtet Ihre IT-Landschaft nicht mehr nur unter dem Aspekt der Funktionalität („Läuft es?“), sondern unter dem Aspekt der Steuerbarkeit und Beherrschbarkeit („Haben Sie die Kontrolle?“).

Für das IKT-Risikomanagement im Sinne von DORA entsteht hier ein gravierendes Problem: Viele gewachsene Systeme entziehen sich den modernen Standards der Governance und Überwachung, die DORA verbindlich verlangt. Was früher ein technisches Detail war, wird damit zu einer aufsichtsrechtlich relevanten Governance-Lücke.

Der regulatorische Blindflug

DORA verpflichtet Institute, ein angemessenen und wirksames IKT-Risikomanagement-Framework zu etablieren, die RTS (Regulatory Technical Standards) konkretisieren diese Anforderungen unter anderem hinsichtlich Identifikation, Klassifizierung und Überwachung von IKT-Risiken.

Gerade bei Legacy-Systemen stoßen etablierte Prozesse hier häufig an ihre Grenzen:

• Begrenzte Überwachbarkeit: Wenn ein Altsystem keine granularen Daten über Zugriffe oder Anomalien liefert, können Sie Ihrer Berichtspflicht gegenüber der Aufsicht nicht nachkommen. Sie haben dann einen blinden Fleck in Ihrem IKT-Risikobericht.
• Fehlende Dokumentation: Häufig ist das Wissen über die genaue Funktionsweise dieser Systeme mit den Mitarbeitern in den Ruhestand gegangen. DORA verlangt jedoch eine aktuelle, gepflegte Dokumentation der relevanten IKT-Assets und Abhängigkeiten. Ein System zu betreiben, das man nicht vollständig versteht, ist aufsichtsrechtlich schwer vertretbar.
• Konflikt mit dem „Lifecycle Management“: Die Regulatorik erwartet, dass Software aktuell gehalten wird. Bei „End-of-Life“ oder „End-of-Support“-Systemen ist dies per Definition nur eingeschränkt möglich. Ohne validen Migrationsplan ist der Weiterbetrieb aus Compliance-Sicht risikobehaftet.

Die Haftungsfrage: Bewusste Risikoentscheidung vs. Technische Fahrlässigkeit

Für die Geschäftsleitung, die gemäß Artikel 5 DORA die finale Verantwortung trägt, ist der Umgang mit Legacy-Systemen keine technische Detailfrage, sondern eine Risiko- und Governance-Entscheidung.

Wenn Sie Altsysteme weiterbetreiben, die den neuen Resilienz-Anforderungen nicht genügen, müssen Sie dies aktiv managen. Ein Einfaches „Wir können das nicht abschalten“ akzeptiert die Aufsicht nicht mehr. Zentrale Fragen dabei sind:

1. Haben Sie das Risiko formal bewertet, akzeptiert und dokumentiert?
2. Gibt es kompensierende Maßnahmen (z. B. engmaschigere manuelle Kontrollen), um die fehlende technische Sicherheit auszugleichen?
3. Existiert ein von der Geschäftsleitung genehmigter Ausstiegsplan?

Unser Ansatz: Regulatorische Kapselung und Risikosteuerung

Eine vollständige technologische Erneuerung der IT-Architektur ist nicht kurzfristig erforderlich, um sie DORA-konform und handlungsfähig zu machen. Der Fokus liegt zunächst darauf, die Governance- und Steuerungslücke zu schließen. Wir bewerten Ihre Legacy-Landschaft mit der Brille des Prüfers:

• Risiko Inventur: Wir identifizieren, welche Legacy-Systeme „kritische oder wichtige Funktionen“ unterstützen und damit unter die strengsten DORA-Regeln fallen.
• Definition kompensierender Maßnahmen: Wo die Technik nicht modernisiert werden kann, etablieren wir organisatorische Kontrollen und Prozesse, die das Risiko auf ein akzeptables Maß (Risk Appetite) begrenzen.
• Strategische Roadmap: Wir entwickeln mit Ihnen einen regulatorisch belastbaren Plan für den Umgang mit Altlasten, sei es durch Modernisierung, Auslagerung oder kontrollierten Rückbau. Damit werden Sie gegenüber der Aufsicht wieder erklär- und steuerungsfähig.

Legacy-Systeme sind nicht automatisch ein Verstoß gegen DORA, ungeklärte Verantwortung, fehlenden Transparenz und nicht gesteuerte Restrisiken jedoch schon.

Praxis-Check: Legacy-Readiness unter DORA in 5 Fragen

Beantworten Sie die folgenden Fragen ehrlich für Ihre wesentlichen Legacy-Systeme. Mehr als ein „Jein“ ist ein klares Signal für Handlungsbedarf:

1. Haben Sie eine vollständige, aktuelle Übersicht, welche Legacy-Systeme welche Geschäftsprozesse und kritischen bzw. wichtigen Funktionen unterstützen?
2. Sind Risiken aus Legacy-Systemen (z. B. Verfügbarkeit, Integrität, Zugriff, Abhängigkeiten) identifiziert, bewertet und regelmäßig überwacht – auch wenn die Systeme selbst nur eingeschränkte Monitoring-Funktionen bieten?
3. Existiert eine aktuelle und nachvollziehbare Dokumentation zu Funktion, Abhängigkeiten, Schnittstellen, Verantwortlichkeiten und bekannten Einschränkungen der Legacy-Systeme?
4. Wurden nicht vermeidbare Risiken formal bewertet, dokumentiert und durch die Geschäftsleitung akzeptiert – und existieren kompensierende Maßnahmen, die diese Risiken wirksam begrenzen?
5. Existiert ein genehmigter und realistisch umsetzbarer Plan für Modernisierung, Ablösung, Auslagerung oder kontrollierten Rückbau – inklusive Zeitachse und Verantwortlichkeiten?

Legacy-Systeme werden unter DORA nicht durch Technik zum Risiko, sondern durch fehlende Governance.

Im nächsten Teil der fünfteiligen Serie:

„Das dritte Glied in der Kette: Das Risiko Ihrer Dienstleister“. Erfahren Sie im nächsten Artikel, wie Sie die Kontrolle über Ihre ausgelagerten Prozesse behalten und warum Sie vertraglich oft schlechter dastehen, als Sie denken…

Ancarix Consulting
Responsible by Design

Abnicken war gestern: DORA zwingt Vorstände in die Haftung

In der Ära von MaRisk und BAIT wurde IT-Sicherheit oft als „technische Aufgabe“ tief in der Organisation delegiert. Der Vorstand ließ sich einmal im Jahr den IT-Sicherheitsbericht vorlegen, nickte die Restrisiken ab und das Thema galt als erledigt. Mit dem Digital Operational Resilience Act (DORA) endet diese Ära der bequemen Delegation. 

Im Jahr 2026 ist die Zeit der Schonfrist vorbei. DORA transformiert die abstrakte IT-Sicherheit in eine harte, persönliche Verantwortlichkeit des Leitungsorgans. 

Von der „Best Effort“-Compliance zur harten IKT-Governance 

Während die MaRisk und die BAIT eher qualitative Rahmenbedingungen vorgaben, ist DORA hochgradig präskriptiv. Die begleitenden Regulatory Technical Standards (RTS) und Implementing Technical Standards (ITS) lassen keinen Spielraum für Interpretationen. 

Der entscheidende Unterschied: DORA verlangt nicht nur, dass Systeme funktionieren, sondern dass die Widerstandsfähigkeit (Resilience) gegen extreme Szenarien proaktiv nachgewiesen wird. Dies umfasst: 

• Lückenlose IKT-Risikomanagement-Frameworks: Eine Verzahnung von Identifikation, Schutz, Erkennung und Reaktion, die über die bloße ISO 27001 hinausgeht. 
• Jährliche Prüfpflicht: Während man sich früher auf turnusmäßige interne Revisionen verlassen konnte, schreibt DORA nun vor, dass alle kritischen Systeme mindestens einmal jährlich einer angemessenen Prüfung (z. B. Schwachstellenanalysen, netzwerkbasierte Assessments oder Szenario-basierte Tests) unterzogen werden müssen. 
• Management von IKT-Drittparteienrisiken: Die Geschäftsleitung steht in der Pflicht, für sämtliche IKT-Dienstleister (insbesondere jene, die als kritisch oder wichtig eingestuft wurden) ein lückenloses Monitoring zu etablieren. Es geht hierbei nicht mehr nur um abstrakte Strategien, sondern um die konkrete Nachweispflicht: Von der präzisen Klassifizierung der Dienstleister bis hin zum Beleg der operativen Überwachung muss jeder Schritt für die Aufsicht revisionssicher dokumentiert sein. Wer hier keine konsistente Datenlage vorweisen kann, riskiert, dass die gesamte Governance als unzureichend eingestuft wird. 

Der „Haftungs-Hammer“: Artikel 5 der DORA 

Dies ist der Punkt, an dem die fachliche Tiefe zur strategischen Notwendigkeit für jeden Entscheider wird. Gemäß DORA-Artikel 5 trägt das Leitungsorgan die „abschließende Verantwortung“ für das IKT-Risikomanagement. 

Die Verantwortung kann nicht an externe Dienstleister oder interne IT-Leiter delegiert werden. Das Management muss die IKT-Strategie nicht nur genehmigen, sondern deren Umsetzung aktiv überwachen und über angemessene Kenntnisse verfügen, um IKT-Risiken bewerten zu können.

Was bedeutet das konkret für Sie als Leitungsorgan?

1. Persönliche Rechenschaftspflicht: Bei Versäumnissen drohen dem Unternehmen nicht nur empfindliche Bußgelder, die signifikante Beträge erreichen können. Viel entscheidender für Sie: Die Aufsicht kann direkte regulatorische Maßnahmen gegen die handelnden Personen ergreifen. Dies umfasst öffentliche Bekanntmachungen („Naming and Shaming“, Art. 54 DORA), das Verbot der Ausübung von Leitungsfunktionen oder die Feststellung der mangelnden fachlichen Eignung (Fit & Proper Test, §54c KWG). 
2. Kenntnisprüfung: Die Aufsicht (BaFin/EZB) prüft zunehmend, ob das Management die IKT-Risiken tatsächlich versteht. „Cyber-Unwissenheit“ ist im Jahr 2026 ein Compliance-Verstoß. 
3. Ressourcen- und Organisationshaftung: Die Geschäftsleitung ist verpflichtet, die IKT-Strategie mit angemessenem Budget und Personal auszustatten. Ein „Sparkurs“ bei der Resilienz wird 2026 zum direkten Haftungsfall: Können Sie im Schadensfall keine ausreichende Ressourcen-Priorisierung nachweisen, haften Sie persönlich für das daraus resultierende Organisationsverschulden. 

Unser Ansatz: Schutz für das Unternehmen und für Sie

Als spezialisiertes Beratungshaus verstehen wir die regulatorischen Hebel nicht als bloße Checkliste, sondern als Werkzeug für Ihre strategische Steuerung. Wir helfen Ihnen, die Brücke zwischen operativen IKT-Risiken und der Vorstandsetage zu schlagen. Wir übersetzen komplexe technische Sachverhalte in entscheidungsrelevante Risikokennzahlen, damit Sie als Leitungsorgan Ihre Kontroll- und Ressourcenpflichten fundiert und rechtssicher erfüllen können. 

Wir sorgen dafür, dass Ihre Compliance kein „Papiertiger“ bleibt, sondern als wirksamer Schutzschild für Ihre persönliche Haftung fungiert. 

Kurz-Check: Ist Ihre IKT-Governance bereit für 2026?

Prüfen Sie anhand dieser Fragen, ob Sie die Mindestanforderungen an die Geschäftsleitung bereits erfüllen: 

1. Berichterstattung: Erhalten Sie mindestens vierteljährlich einen Bericht über die IKT-Risikolage, der über reine Status-Updates hinausgeht und klare Handlungsempfehlungen enthält? 
2. Ressourcen-Allokation: Können Sie im Falle einer Prüfung nachweisen, dass IT-Sicherheitsbudgets auf Basis einer Risikoanalyse und nicht nach „Kassenlage“ vergeben wurden? 
3. Drittparteien Fokus: Liegt Ihnen ein Register für alle kritischen IKT-Dienstleister vor, inklusive klar definierter Verantwortlichkeiten und Exit-Szenarien? 
4. Testprogramm: Wurden alle für den Geschäftsbetrieb kritischen Systeme im letzten Jahr nachweislich und risikobasiert auf ihre Belastbarkeit getestet? 
5. Persönliches Risiko: Ist in Ihrer Organisation klar geregelt, wer im Falle einer 24-Stunden-Meldepflicht die finale Entscheidung über die Meldung an die Aufsicht trifft? 

Im nächsten Teil der fünfteiligen Serie:

Die Theorie steht – doch wie sieht die Umsetzung in der Praxis aus, wenn die vorhandene Infrastruktur an ihre Grenzen stößt? Erfahren Sie im nächsten Artikel, warum gewachsene IT-Strukturen oft zur Compliance-Falle werden: „Legacy-Systeme vs. Moderne Resilienz: Ein Generationen-Update“.

Ancarix Consulting
Responsible by Design

Was macht Ancarix?

Regulatorische Anforderungen sind heute mehr als ein Haken auf einer Checkliste. Für Banken und Finanzdienstleister sind sie ein zentraler Bestandteil der Unternehmenssteuerung – und gleichzeitig ein Stresstest für Organisation, Prozesse und IT.

Mit Ancarix Consulting haben wir eine Beratung gegründet, die genau an dieser Stelle ansetzt: Regulatorik und Reporting wirksam umsetzen – nicht nur beschreiben. Wir begleiten Institute dabei, aktuelle Anforderungen wie DORA (Digital Operational Resilience Act) oder Vorgaben zur ICT- und Security-Risikosteuerung, sowie Reporting- und Datenanforderungen nicht als isoliertes Projekt zu behandeln, sondern als tragfähigen Teil der täglichen Praxis schlank zu verankern.

Ancarix Consulting – Umsetzung regulatorischer Anforderungen für Banken

Was uns antreibt: Regulatorik so gestalten, dass sie wirklich funktioniert

Regulatorische Programme scheitern selten an der Interpretation der Texte – sondern an der Übersetzung in den Betrieb.

Unsere Erfahrung zeigt: Nachhaltige Compliance entsteht dann, wenn Anforderungen …

• verständlich in die Organisation übersetzt werden,
• effizient in bestehende Prozesse integriert sind,
• technologisch sauber unterstützt werden,
• und im Prüfungs- und Auditkontext nachweisbar funktionieren.

Genau dafür steht Ancarix: Wir verbinden regulatorische Tiefe mit Umsetzungsfähigkeit inkl. Reporting- und Datenarchitekturen – von der Strategie über die Analyse und Konzeption bis hin zur nachhaltigen Einführung in Organisation, Prozesse und IT.

Unsere Haltung: Kontext schlägt Standardlösung

Selbstverständlich reduzieren „Best-Practice“ Ansätze den regulatorischen Overhead, allerdings ist Regulatorik nie eine „one size fits all“ Lösung. Jedes Institut hat eigene:

• IT- und Prozesslandschaften
• Governance-Strukturen
• Risikoprofile
• interne Verantwortlichkeiten und Reporting-Linien
• Prüfungs- und Audit-Historien

Deshalb interpretieren wir Anforderungen immer im Kontext des jeweiligen Unternehmens. Unser Ziel ist nicht, ein theoretisch perfektes Zielbild zu zeichnen – sondern eine Lösung zu etablieren, die im Arbeitsalltag tragbar und unter Prüfungsdruck belastbar bleibt.

Was uns besonders macht: Umsetzung mit klarer Struktur und Ownership

Ancarix steht für Verantwortung in der Umsetzung. Das bedeutet konkret:

Wir schaffen Governance, die Entscheidungen ermöglicht

Ob GRC-Strukturen, Risiko- und Compliance-Prozesse oder IT-Governance: Entscheidend ist, dass Rollen, Verantwortlichkeiten und Eskalationswege klar definiert sind – und dass sie in der Praxis funktionieren.

Wir übersetzen Regulatorik in Prozesse, die man leben kann

Regulatorische Anforderungen werden erst dann wirksam, wenn sie operativ verankert sind: in Kontrolllogiken, Abläufen, Dokumentationsstandards, Testkonzepten und dem täglichen Umgang mit Ausnahmen.

Wir verbinden Fachlichkeit mit IT-Realität

Viele regulatorische Themen sind heute untrennbar mit Technologie verbunden – von Datenqualität und Reporting-Fähigkeit bis zu Resilienz- und Sicherheitsanforderungen. Deshalb denken wir Governance und Organisation immer auch entlang der Systemlandschaft.

Wir liefern pragmatische Lösungen, ohne Qualität zu verlieren

Pragmatismus heißt für uns nicht „weniger Anspruch“, sondern klare Prioritäten: Was bringt nachweisbar Wirkung? Was reduziert Risiken wirklich? Was ist auditierbar? Was bleibt langfristig wartbar?

Fokusfelder, in denen wir unsere Kunden unterstützen

Unsere Leistungen sind entlang der Themen ausgerichtet, die Banken und Finanzdienstleister aktuell besonders beschäftigen – fachlich, technisch und organisatorisch:

Governance, Risk & Compliance (GRC)

Wir unterstützen beim Aufbau und der Weiterentwicklung integrierter Strukturen, die Governance, Risiko- und Compliance-Anforderungen wirksam zusammenführen.

IT-Regulatorik & Operational Resilience

Wir übersetzen regulatorische IT-Anforderungen – beispielsweise im Kontext von DORA – in prüfungssichere und operativ umsetzbare Strukturen für IKT-Risiken, Incident-Management, Tests und Drittparteiensteuerung.

Financial Reporting & Data Governance

Wir stärken Reporting- und Steuerungsfähigkeit durch klare Datenarchitektur, Data Governance, Datenqualität und nachvollziehbare End-to-End-Datenflüsse bis in SAP-basierte Abschlüsse.

SAP Consulting

Wir konzipieren und implementieren SAP-basierte Accounting-, Reporting- und Integrationslösungen – inklusive stabiler Schnittstellen und auditierbarer Datenströme.

Projekt- & Prozessmanagement

Wir übernehmen Steuerung, PMO-, Test- und Prozessmanagement für komplexe Transformations- und Regulatorikvorhaben – strukturiert, transparent und umsetzungsorientiert.

Warum das für unsere Kunden zählt

Unsere Kunden profitieren vor allem von drei Ergebnissen:

• Planbare Umsetzung statt endloser Konzeptphasen
• Auditierbare Strukturen mit klaren Nachweisen
• Weniger Reibung im Alltag, weil Prozesse und Governance tragfähig sind

Regulatorik bleibt anspruchsvoll – aber sie kann effizient, modern und belastbar umgesetzt werden, wenn Fachlichkeit, Governance und IT sauber zusammenspielen.

Ancarix in einem Satz

Ancarix Consulting unterstützt Banken und Unternehmen dabei, regulatorische und Reporting-Anforderungen so umzusetzen, dass sie im Alltag funktionieren – pragmatisch, prüfungssicher und nachhaltig verankert.

Lust auf Austausch?

Wenn Sie gerade vor der Herausforderung stehen, regulatorische Anforderungen wirksam in Organisation, Prozesse und IT zu überführen: Wir freuen uns auf den Dialog – und darauf, gemeinsam belastbare Lösungen zu schaffen.

Ancarix Consulting
Responsible by Design