Compliance Financial Services

DORA und Digitale Souveränität im Finanzsektor: Wo viele Banken scheitern

Viele Banken und Versicherungen im Finanzsektor haben die Anforderungen der EU-Verordnung DORA (Digital Operational Resilience Act) formal umgesetzt. Richtlinien angepasst, Prozesse dokumentiert, Zuständigkeiten festgelegt. Damit sind die regulatorischen Anforderungen zumindest auf dem Papier erfüllt. Nach dem ersten Prüfungsjahr zeigt sich jedoch eine deutliche Lücke zwischen dokumentierten Prozessen und operativer Umsetzung. Genau darauf fokussiert sich die Aufmerksamkeit der BaFin.

Wenn Dokumentation auf den Prüfungsalltag trifft

In vielen Finanzinstituten ist die Ausgangslage ähnlich. Das Compliance-Team hat die DORA-Anforderungen sorgfältig in Richtlinien und Prozessdokumentationen übertragen. Verantwortlichkeiten sind festgelegt und das Unternehmen gilt formal als vorbereitet. 

Mit Beginn der Prüfung verschiebt sich der Fokus jedoch von der Dokumentation auf den operativen Betrieb. Die BaFin prüft zunehmend, ob digitale Resilienz und IT-Kontrollen im laufenden Betrieb tatsächlich funktionieren. 

Im Gespräch zeigt sich schnell, wo operative Schwächen liegen. Das IKT-Inventar ist lückenhaft. Kritische Systeme und ihre Abhängigkeiten sind nicht vollständig erfasst. Ein Drittdienstleister, der einen zentralen Zahlungsprozess unterstützt, taucht in den Notfallplänen kaum auf. Das Monitoring endet außerhalb der Geschäftszeiten. 

Solche Befunde sind kein Einzelfall. Auf der BaFin-Veranstaltung „IT-Aufsicht im Finanzsektor: Das erste Jahr DORA“ im Dezember 2025 beschrieb die Aufsicht genau dieses Muster: Die regulatorischen Anforderungen wurden zwar vielerorts dokumentiert, aber noch nicht vollständig operationalisiert. 

Damit rückt eine grundsätzliche Frage in den Vordergrund: Was bedeutet digitale Souveränität für Banken und Versicherungen im Finanzsektor? 

Digitale Souveränität im Finanzsektor: Drei operative Dimensionen

Digitale Souveränität in Finanzinstituten wird häufig mit Datenschutz oder Cloud-Strategien gleichgesetzt. Für IT-Entscheider in regulierten Finanzorganisationen greift das zu kurz. 
Im Kern geht es um drei operative Fähigkeiten. 

1. Datensouveränität

Der Begriff „Datensouveränität” beschreibt, unter welchem rechtlichen und technischen Zugriff sich Daten befinden. Wer Cloud-Dienste US-amerikanischer Anbieter nutzt, bewegt sich im Spannungsfeld des CLOUD Act: US-Behörden können amerikanische Anbieter zur Herausgabe von Daten verpflichten, unabhängig davon, in welchem Land sich die Server befinden. Für Banken und Versicherungen, die täglich mit hochsensiblen Kundendaten arbeiten, ist das ein reales Haftungsrisiko. 

2. Betriebssouveränität

Betriebssouveränität beschreibt die operative Kontrolle über kritische IT-Systeme in Banken und Versicherungen. Dazu gehören vollständige IKT-Inventare, klar dokumentierte Abhängigkeiten, getestete Notfallpläne und ein Betriebsmodell, das nicht bei einem einzigen Anbieter endet. Kann ein Finanzunternehmen diese Punkte nicht nachweisen, liegt die operative Kontrolle faktisch außerhalb der eigenen Organisation, unabhängig von Vertragsklauseln.

3. Regulatorische Souveränität

Regulatorische Souveränität bedeutet, die Wirksamkeit der eigenen Kontrollen jederzeit nachweisen zu können. In DORA-Prüfungen der BaFin bewertet die Aufsicht weniger die Dokumente als den realen Betrieb. Das ist der Maßstab, den die Aufsicht anlegt, und an dem aktuell viele Institute scheitern. 

Warum das Thema gerade jetzt eskaliert

Das Konzept der digitalen Souveränität ist nicht neu. Jedoch ist 2026 der Zeitpunkt, an dem mehrere Entwicklungen parallel eskalieren. 

  • Regulatorik mit Konsequenzen:  
    Die EU-Verordnung DORA (Digital Operational Resilience Act) gilt seit Januar 2025. Das deutsche NIS2-Umsetzungsgesetz seit Dezember 2025, mit über einem Jahr Verzögerung gegenüber der EU-Frist.  
    Für Finanzinstitute bleibt die DORA-Verordnung das zentrale Regelwerk für IT-Risikomanagement und digitale Resilienz. NIS2 ergänzt die DORA-Regulierung und bildet den allgemeinen Rahmen für kritische Infrastrukturen. 
    Das Ergebnis: zwei Regelwerke, keine Übergangsfrist, sofortige Wirkung. 
    Nach dem ersten DORA-Prüfungszyklus zeichnet sich eine klare Entwicklung ab. Die Aufsicht akzeptiert keine rein dokumentierten Lösungen mehr. In den nächsten Runden steht die Operationalisierung im Fokus: der Nachweis, dass Systeme und Kontrollen im realen Betrieb funktionieren.
  • Geopolitik als IT-Risiko:  
    Rechtsräume und politische Abhängigkeiten werden zunehmend Teil der IT-Risikobetrachtung. Der US CLOUD Act ist ein Beispiel dafür. In einer angespannten transatlantischen Lage stellt sich für Finanzinstitute die Frage, unter welcher Jurisdiktion ihre kritischen Finanzdaten stehen. 
    Die Abhängigkeit von nicht-europäischen Hyperscalern gerät daher stärker in den Fokus regulatorischer Prüfungsgespräche.
  • KI erhöht die Souveränitätsanforderungen:  
    Wer KI-Services aus der Cloud nutzt, gibt potenziell mehr preis als je zuvor: Transaktionsmuster, Risikomodelle, Kundendaten. Neue Technologie schafft neue Souveränitätsfragen und der regulatorische Rahmen dafür ist noch nicht ausgeformt. 

Zwei verbreitete Fehlannahmen

In vielen Diskussionen begegnen uns regelmäßig zwei Fehleinschätzungen, die teuer werden können. 

Missverständnis 1: „Souveränität bedeutet Verzicht auf Cloud.“

Das ist falsch. Digitale Souveränität im Finanzsektor bedeutet nicht, auf Public-Cloud-Services zu verzichten. Entscheidend ist die Art der Nutzung. 
Finanzunternehmen benötigen Architekturmodelle, die ihnen jederzeit operative Kontrolle, Transparenz und Exit-Fähigkeit jederzeit gewährleisten. Ohne diese Voraussetzungen entsteht Abhängigkeit. 

Missverständnis 2: „Wir haben DORA umgesetzt, also sind wir compliant.“

Auch diese Annahme ist zu kurz gedacht. Dokumentierte Prozesse stellen noch keine operative Kontrolle sicher. Entscheidend ist, ob sie im Alltag funktionieren. Die BaFin prüft daher nicht primär Richtlinien, sondern konkrete Nachweise. Die Prüfung umfasst unter anderem die Überprüfung des 24-Stunden-Betriebs des Monitorings, der tatsächlichen Einbindung von Drittparteien in Notfalltests und der Vollständigkeit und Aktualität des IKT-Inventars. 

Souveränität entsteht nicht durch Dokumentation. Sie entsteht durch Betrieb. 

Was bedeutet digitale Souveränität für Banken und Versicherungen?

Digitale Souveränität bedeutet für Banken, dass sie jederzeit die Kontrolle über ihre Daten, IT-Systeme und externen Dienstleister behalten. Die Finanzinstitute müssen nachvollziehen können, wo ihre Daten gespeichert sind, welche Abhängigkeiten zu Cloud-Anbietern bestehen und wie kritische Systeme betrieben werden. Gleichzeitig müssen sie diese Kontrolle im Rahmen von DORA-Prüfungen gegenüber der Aufsicht nachweisen können.

Für Finanzinstitute hat das konkrete operative Konsequenzen:

  • vollständige IKT-Inventare, die auch unter Prüfbedingungen belastbar sind
  • operative und vertragliche Kontrollen über alle relevanten Drittdienstleister
  • kontinuierliches Monitoring kritischer Systeme
  • revisionssichere Reports und Nachweise gegenüber der Aufsicht

Diese Anforderungen entstehen nicht durch einmalige Umsetzungsprojekte. Sie müssen im täglichen Betrieb gewährleistet und jederzeit prüfbar sein.

Die entscheidende Frage

Digitale Souveränität ist kein Zustand, der einmal erreicht und anschließend abgehakt wird. Vielmehr ist sie eine operative Fähigkeit, die im laufenden Betrieb unter Beweis gestellt werden muss.

Die zentrale Frage lautet daher nicht: „Sind wir digital souverän?“

Sie lautet: „Können wir diese Souveränität heute im laufenden Betrieb gegenüber der Aufsicht nachweisen?“

Das ist der Unterschied zwischen Souveränität als Konzept und Souveränität als gelebte Realität. Hier zeigt sich, wer seine IT tatsächlich kontrolliert oder nur verwaltet.

→ Im zweiten Teil dieser Serie analysieren wir, wie sich die relevanten Cloud-Anbieter konkret schlagen. Wir bewerten sie nach den Kriterien, die für regulierte Finanzorganisationen wirklich zählen: Datensouveränität, DORA-Konformität, Exit-Fähigkeit und europäische Rechtssicherheit.

Kontakt

Sie suchen einen erfahrenen und zuverlässigen IT-Partner?

Wir bieten Ihnen individuelle Lösungen für Ihre Anliegen – von Beratung, über Entwicklung, Integration, bis hin zum Betrieb.

Jetzt kontaktieren

Quellen und Weiterführendes

  1. BaFin (2025): IT-Aufsicht im Finanzsektor: Das erste Jahr DORA – Veranstaltung vom 04.12.2025.
    https://www.bafin.de/SharedDocs/Veranstaltungen/DE/250725_it_aufsicht_im_finanzsektor.html Abgerufen: Februar 2026
  2. Europäische Union (2022): Verordnung (EU) 2022/2554 – Digital Operational Resilience Act (DORA), in Kraft seit 17. Januar 2025.
    https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32022R2554
    Abgerufen: Februar 2026
  3. Europäische Union (2022): Richtlinie (EU) 2022/2555 – NIS2, Umsetzungsfrist für Mitgliedstaaten: Oktober 2024. Deutschland hat diese Frist versäumt; das nationale Umsetzungsgesetz (NIS2UmsuCG) befand sich Anfang 2026 noch im Gesetzgebungsverfahren.
    https://eur-lex.europa.eu/eli/dir/2022/2555/oj?locale=de
    Abgerufen: Februar 2026
  4. US Congress (2018): Clarifying Lawful Overseas Use of Data Act (CLOUD Act), Public Law 115-141.
    https://www.congress.gov/bill/115th-congress/house-bill/4943
    Abgerufen: Februar 2026

© 2026 SEVEN PRINCIPLES GROUP