DORA und der Mittelstand: Zwischen Resilienz und Marktausschluss
DORA und der Mittelstand: Zwischen Resilienz und Marktausschluss
Die Digital Operational Resilience Act (DORA) der EU verfolgt ein wichtiges Ziel: Finanzunternehmen sollen digitale Risiken beherrschbar machen, Angriffe schneller erkennen und IT-Ausfälle überstehen können. Doch wie so oft bei Regulierung gilt: gut gemeint ist nicht immer gut gemacht.
Dieser Beitrag beleuchtet, warum DORA insbesondere für kleinere und mittlere IT-Dienstleister zur existenziellen Herausforderung werden kann – und was das für Innovation, Wettbewerb und letztlich für die Finanzwirtschaft selbst bedeutet.
1. Der Anspruch: Hohe Sicherheit, hohe Standards
DORA verpflichtet Finanzunternehmen und ihre „kritischen IKT-Dienstleister“ zu umfangreichen Pflichten:
-
Meldung schwerwiegender IKT-Vorfälle binnen 4 Stunden
-
Durchführung von Resilienztests (z. B. TLPT)
-
Umsetzung dokumentierter Wiederanlauf- und Notfallstrategien (BCP, RTO, RPO)
-
Zulassung von Audits – auch unangekündigt – durch Behörden oder Finanzkunden
-
Protokollierung aller Prozesse, Systeme und Schnittstellen
-
Verträge mit Exit-Strategien, Auditklauseln und Nachweisregelungen
Für große Anbieter wie Microsoft, IBM, SAP oder AWS ist das Alltag. Für Mittelständler mit 30 bis 300 Mitarbeitenden bedeutet das hingegen: ein tiefgreifender Umbau ihrer Prozesse, Verträge, Personalstrukturen und Technologiestandards.
2. Die Realität: Compliance-Kosten, die weh tun
Studien von Bitkom, KPMG und ISACA zeigen, dass die durchschnittlichen Initialkosten für regulatorisch motivierte Anpassungen im IKT-Umfeld zwischen 120.000 € und 450.000 € liegen – je nach Umfang der betroffenen Services.
Beispielrechnung für ein mittelständisches IT-Systemhaus mit Cloud-Service:
| Kostenblock | Beschreibung | Schätzung |
|---|---|---|
| Zertifizierungen | ISO 27001, ggf. auch ISO 22301 | ca. 40.000 € |
| Juristische Beratung | Vertragsreview, Compliance-Klauseln | ca. 25.000 € |
| Technisches Consulting | TLPT-Vorbereitung, Architekturberatung | ca. 30.000 € |
| Interne Schulung | 5–10 Mitarbeitende im Einkauf, IT, Support | ca. 15.000 € |
| Tooling | GRC-Software, SIEM-Anbindung, DMS-Integration | 20.000–80.000 € |
Fazit: Wer heute einen 3-Jahresvertrag mit einer Bank unterschreiben will, muss investieren, bevor er auch nur eine Rechnung schreiben darf.
Für viele kleinere Anbieter ist diese Schwelle nicht tragbar – sie bleiben außen vor oder geben freiwillig auf.
3. Ausschreibungen als neue Hürde
In der Praxis zeigt sich bereits, dass immer mehr öffentliche und private Ausschreibungen strenge Anforderungen aus DORA enthalten:
-
TLPT-Fähigkeit (Threat-led Penetration Testing)
-
Nachweis eines DORA-konformen Business Continuity Managements
-
Offenlegung von Subdienstleistern
-
Verpflichtung zu unangekündigten Audits
-
Schnittstellen zu SIEM/CMDB-Systemen des Kunden
Für viele Mittelständler, deren Prozesse nicht auf GRC-Standards ausgelegt sind, ist das kaum leistbar – selbst bei hoher fachlicher Qualifikation und langjähriger Kundenerfahrung.
Damit entsteht ein Paradoxon: Die regulatorisch motivierte Risikovermeidung führt zu einer Ausdünnung des Anbietermarkts – und dadurch zu neuen Risiken.
4. Marktkonzentration statt Resilienz?
Die Folge: Große Anbieter wie AWS, Microsoft Azure, Google Cloud oder Accenture profitieren. Sie bringen die notwendigen Zertifizierungen, Ressourcen und Rechtsabteilungen mit.
Beobachtbare Trends:
-
Sinkende Zahl qualifizierter Bieter: Laut Bitkom nahmen 2024 über 40 % weniger KMUs an IT-Ausschreibungen im Finanzumfeld teil als noch 2022.
-
Preisanstieg: Weniger Wettbewerb erhöht die Preise. Studien belegen einen Kostenanstieg von 8–12 % für DORA-konforme IT-Dienstleistungen.
-
Weniger Innovationsimpulse: Start-ups und spezialisierte Mittelständler verschwinden zunehmend aus Auswahlverfahren – obwohl sie oft agiler, günstiger und technisch führend sind.
Fazit: DORA erzeugt unbeabsichtigt neue Konzentrationsrisiken.
5. Wettbewerbsverzerrung: Global vs. Lokal
Ein weiteres Problem: Viele internationale Anbieter setzen sich über DORA-Anforderungen hinweg – weil sie ihre Leistungen aus Drittstaaten erbringen oder lokale Tochterfirmen als juristische Puffer nutzen.
Praxisbeispiel:
Ein europäisches Softwareunternehmen mit 120 Mitarbeitenden unterliegt DORA vollständig. Ein US-Konzern mit 15.000 Mitarbeitenden kann über seine luxemburgische Tochter operieren und Risiken verlagern.
Ergebnis: Nicht die Kompetenz entscheidet, sondern die Fähigkeit zur Risikoverlagerung.
6. Regulierungsstrategie mit Augenmaß?
DORA enthält zwar die Möglichkeit zur proportionalen Anwendung, doch diese ist in der Umsetzung unklar geregelt. Viele Finanzunternehmen sichern sich ab – und setzen auf übererfüllte Anforderungen (z. B. TLPT auch bei nicht-kritischen Dienstleistern), um kein regulatorisches Risiko einzugehen.
Empfehlung:
-
Klar definierte Schwellenwerte für Audit- und Nachweispflichten
-
Sandboxes und Übergangsregelungen für Mittelstand und Start-ups
-
Förderprogramme für Compliance-Investitionen in kleinen Unternehmen
-
Verhältnismäßigkeit muss konkretisiert und verbindlich werden
Fazit: DORA braucht Korrektur, wenn Resilienz nicht zum Risiko werden soll
DORA ist wichtig und richtig – aber ohne konsequente Differenzierung besteht die Gefahr, dass regulatorische Maßnahmen neue Systemrisiken schaffen:
-
durch Marktverengung
-
durch Abhängigkeit von Big Tech
-
durch Innovationsverlust im Mittelstand
Wer Resilienz will, braucht Vielfalt. Und wer Vielfalt will, muss den Mittelstand regulierungsfähig machen – statt ihn aus dem Markt zu drängen.
