DORA RISIKEN

Letzte Aktualisierung – May 20, 2025
DORA RISIKEN
Home / Blog / Dora risks

DORA RISIKEN – Wird Resilienz zur Bedrohung?

DORA – die Digital Operational Resilience Act – gilt als regulatorisches Meisterstück im Kampf gegen Cyberrisiken und IT-Ausfälle im Finanzsektor. Doch je tiefer man in die Pflichten und Sanktionen eintaucht, desto drängender wird eine Frage:

Könnte DORA selbst zu einem Risiko werden?

Ausgangspunkt: Was droht bei Verstößen?

Gemäß Artikel 50 der DORA-Verordnung können Unternehmen bei Verstößen mit bis zu 10 Millionen Euro oder 2 % des weltweiten Umsatzes belangt werden – je nachdem, welcher Betrag höher ist.

Was als notwendiges Druckmittel zur Compliance gedacht ist, wirft in der Praxis existenzielle Fragen auf:

  • Können kleine und mittlere Finanzunternehmen diese Sanktionen überstehen?

  • Was passiert mit regionalen IT-Dienstleistern, wenn sie als „kritisch“ eingestuft werden, aber nicht compliant sind?

  • Erreicht man mit dem DORA-Regime tatsächlich mehr Sicherheit – oder nur mehr Bürokratie?

Hypothese: DORA als systemischer Risikofaktor

Während DORA der systemischen Resilienz dienen soll, könnten gerade kleinere Marktteilnehmer durch den Umsetzungsdruck in wirtschaftliche Schieflage geraten. Wenn viele kleine Akteure aus dem Markt gedrängt werden, entsteht eine neue Konzentration – und damit ein neues systemisches Risiko.

These:

Wenn die DORA-Pflichten strukturell benachteiligen, fördern sie langfristig nicht Resilienz, sondern Monopolisierung.

Worst Case: Wer könnte durch DORA in Schieflage geraten?

Hinweis: Es handelt sich hier nicht um Vorwürfe oder Prognosen, sondern um hypothetische Beispiele auf Basis öffentlich zugänglicher Daten (Bilanzsummen, Geschäftsmodelle, Brancheneinschätzungen).

Banken mit kritischer Bilanzgröße

Institut (anonymisiert) Bilanzsumme (Schätzung) Risiko bei 10 Mio. € Bußgeld
Regionale Genossenschaftsbank 30–80 Mio. € existenzgefährdend
Kommunale Sparkasse 200–300 Mio. € hohes Risiko, Rücklagen begrenzt
Lokale Geschäftsbank <1 Mrd. € empfindlicher Verlust, Reputationsrisiko

Versicherungsunternehmen mit enger Marge

Versicherer (anonymisiert) Prämienvolumen (geschätzt) Kommentar
Spezialversicherer Reise & Risiko <400 Mio. € pandemiegeschädigt, geringe Diversifikation
Lebensversicherer im Altbestand <1 Mrd. € geringe Neugeschäfte, hoher Verwaltungsaufwand

KRITIS- und IT-Unternehmen (anonymisiert)

Unternehmenstyp Sektor Kommentar
Regionaler Wasserversorger Wasser haushaltsgebunden, kaum freie Rücklagen
Öffentliche Krankenhausgruppe Gesundheit staatlich teilfinanziert, hoher Investitionsbedarf
IT-Dienstleister für Sparkassen Finanz-IT abhängig von kommunalen Kunden
SAP-nahe Beratung mit <100 MA IT-Services begrenztes Kapitalpolster, hoher Fachkräftemangel

Fazit: Die Zahl potenziell gefährdeter Organisationen ist größer als man denkt – besonders im Mittelstand, wo Liquidität oft knapp ist und Compliance-Aufwand nicht skalierbar ist.

Der Preis der Resilienz

Direkte Kosten:

  • Personal für DORA-Compliance (Juristen, IT-Risikomanager)

  • Tooling: GRC, SIEM, automatisiertes Reporting

  • Vertragsverhandlungen & Monitoring mit Drittanbietern

Indirekte Kosten:

  • Verzögerung von Digitalprojekten

  • Outsourcing nur noch an zertifizierte Partner möglich

  • Haftungsfragen in Geschäftsführung und IT-Betrieb

Frage: Ist das proportional für Unternehmen mit < 100 Mitarbeitenden?

Kritik: DORA trifft die Falschen?

Während große Konzerne (z. B. Allianz, Deutsche Bank, Generali) eigene Compliance-Abteilungen mit dutzenden Mitarbeitenden unterhalten, kämpfen kleinere Akteure um jede Stelle. DORA trifft sie mit gleicher Härte.

Potenzielle Effekte:

  • Rückzug von FinTechs aus der EU

  • Einschränkung regionaler IT-Versorgung

  • Konsolidierung im KRITIS-Sektor

  • Innovationsbremse durch Compliance-Aufwand

Beispiel: Laut Bitkom würden nur noch 19 % der FinTech-Gründer Deutschland erneut als Standort wählen. DORA könnte diesen Trend verstärken.

Bitkom FinTechs in Deutschland 2024 – PDF

Fazit: Mehr Schaden als Nutzen?

DORA ist ein gut gemeintes Gesetz mit ambitionierten Zielen. Doch wie bei vielen Regulierungen liegt die Tücke im Detail – und in der Skalierung.

Ein Bußgeld, das für Großbanken ein Quartalsrisiko darstellt, kann für kleinere Marktteilnehmer den Todesstoß bedeuten.

Daher braucht es:

  • Proportionalität in der Sanktionierung

  • Förderprogramme für Compliance-Tooling

  • Regulatorisches Sandboxing für Startups & KMU

Nur dann wird DORA zum echten Resilienzgewinn – und nicht zum Risiko für die Vielfalt des europäischen Finanzökosystems.

Quellenverzeichnis

Allgemeine Quellen

Banken & Versicherer

FinTechs & Finanzdienstleister

KRITIS & Versorger

IT-Dienstleister

Weitere Blog Posts

Weitere Services

IT-Vertragsanalyse & Health Check

Professionelle Vertragsanalyse und strukturierter Health Check für IT-Verträge. Identifikation von Risiken, Einsparpotenzialen und Handlungsempfehlungen zur Vertragsoptimierung.

Entdecken

Lizenzmanagement & Compliance

Softwarelizenzen sind teuer und komplex. Mein Service hilft Ihnen, Ihre Lizenzlandschaft zu analysieren, zu optimieren und für Audits fit zu machen – mit direktem Mehrwert für Budget und Rechtssicherheit.

Entdecken

Software Asset Management (SAM)

Optimieren Sie Ihre Softwarenutzung, reduzieren Sie Compliance-Risiken und senken Sie Kosten durch professionelles Software Asset Management. Ideal für Unternehmen mit komplexen Lizenzlandschaften.

Entdecken

Weitere Projekte

Book hardcover

Book hardcover

Three automated reports are created for Boston EMS to indicate the details about incidents in Boston.

Entdecken