Ihr Experte für Fragen
Rüdiger Giebichenstein
Partner im Bereich Financial Services, Technology & Process Risk bei PwC Deutschland
Tel.: +49 175 7954901
E-Mail
Die neue Realität der Finanzwelt heißt digitale Resilienz
Die Digitalisierung im Finanzsektor schreitet unaufhaltsam voran – damit einhergehend steigen auch die Anforderungen an Cybersicherheit, Resilienz und das Management digitaler Risiken. Die neue EU-Verordnung DORA (Digital Operational Resilience Act) stellt einen bedeutenden Meilenstein dar, um die digitale Widerstandsfähigkeit von Finanzunternehmen in der EU zu stärken.
Mit dem FS Digital Risk Barometer möchten wir ein umfassendes Bild über den aktuellen Stand der DORA-Compliance in regulierten Finanzunternehmen wie Banken, Versicherungen und Vermögensverwaltern zeichnen und perspektivisch ein Benchmark-Instrument etablieren. Ziel unserer Erhebung war es, auf Basis einer strukturierten Online-Umfrage mit 23 Fragen konkrete Einblicke in Umsetzungsstände, Herausforderungen und Best Practices zu gewinnen.
Die Ergebnisse bieten nicht nur eine Momentaufnahme des Finanzsektors in Bezug auf die digitale Resilienz, sondern ermöglichen auch die Ableitung strategischer Handlungsempfehlungen.
Die Studie im Überblick
Verantwortung des Leitungsorgans
Die Auswertung der durchgeführten Umfrage unter 72 Finanzunternehmen hat ergeben, dass 77 % den Vorstand als Verantwortlichen für das IKT-Risikomanagement benennen, während bei 22 % die Verantwortung bei den Bereichs- oder Abteilungsleitungen liegt und bei 1 % einzelne Teams oder Mitarbeitende genannt werden. Diese Ergebnisse verdeutlichen, dass einigen Organisationen noch nicht bewusst ist, dass gemäß DORA-Artikel 5 Absatz 2 das „Leitungsorgan“ – also Vorstand oder Geschäftsführung – verpflichtend alle Maßnahmen des IKT-Risikomanagements festlegen, genehmigen, überwachen und verantworten muss. DORA verleiht dem Leitungsorgan durch präzise Anforderungen eine deutlich größere Verantwortung und stärkt damit seine Rolle in Governance und Organisationsstruktur.
Ausgestaltung des IKT-Risikomanagementrahmens
Beachtlich ist auch die Umsetzung des IKT-Risikomanagementrahmens, bei der die Mehrheit der Unternehmen einen vollständig ausgestalteten Rahmen gemäß Artikel 6 Absatz 2 DORA implementiert hat. Dieser müsste bereits bei allen Finanzunternehmen unverzichtbare Strategien, Leit- und Richtlinien, Verfahren sowie IKT-Protokolle und -Tools beinhalten, die sicherstellen, dass alle potenziellen IKT-Risiken identifiziert, bewertet und gesteuert werden können. Die Etablierung dieser Dokumente und Vorgehen sind essenzielle Schritte für die angestrebte digitale Resilienz. Unternehmen, die heute schon strategisch vorausdenken, sichern sich nicht nur einen klaren Wettbewerbsvorteil, sondern auch eine stabile und resiliente Zukunft – denn dass es den entscheidenden Unterschied machen kann, zeigt sich oft erst im Ernstfall.
Umsetzungsstand der DORA Anforderungen
Obwohl DORA schon seit dem 17. Januar 2025 anzuwenden ist, stehen viele der Teilnehmer erst kurz vor dem Abschluss der Anpassungen ihrer schriftlich fixierten Ordnung. Entsprechend befindet sich die operative Umsetzung der DORA-Vorgaben in den Fachbereichen bei den meisten Organisationen noch in einem frühen Stadium. Diese Ausgangslage bietet die Chance, jetzt mit klar priorisierten Maßnahmen Struktur in die Umsetzung zu bringen. Aus bisherigen Projekten zeigt sich deutlich: Wer auf erprobte Best Practices setzt, kann typische Hürden effizient überwinden. Der Austausch mit erfahrenen Partnern kann dabei helfen, bestehende Lücken effizient zu schließen und pragmatische Lösungen zu etablieren, die den spezifischen Anforderungen der Organisation gerecht werden – ohne dabei den operativen Betrieb unnötig zu belasten.
Einsatz von künstlicher Intelligenz
Aktuell nutzen nur 11 % der befragten Organisationen Künstliche Intelligenz oder planen deren Einsatz im DORA-Umfeld. Dabei könnten KI-gestützte Prozesse, wie automatisierte Vertragsprüfungen oder Abgleiche der sfO, erhebliche Effizienzgewinne bieten. Unternehmen, die den Nutzen von KI frühzeitig erkennen und einsetzen, können nicht nur ihre Betriebseffizienz steigern, sondern auch ungenutzte Potenziale erschließen. Die Integration von Künstlicher Intelligenz entwickelt sich zunehmend zum strategischen Hebel, um Effizienzpotenziale auszuschöpfen und die eigene Marktposition nachhaltig zu stärken. Unternehmen, die frühzeitig auf KI setzen, schaffen nicht nur operative Vorteile, sondern sichern sich auch einen klaren Vorsprung im Wettbewerb.
Jetzt herunterladen
FS Digital Risk Barometer 2025
Fazit – Es bleibt weiterhin viel zu tun!
Die Mehrheit der teilgenommenen Unternehmen hat die formalen Grundlagen geschaffen und erste Prozesse implementiert, doch wesentliche Elemente – insbesondere ein vollständig integrierter IKT-Risikomanagement-Rahmen, die unabhängige Kontrollfunktion, umfassende Vertragsnachverhandlungen mit Drittanbietern und fortgeschrittene Resilienztests – sind unter anderem noch lückenhaft. Diese Lücken können in den teilweise bereits laufenden DORA-Vorprüfungen, spätestens in den DORA-Hauptprüfungen, zu Feststellungen führen.
Derzeit befindet sich die Branche in einem wichtigen Übergangsstadium: Die DORA-Anforderungen sind erkannt und wurden teilweise umgesetzt, doch der Reifegrad ist gegenwärtig noch nicht ausreichend, um die ab dem 17. Januar 2025 erforderliche digitale operationelle Resilienz vollständig und wirksam unter Beweis zu stellen. Jetzt ist die Zeit, um Governance-Lücken schnell zu schließen, Verträge anzupassen und sowohl technische als auch organisatorische Kontrollen zu intensivieren. Unternehmen, die diese Herausforderungen rechtzeitig angehen, werden besser gerüstet sein, um den gesetzlichen Anforderungen zu entsprechen und dabei ihre operative Effizienz sowie Marktposition nachhaltig zu stärken.
Weitere Studienergebnisse im Überblick
- Testen der digitalen operationalen Resilienz
- Anpassung des internen Kontrollsystems (IKS)
- Mindestvertragsinhalte bei IKT-Drittdienstleistern
- Ausgestaltung des Informationsregisters
- Austausch von Informationen
Testen der digitalen operationalen Resilienz
Die Resilienztests konzentrieren sich vornehmlich auf Schwachstellen-Scans (96 %), Penetrationstests (93 %) und Netzwerksicherheitsbewertungen (89 %), demgegenüber sind umfassendere, kombinierte Testreihen einschließlich TLPT bislang nur vereinzelt etabliert. Mit den richtigen Tools und einem strukturierten Vorgehen lassen sich diese Formate jedoch effizient aufbauen. Wir unterstützen Sie dabei gerne mit erprobten Methoden und praxisnaher Umsetzungserfahrung.
Anpassung des internen Kontrollsystems (IKS)
42 % haben ihr Internes Kontrollsystem (IKS) bereits gezielt angepasst, um den DORA-Vorgaben zu entsprechen und die Compliance langfristig zu sichern. Weitere 37 % planen entsprechende Änderungen, während 21 % keine Anpassungen ihres IKS im Zuge von DORA vorsehen.
Die Mehrheit der Organisationen erweitert oder modifiziert ihr IKS also über die klassischen Kontrollen hinaus, um digitale Risiken und operative Resilienz angemessen und nachhaltig abzudecken. Unternehmen, die ihr IKS bislang nicht gezielt anpassen, riskieren dagegen mittelfristig Lücken in der regulatorischen Abdeckung und schwächen ihre Position im Hinblick auf digitale Resilienz und somit den Markt.
Mindestvertragsinhalte bei IKT-Drittdienstleistern
Nur 2 % der 72 befragten Unternehmen haben alle Verträge mit IKT-Drittdienstleistern vollständig um die geforderten DORA-Mindestinhalte ergänzt. Weitere 22 % haben dies in 81–99 % ihrer Vereinbarungen umgesetzt, während 36 % erst in 21–50 % und 39 % lediglich in 1–20 % der Verträge Anpassungen vorgenommen haben. Bei 1 % fanden noch keine Nachverhandlungen statt. Diese Zahlen verdeutlichen, dass bei der Hälfte der Organisationen die Vertragsanpassungen größtenteils ausstehen. Die DORA-Mindestinhalte sind jedoch entscheidend, damit externe Dienstleister verbindlich Sicherheitsanforderungen erfüllen – einschließlich der Unterstützung bei IKT-Vorfällen und der Kooperation mit Aufsichtsbehörden.
Ausgestaltung des Informationsregisters
Ein lückenloses Informationsregister verschafft einen vollständigen Überblick über alle IKT-Dienstleistervereinbarungen und bildet die Grundlage für eine wirksame Risikoüberwachung. Von den 72 teilnehmenden Organisationen führen 70 % ein detailliertes Informationsregister, in dem sämtliche Verträge mit IKT-Drittdienstleistern toolgestützt erfasst sind. Weitere 29 % haben ein solches Register manuell erstellt, während 1 % bislang gar keines führen. Organisationen, die bislang kein Informationsregister führen, laufen Gefahr, kritische Abhängigkeiten und Risiken nicht rechtzeitig zu erkennen. Jetzt bietet sich die Gelegenheit, durch ein strukturiertes und idealerweise toolgestütztes Informationsregister Transparenz zu schaffen.
Austausch von Informationen
37 % der Organisationen beteiligen sich bereits gemäß Unternehmensstrategie am freiwilligen Austausch von Cyber-Threat-Informationen und nutzen damit einen wichtigen Hebel für kollektive Resilienz.
„Unternehmen müssen weiterhin ihre Governance-Lücken schließen, Verträge anpassen und organisatorische wie technische Kontrollen vertiefen, um DORA-konform zu sein.“
Phillip Dittrich,Senior Manager bei PwC DeutschlandJetzt herunterladen
FS Digital Risk Barometer 2025
Sie haben Fragen?
Kontaktieren Sie unsere Expert:innen
Die Methodik
Im Rahmen des Barometers wurden von Anfang April bis Mitte Mai durch PwC Deutschland 72 Versicherungen, Banken und Asset- & Wealthmanager befragt.
