Die EU-Verordnung über die digitale operationale Resilienz (DORA) bringt tiefgreifende Veränderungen für Finanzinstitute – und ihre IT-Dienstleister. Besonders kleine und mittelständische Unternehmen (KMU), die hochspezialisierte Software oder Rechenzentrumsleistungen anbieten, sehen sich vor komplexen Compliance-Anforderungen, die ihre Existenz gefährden könnten.

Regulierung trifft auch kleine Anbieter

In Deutschland gibt es Schätzungen zufolge rund 100.000 kleinere IT-Dienstleister mit weniger als 200 Beschäftigten, die nun unter die neue Definition von „IKT-Drittdienstleistern“ nach Artikel 2 lit. u der DORA-Verordnung fallen. Für viele dieser Betriebe ist die Umsetzung der geforderten Sicherheits- und Risikomanagementstandards kaum zu stemmen – finanziell wie organisatorisch.

Drohender Rückzug vom Markt

„Wir beobachten, dass sich zahlreiche Anbieter aus dem Markt zurückziehen wollen, weil sie den Aufwand zur DORA-Compliance nicht bewältigen können“, warnt Bastian Krapf, Managing Director eines IT-Beratungsunternehmens. Der Grund: Finanzinstitute müssen künftig ihre Verträge mit Dienstleistern anpassen und Mindeststandards umsetzen – andernfalls drohen Zwangskündigungen durch Aufsichtsbehörden.

Erweiterte Anforderungen für „kritische Funktionen“

Besonders streng sind die Regeln für Anbieter, die sogenannte „kritische oder wichtige Funktionen“ für Banken oder Finanzdienstleister übernehmen. Dazu gehören unter anderem:

• Einbindung der Geschäftsführung ins IKT-Risikomanagement
• Pflicht zur Meldung schwerwiegender IT-Vorfälle
• Erweiterte Vertragsstruktur mit Subdienstleistern
• Verpflichtung zu Penetrationstests durch externe Prüfer (TLPT)

Dr. Julius Freiherr Grote, Experte für Finanzregulierung, sieht hier erhebliche Unsicherheiten: „Ob alle betroffenen Unternehmen die nötigen Maßnahmen zeitgerecht umsetzen können, ist fraglich – nicht zuletzt wegen Personalmangel und begrenztem Budget.“

Gefahr durch US-Cloudanbieter

Ein weiteres Risiko birgt die Zusammenarbeit mit großen, meist US-amerikanischen Cloud- und Softwareanbietern. Diese unterliegen nicht automatisch der EU-Verordnung und zeigen laut Beobachtern bislang wenig Bereitschaft zur freiwilligen DORA-Konformität. Für Banken bedeutet das: Entweder Druck auf die Anbieter ausüben – oder sich nach Alternativen umsehen, die nicht immer vorhanden sind.

Strategie statt Standardlösungen

Experten empfehlen daher einen strategischen Umgang mit der Regulierung. „Viele Banken überziehen ihre Dienstleister mit pauschalen Kontrollanforderungen, statt die Vorgaben an die betrieblichen Realitäten anzupassen“, kritisiert Krapf. Erfolgreiche Compliance bedeute, Vorgaben klug zu interpretieren und partnerschaftlich umzusetzen – nicht blind zu verschärfen.

Für kleine Anbieter mit limitierten Ressourcen gibt es laut DORA auch Ausnahmen oder abgestufte Pflichten – diese sollten gezielt geprüft und genutzt werden. Wo das Know-how fehlt, kann Unterstützung durch spezialisierte Beratungsunternehmen sinnvoll sein.

Fazit: Gefahr für Vielfalt und Innovation

Die Absicht der EU, den Finanzsektor widerstandsfähiger gegen Cyberrisiken zu machen, ist nachvollziehbar. Doch die Umsetzung der DORA-Verordnung könnte unbeabsichtigt dazu führen, dass hochspezialisierte kleine IT-Dienstleister vom Markt verschwinden – mit Folgen für Innovation und Wettbewerb im Finanzsektor. Gerade der Mittelstand muss nun Wege finden, um regulatorischen Druck mit wirtschaftlicher Realität in Einklang zu bringen.