Image taken from: https://unsplash.com/de/fotos/ein-grosses-blau-gelbes-schild-mit-sternen-darauf-tNW_p9KZmjA
Post Views: 4

DORA 2026 und was das Gesetz für digitale Resilienz im Finanzsektor bedeutet

Mit dem Digital Operational Resilience Act (DORA) will die EU die digitale Widerstandsfähigkeit des Finanzsektors erhöhen. Spätestens ab 2026 müssen Organisationen nachweisen können, dass sie digitale Abhängigkeiten kennen, Risiken bewerten und Sicherheitsvorfälle beherrschen. Der Umgang mit digitalen Identitäten spielt dabei eine wichtige Rolle. Zugriffe auf Systeme, Daten und Prozesse sind in modernen IT-Umgebungen das entscheidende Kriterium für Sicherheit oder Unsicherheit.
Von   Ismet Koyun   |  CEO und Gründer   |  KOBIL Gruppe
30. März 2026

DORA 2026 und was das Gesetz für digitale Resilienz im Finanzsektor bedeutet

Regulatorischer Hintergrund: DORA als Systemregulierung

DORA richtet sich nicht ausschließlich an klassische Kreditinstitute oder Versicherungen. Erfasst werden auch Zahlungsdienstleister, Wertpapierfirmen, Kryptodienstleister, FinTechs sowie Anbieter kritischer Informations- und Kommunikationstechnologie für den Finanzsektor. Damit nimmt die Verordnung bewusst das gesamte digitale Ökosystem in den Blick, in dem Finanzdienstleistungen heute erbracht werden.

 

Inhaltlich gliedert sich DORA in fünf miteinander verknüpfte Handlungsfelder:

  1. Governance und Steuerung digitaler Risiken
  2. Management und Meldung von IT-bezogenen Vorfällen
  3. Tests zur operativen Belastbarkeit
  4. Kontrolle und Überwachung von Drittparteien
  5. Austausch von Informationen über Bedrohungen

Gemeinsam ist diesen Bereichen die Anforderung, digitale Abhängigkeiten transparent zu machen und aktiv zu kontrollieren. Identitäten fungieren dabei als verbindendes Element: Sie definieren, wer oder was in welcher Rolle auf welche Ressourcen zugreifen darf – und unter welchen Bedingungen.

 

Digitale Identitäten als strukturelles Risiko

In heutigen IT-Landschaften agieren Menschen, Anwendungen, Schnittstellen, Cloud-Dienste und automatisierte Prozesse parallel. Jede dieser Entitäten verfügt über eine eigene digitale Identität. Je komplexer die Umgebung, desto größer die Zahl dieser Identitäten und desto schwieriger ihre Kontrolle.

Sicherheitsvorfälle lassen sich in vielen Fällen auf identitätsbezogene Schwachstellen zurückführen. Dazu zählen kompromittierte Zugangsdaten, übermäßig weit gefasste Berechtigungen, veraltete Konten ehemaliger Mitarbeitender oder unzureichend abgesicherte Zugänge externer Dienstleister. DORA adressiert dieses Problem indirekt, aber sehr deutlich: Zugriffsrechte dürfen nicht dauerhaft und unbegrenzt vergeben werden. Sie müssen überprüfbar, anpassbar und begründbar sein.

Besondere Aufmerksamkeit gilt dabei privilegierten Konten. Administratorrechte, Systemzugänge oder technische Servicekonten können im Missbrauchsfall erhebliche Schäden auslösen. Die Verordnung verlangt daher eine erhöhte Transparenz und Kontrolle genau dieser Identitäten.

 

Authentifizierung wird kontextabhängig

Starke Authentifizierungsverfahren gelten im Finanzsektor längst als Standard. Doch DORA setzt nicht bei der Frage an, ob jemand korrekt identifiziert ist, sondern erweitert die Perspektive auf den Nutzungskontext. Relevant ist nicht nur die Identität selbst, sondern auch der Rahmen, in dem ein Zugriff erfolgt.

Moderne Zugriffskonzepte berücksichtigen daher zusätzliche Faktoren wie Rolle, Zeitpunkt, Ort, verwendetes Endgerät oder Art der angeforderten Aktion. Zeitlich begrenzte Berechtigungen, rollenbasierte Zugriffsmuster und adaptive Freigaben gewinnen an Bedeutung. Ziel ist es, das Prinzip der minimal notwendigen Rechte konsequent umzusetzen.

Gleichzeitig wächst der Dokumentationsanspruch. Jede Anmeldung, jede Rechtevergabe und jede administrative Änderung muss revisionssicher erfasst werden. Diese Prüfpfade bilden die Grundlage für interne Kontrollen, externe Prüfungen und regulatorische Meldungen.

 

Monitoring und Meldepflichten werden zur Daueraufgabe

Ein weiterer Kernaspekt von DORA ist die Fähigkeit, sicherheitsrelevante Ereignisse frühzeitig zu erkennen und korrekt einzuordnen. Unternehmen müssen ungewöhnliche Zugriffsmuster, Auffälligkeiten im Nutzerverhalten oder Abweichungen von definierten Prozessen identifizieren können. Dies setzt eine kontinuierliche Überwachung voraus, die nicht auf einzelne Systeme beschränkt ist.

Ohne eine zentrale Sicht auf Identitäten und Berechtigungen lassen sich Vorfälle weder angemessen bewerten noch fristgerecht melden. Viele Organisationen stehen hier vor strukturellen Herausforderungen, da ihre IT-Landschaften historisch gewachsen und funktional fragmentiert sind. DORA erhöht den Druck, diese Strukturen zu konsolidieren und transparenter zu gestalten.

 

Drittparteien im regulatorischen Fokus

Besonders deutlich wird der ganzheitliche Ansatz von DORA beim Umgang mit externen Dienstleistern. Finanzunternehmen bleiben auch dann verantwortlich, wenn Sicherheitsprobleme bei ausgelagerten IT-Leistungen auftreten. Entsprechend hoch sind die Anforderungen an Vertragsgestaltung, Überwachung und Zugriffskontrolle.

Aus identitätsbezogener Sicht bedeutet das: Externe Nutzer müssen klar identifizierbar sein, ihre Berechtigungen eindeutig definiert und jederzeit entziehbar. Temporäre Zugänge, getrennte Identitäten und zusätzliche Sicherheitsstufen gelten als bewährte Mittel, um Risiken zu begrenzen. Die Herausforderung besteht darin, diese Anforderungen effizient umzusetzen, ohne operative Abläufe unnötig zu verlangsamen.

 

Technik allein genügt nicht

DORA macht deutlich, dass digitale Widerstandsfähigkeit nicht nur technische Relevanz hat. Neben sicheren Authentifizierungsverfahren und Überwachungssystemen spielen organisatorische Prozesse eine entscheidende Rolle. Dazu zählen eindeutig definierte Zuständigkeiten, dokumentierte Eskalationswege und regelmäßig getestete Notfallpläne.

Auch der menschliche Faktor bleibt relevant. Fehlkonfigurationen, unklare Verantwortlichkeiten oder mangelnde Sensibilisierung zählen weiterhin zu den häufigsten Ursachen für Sicherheitslücken. Identitätsmanagement ist daher immer auch eine Frage von Governance, Schulung und Unternehmenskultur.

 

Marktansätze und strukturelle Lösungsmodelle

Der Markt reagiert auf die steigenden Anforderungen mit unterschiedlichen Strategien. Einige Organisationen setzen auf spezialisierte Systeme für Identitäts- und Zugriffssteuerung, andere verfolgen integrierte Plattformansätze, die Authentifizierung, Überwachung und Dokumentation bündeln. Ergänzt werden diese Modelle durch hardwarebasierte Sicherheitsmechanismen, zertifikatsgestützte Identitäten oder mobile Authentifizierungsverfahren.

Unabhängig vom konkreten Ansatz zeigt sich ein gemeinsamer Trend: Entscheidend ist die Fähigkeit, Identitäten über ihren gesamten Lebenszyklus hinweg zu steuern. Dazu gehören Eintritt, Rollenwechsel, temporäre Aufgaben, externe Zusammenarbeit und das saubere Beenden von Zugängen. Isolierte Einzellösungen stoßen hier schnell an ihre Grenzen.

 

Plattform-Ansatz als Antwort auf DORA

Vor diesem Hintergrund gewinnt der Plattform-Ansatz an Bedeutung. Gemeint sind integrierte Architekturen, die Identitätsmanagement, Zugriffskontrollen, Monitoring, Protokollierung und Governance-Funktionen in einer gemeinsamen Struktur zusammenführen. Ziel ist es, fragmentierte Einzellösungen zu reduzieren und eine konsistente Steuerung digitaler Identitäten über System- und Organisationsgrenzen hinweg zu ermöglichen. Plattformen fungieren dabei als übergeordnete Orchestrierungsebene: Sie bündeln Informationen über Nutzer, Rollen, Berechtigungen und Kontexte und stellen diese zentral für Monitoring, Analyse und Nachweisführung bereit. Für die Umsetzung von DORA ist dieser Ansatz relevant, weil er Transparenz über digitale Abhängigkeiten schafft, Prüfpfade vereinheitlicht und Änderungen entlang des gesamten Identitätslebenszyklus nachvollziehbar macht. Gleichzeitig bleibt die konkrete Ausgestaltung technologieoffen. Plattformmodelle können unterschiedliche Sicherheitsverfahren, bestehende Fachsysteme und regulatorische Anforderungen integrieren, ohne diese vollständig zu ersetzen. Damit werden sie weniger als Produktentscheidung verstanden, sondern als strukturelles Organisationsprinzip für digitale Resilienz im Finanzsektor.

 

Rolle von Plattform-Ansätzen für technologische Souveränität in Europa

Solche Plattform-Ansätze spielen für technologische Souveränität in Europa eine zentrale, strukturelle Rolle. Souveränität setzt voraus, dass komplexe digitale Funktionen nicht isoliert, sondern übergreifend steuerbar sind. Fragmentierte Einzellösungen erschweren diese Steuerung, da sie Abhängigkeiten verdecken, Verantwortlichkeiten verteilen und regulatorische Nachvollziehbarkeit einschränken. Plattformen schaffen demgegenüber eine gemeinsame technische und organisatorische Bezugsebene, auf der Identitäten, Zugriffsrechte, Datenflüsse und Sicherheitsmechanismen konsistent abgebildet werden können. Für europäische Organisationen bedeutet dies, Kontrolle nicht nur auf Ebene einzelner Anwendungen auszuüben, sondern übergreifend über Architekturen, Schnittstellen und Lebenszyklen hinweg. Plattform-Ansätze ermöglichen es, regulatorische Anforderungen, Sicherheitsstandards und europäische Rechtsprinzipien systematisch in technische Strukturen zu übersetzen. Dadurch werden Abhängigkeiten von proprietären Einzeltechnologien reduziert und die Fähigkeit gestärkt, Technologien auszutauschen, weiterzuentwickeln oder lokal zu betreiben. Technologische Souveränität entsteht in diesem Verständnis nicht durch Abschottung, sondern durch strukturelle Gestaltungsfähigkeit – und diese setzt integrierte, transparente und beherrschbare Plattformarchitekturen voraus.

 

Strategische Implikationen für Unternehmen

DORA ist 2026 ein Impuls zur strukturellen Modernisierung und geht über Compliance-Aspekte hinaus. Unternehmen, die Identitäten, Zugriffe und Überwachung systematisch ordnen, schaffen nicht nur regulatorische Sicherheit, sondern reduzieren auch operative Risiken. Gleichzeitig steigt die Transparenz über digitale Abhängigkeiten, was langfristig bessere Entscheidungen ermöglicht.

Digitale Resilienz entwickelt sich damit zu einem strategischen Faktor, der auf jede Management-Agenda gehört – und das Vertrauen von Kunden, Partnern und Aufsichtsbehörden gleichermaßen beeinflusst. Wer DORA nur als Pflicht versteht, verschenkt Potenzial. Wer die Verordnung hingegen als Anlass nutzt, gewachsene Strukturen kritisch zu hinterfragen, kann Sicherheit, Effizienz und Steuerbarkeit nachhaltig verbessern.

 

Key Facts: Warum Dora einen Plattform-Ansatz erfordert

  • DORA tritt ab 2026 verbindlich für den europäischen Finanzsektor in Kraft
  • Die Verordnung adressiert digitale Resilienz ganzheitlich, nicht nur IT-Sicherheit
  • Identitäts- und Zugriffssteuerung wird zu einem zentralen Kontrollmechanismus
  • Statische Berechtigungen sind mit DORA kaum vereinbar
  • Kontextbasierte Zugriffskontrollen gewinnen regulatorisch an Bedeutung
  • Revisionssichere Prüfpfade sind für Audits und Meldepflichten essenziell
  • Drittanbieterzugänge bleiben in der Verantwortung der Finanzunternehmen
  • Monitoring und Vorfallerkennung müssen kontinuierlich erfolgen
  • Organisation, Prozesse und Schulung sind ebenso relevant wie Technik
  • Plattform- und Lifecycle-Ansätze gelten als strukturell tragfähige Lösung

Ismet Koyun

Ismet Koyun

CEO und Gründer bei KOBIL Gruppe

Ismet Koyun ist Pionier für digitale Sicherheit sowie Gründer und CEO von KOBIL, führender Anbieter digitaler Lösungen für Sicherheit und Identitätsmanagement. Koyun setzt sich für die digitale Souveränität Europas ein. Sein Fokus liegt darauf, Europa digital abzusichern – mit europäischen Sicherheitsprodukten, die Quantum-ready sind.
Alle Beiträge anzeigen

Um einen Kommentar zu hinterlassen müssen sie Autor sein, oder mit Ihrem LinkedIn Account eingeloggt sein.

54416

share

Artikel teilen

Top Artikel

DORA 2026 und was das Gesetz für digitale Resilienz im Finanzsektor bedeutet

Ismet Koyun

Deutschland auf dem Weg zum europäischen Qualitätsführer im Partner- und Affiliate Marketing

Tim Lomborg

NIS-2 ab 2026: Was Unternehmen beachten müssen

Ismet Koyun

Enablement 2026: Warum Wachstum nicht an Technologie scheitert, sondern an deren Implementierung

Irina Soriano

Ähnliche Artikel

Deutschland auf dem Weg zum europäischen Qualitätsführer im Partner- und Affiliate Marketing

27. März 2026

Deutschland etabliert sich 2025 als europäischer Qualitätsführer im Partner- und Affiliate Marketing. Verbindliche Standards, regulatorische Klarheit und der gezielte Einsatz von KI machen den
NIS-2 ab 2026: Was Unternehmen beachten müssen

25. März 2026

Mit der NIS-2-Richtlinie verschärft die Europäische Union ihre Anforderungen an die digitale Sicherheit von Unternehmen grundlegend. Was lange als technische Disziplin der IT-Abteilungen galt,
Enablement 2026: Warum Wachstum nicht an Technologie scheitert, sondern an deren Implementierung

23. März 2026

In ihrem Beitrag „Enablement 2026: Warum Wachstum nicht an Technologie scheitert, sondern an deren Implementierung“ gibt Irina Soriano (VP Strategic Enablement Services bei Seismic)