Drittanbieter-Risiken: Nur 6,5% bestehen DORA-Datenprüfung

Seit Januar 2025 gilt die Verordnung für rund 22.000 EU-Finanzinstitute – doch die Einhaltung der Vorschriften bereitet vielen weiterhin Probleme. Besonders im Fokus der Aufsicht: das Management von Drittanbieter-Risiken.

Schwachstelle Lieferketten: Drittparteien-Risiken unter der Lupe

Die Prüfungsergebnisse aus 2025 und 2026 zeigen deutliche Lücken im Umgang mit ICT-Dienstleistern. Artikel 28 der Verordnung, der die Abhängigkeiten von externen Anbietern regelt, sorgt für die meisten Beanstandungen. Viele Institute führen unvollständige Informationsregister oder können die geforderten Nachweise vor Vertragsabschluss nicht erbringen.

Anzeige: Nur 6,5% der Unternehmen bestanden alle Datenqualitätsprüfungen für ihre Informationsregister. Dieser Report zeigt, wie Sie die häufigsten Fehler vermeiden und Ihre Drittanbieter-Prüfung DORA-konform gestalten. Jetzt kostenlosen Compliance-Report anfordern

Das Ausmaß des Problems wurde bereits 2024 deutlich: Bei einem Testlauf der Europäischen Aufsichtsbehörden (ESAs) mit rund 1.000 Unternehmen bestanden gerade einmal 6,5 Prozent alle 116 Datenqualitätsprüfungen für ihre Informationsregister.

Die Botschaft der Aufsicht ist klar: Standard-Fragebögen reichen nicht mehr aus. Gefordert sind eigenständige Überprüfungen – von Sanktionslisten-Checks bis zu negativen Medienberichten – bevor Verträge mit ICT-Dienstleistern abgeschlossen oder verlängert werden.

Künstliche Intelligenz als Problemlöser – und neues Risiko

Um die wachsenden Compliance-Lasten zu bewältigen, setzen immer mehr Unternehmen auf Automatisierung. PwC Deutschland und das Technologieunternehmen Aleph Alpha haben mit creance.ai ein Gemeinschaftsunternehmen gegründet. Ziel: KI-Tools speziell für Rechts- und Compliance-Abteilungen entwickeln. Ein Schwerpunkt liegt auf dem Drittparteien-Risikomanagement nach DORA.

Der Zeitpunkt ist klug gewählt: Die globalen Ausgaben für KI-Software sollen bis 2027 auf umgerechnet rund 280 Milliarden Euro steigen. Doch die neue Technologie bringt auch neue Gefahren mit sich. Die EU-Agentur für Cybersicherheit (ENISA) berichtet, dass 70 Prozent der Unternehmen bereits Sicherheitsvorfälle im Zusammenhang mit KI erlebt haben.

Europa zentralisiert die Aufsicht

Parallel zur Verschärfung der Compliance-Anforderungen baut die EU ihre Finanzaufsicht um. Die Finanzminister von sechs großen Volkswirtschaften – darunter Deutschland, Frankreich und Italien – haben sich darauf geeinigt, die Überwachung großer Marktinfrastrukturen und bedeutender Krypto-Dienstleister bei der Europäischen Wertpapier- und Marktaufsichtsbehörde (ESMA) in Paris zu bündeln.

Auch national tut sich etwas: Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) stellt zum 1. Juli 2026 ihre Abwicklungsfunktionen neu auf. Geplant ist eine spezialisierte Einheit zur Bekämpfung von Finanzkriminalität, die mit 30 neuen Stellen ausgestattet wird.

Anzeige: Standard-Fragebögen reichen nicht mehr aus – die ESA fordert eigenständige Überprüfungen vor Vertragsabschluss. Erfahren Sie in diesem Leitfaden, wie Sie Sanktionslisten-Checks und Medienanalysen effizient integrieren. DORA-Prüfungsleitfaden jetzt sichern

Digitale Souveränität als europäisches Ziel

Beim ISPA-Forum in Wien diskutierten Experten und Politiker am vergangenen Samstag über Europas digitale Unabhängigkeit. Die EU-Kommission bereitet derweil neue Gesetzespakete vor: Der „AI Omnibus" und der „Data Omnibus" sollen die digitalen Vorschriften vereinfachen. Das geplante Cybersecurity Act 2 wiederum soll einen Rahmen schaffen, um Hochrisiko-Anbieter von kritischer Infrastruktur auszuschließen.

Hintergrund: Schätzungsweise 70 Prozent des EU-Cloud-Marktes werden derzeit von nicht-europäischen Anbietern kontrolliert. Ein Wert, den die Aufseher angesichts der neuen Resilienz-Anforderungen zunehmend als strategisches Risiko betrachten.

de | wirtschaft | 69451430 |