Steigende DORA-Anforderungen verstärken den Modernisierungsdruck in der Finanz- und Versicherungsbranche

Die Anforderungen an digitale Resilienz für Banken, Versicherungen und Finanzdienstleister steigen rasant, zuletzt mit dem Inkrafttreten des DORA. Alte Systeme, die über Jahre hinweg gewachsen sind, werden zunehmend zum Risiko – nicht nur technisch, sondern auch organisatorisch. Wer zukunftsfähig bleiben will, sollte handeln.

Seit dem 17. Januar 2025 gilt DORA (Digital Operational Resilience Act) als EU-weit einheitlicher Rahmen für den Umgang mit Risiken der Informations- und Kommunikationstechnologie (IKT) im europäischen Finanzsektor. Die Anforderungen umfassen unter anderem die Identifikation und Bewertung von IKT-Risiken, die Dokumentation der zugrunde liegenden Systeme, die Steuerung von Veränderungen sowie die Kontrolle von IKT-Drittdienstleistern. Ziel ist es, die Stabilität und Belastbarkeit der digitalen Infrastruktur von Finanzunternehmen zu stärken.

Obwohl die Verordnung keine ausdrückliche Verpflichtung zur Ablösung von Legacy-Systemen enthält, entsteht durch die Operationalisierung der Vorgaben ein deutlicher Handlungsdruck. DORA definiert Anforderungen, die Legacy‑Systeme häufig nur mit unverhältnismäßigem Aufwand erfüllen können oder die strukturell mit deren Einschränkungen kollidieren. Im Kontext der Risikobewertung gelten nach Art. 8 Abs. 7 speziell für Altsysteme strengere Vorschriften. Das alles macht Modernisierung und Ablösung aus IT‑ und Management‑Perspektive noch stärker zu Resilienz‑ und Governance‑Themen und ist ein wichtiger strategischer Schritt zur DORA‑Compliance. 

Vor diesem Hintergrund rückt die Modernisierung oder Ablösung veralteter Infrastrukturen stärker in den Fokus. Der folgende Überblick zeigt, wie sich die Anforderungen von DORA auswirken und welche systematischen Gründe dafür sprechen, die Erneuerung der technischen Basis in die strategische Planung einzubeziehen.

DORA verpflichtet die Branche, IKT-Risiken fortlaufend zu erkennen und geeignete Maßnahmen zur Begrenzung der Auswirkungen zu ergreifen (vergleiche hierzu Art. 6 Abs. 1–3 und Art. 8 Abs. 2 und 7 DORA sowie DelVO 2024/1774). Dazu zählt auch die Bewertung von Schwachstellen, die bei Legacy‑Systemen oft bestehen bleiben: Legacy‑Systeme sind unter Umständen nicht mehr updatefähig, weil Herstellerunterstützung und Patch‑Fähigkeit eingeschränkt sind. Dies führt zu steigenden Anforderungen an Sicherheitskontrollen, zusätzlichen Risiken bei fehlenden Updates sowie erhöhtem Aufwand für alternative Maßnahmen.

• Ablösung wird zur naheliegenden Compliance‑ und Risikoreduktionsmaßnahme.

DORA legt großen Wert auf systematische Transparenz über Funktionen, Assets und Abhängigkeiten. Insbesondere müssen Informationen klassifiziert, dokumentiert und in Inventaren erfasst werden (vergleiche hierzu Art. 8 Abs. 1, 4 und 6 DORA sowie Art. 4 DelVO 2024/1774). Veraltete Systeme erschweren dies durch unvollständige Dokumentation, historisch gewachsene Strukturen und komplexe Abhängigkeiten. Eine nachträgliche Dokumentation kann mit hohem Aufwand verbunden sein; fehlende Transparenz über technische Abhängigkeiten birgt außerdem ein Risiko. Beides führt zu erschwerten Auditierbarkeiten.

• Ablösung kann die günstigere Compliance‑Route sein.

DORA koppelt Veränderungen an IKT-Systemen an strikte Governance‑ und Kontrollanforderungen und setzt „kontrollierte Veränderung“ als Dauerzustand voraus (vergleiche hierzu Art. 8 Abs. 3 DORA sowie ErwGr. 17 DelVO 2024/1774). Legacy‑Systeme können empfindlich auf Updates reagieren und bieten teils keine stabilen Test‑ oder Rollback‑Mechanismen. Dies führt zu Einschränkungen bei Release-Frequenzen und Automatisierungen. Änderungen können nur bei hohem Betriebsrisiko erfolgen.

• Modernisierung reduziert Change‑Risiko und Audit‑Pain.

DORA definiert detaillierte Anforderungen an Transparenz und Kontrolle externer IKT‑Dienstleister (vergleiche hierzu Art. 28–30 DORA sowie ErwGr. 8 DelVO 2024/1774 und DelVO 2024/1773). Legacy‑Systeme basieren oft auf spezifischen Herstellern oder Partnerschaften, die keinen langfristigen Support mehr bieten. Dies kann direkt zu Compliance‑Risiken führen: Abhängigkeiten von nicht mehr unterstützten Technologien, erschwerte Umsetzung von Audit‑ und Kontrollrechten sowie erhöhte Risiken bei der Betriebsfortführung und im Incident‑Response.

• Abhängigkeiten lassen sich durch Ablösung eliminieren.

DORA verstärkt die Anforderungen an Sicherheit, Transparenz, Change‑Prozesse und die Steuerung von Drittparteien. Oftmals erfüllen Legacy‑Systeme diese Bedingungen nur eingeschränkt oder nur mit erheblichem Zusatzaufwand. Sie erhöhen somit Residualrisiken, bremsen Changes, erschweren die Dokumentation und machen Support‑Abhängigkeiten kritisch. Die Modernisierung oder Ablösung solcher Systeme kann Risiken reduzieren, die Effizienz der Nachweisführung steigern und die strukturellen Anforderungen der Verordnung nachhaltig unterstützen.