DORA-Compliance 2025: Was Vermögensverwalter jetzt rechtlich beachten müssen

Seit dem 17. Januar 2025 ist der Digital Operational Resilience Act (DORA) für alle Finanzunternehmen in der EU verbindlich – und damit auch für Vermögensverwalter. Ziel der Verordnung ist es, die digitale Widerstandsfähigkeit des Finanzsektors gegenüber Cyberangriffen, Systemausfällen und Drittanbieterrisiken deutlich zu erhöhen.

Obwohl die Anforderungen seit langem bekannt sind und DORA inzwischen verbindlich gilt, zeigt sich in der Praxis: Viele Vermögensverwalter haben die Umsetzung weiterhin nicht abgeschlossen – oder erst zögerlich begonnen.

Die Aufsichtsbehörden haben nun angekündigt, den Fokus verstärkt auf Institute zu legen, bei denen es Versäumnisse bei der Einhaltung der DORA-Vorgaben gibt. Das kann nicht nur zu aufsichtsrechtlichen Maßnahmen führen, sondern auch erhebliche haftungsrechtliche Folgen nach sich ziehen – insbesondere, wenn IT-Ausfälle oder Datenschutzverletzungen eintreten.

Um Mandanten bei der rechtssicheren Umsetzung und Nachbesserung zu unterstützen, bietet Dr. Nicholas Ziegert, Of Counsel der Kanzlei Herfurtner, fundierte Rechtsberatung rund um DORA-Compliance an. In diesem Beitrag zeigen wir, worauf Vermögensverwalter jetzt besonders achten sollten – und wie sie drohende Risiken vermeiden können.

Was ist DORA? – Ziel und Anwendungsbereich

Der Digital Operational Resilience Act (DORA) ist eine EU-Verordnung, die das Ziel verfolgt, die digitale Widerstandsfähigkeit des gesamten Finanzsektors zu stärken.

Gemeint ist damit die Fähigkeit von Finanzunternehmen, auch unter digitalen Extrembedingungen – etwa bei Cyberangriffen, IT-Ausfällen oder durch das Versagen von Dienstleistern – handlungsfähig zu bleiben und wesentliche Dienstleistungen aufrechtzuerhalten.

DORA verpflichtet nicht nur Banken und große Zahlungsdienstleister zur Einhaltung strenger IT-Sicherheitsstandards, sondern ausdrücklich auch kleinere und mittlere Finanzunternehmen, wie etwa Vermögensverwalter, Kapitalverwaltungsgesellschaften oder Wertpapierinstitute.

Die Verordnung trat am 16. Januar 2023 in Kraft und musste bis spätestens 17. Januar 2025 vollständig umgesetzt sein.

Die Vorschriften decken fünf zentrale Handlungsfelder ab:

1. IKT-Risikomanagement: Aufbau eines systematischen Managements von Informations- und Kommunikationstechnologie-Risiken.

2. IKT-Vorfallerkennung und -meldung: Einführung von Verfahren zur frühzeitigen Erkennung und Meldung schwerwiegender Vorfälle.

3. Digitale Resilienz-Tests: Durchführung regelmäßiger technischer Tests zur Überprüfung der eigenen Widerstandsfähigkeit.

4. IKT-Drittparteienmanagement: Vertragsgestaltung, Risikoüberwachung und Steuerung von ausgelagerten IT-Dienstleistungen.

5. Informationsaustausch: Förderung des kooperativen Austauschs über Cyber-Bedrohungen innerhalb des Finanzsektors.

DORA ist unmittelbar geltendes EU-Recht – es bedarf keiner weiteren nationalen Umsetzungsgesetze. Verstöße gegen die Vorgaben können daher direkt geahndet werden, insbesondere durch nationale Aufsichtsbehörden wie BaFin oder ESMA. Für Vermögensverwalter, die ihre Prozesse bislang nur unvollständig angepasst haben, steigt der Handlungsdruck nun erheblich.

Rechtliche Risiken bei Nicht-Umsetzung

Mit dem Ablauf der Umsetzungsfrist am 17. Januar 2025 ist DORA in die Phase der Durchsetzung übergegangen – und damit auch in das Blickfeld der Aufsichtsbehörden. Für Vermögensverwalter, die ihren Pflichten bislang nicht oder nur teilweise nachgekommen sind, bedeutet das: Versäumnisse sind nun keine organisatorischen Baustellen mehr, sondern rechtlich relevante Compliance-Verstöße.

Die aufsichtsrechtlichen Risiken reichen von verwaltungsrechtlichen Maßnahmen wie Anordnungen zur Nachbesserung bis hin zu Bußgeldern. Bei besonders schwerwiegenden oder beharrlichen Verstößen kann im Extremfall sogar die Lizenz gefährdet sein – etwa wenn die mangelnde digitale Resilienz ein systemisches Risiko darstellt oder Kundendaten gefährdet sind.

Hinzu kommen zivilrechtliche Haftungsrisiken, beispielsweise wenn durch IT-Ausfälle oder Sicherheitslücken Vermögensschäden bei Kunden entstehen. In solchen Fällen müssen Institute im Zweifel nachweisen, dass sie ihrer gesetzlichen Pflicht zur Risikoprävention nach DORA nachgekommen sind. Ohne dokumentierte Prozesse, Verträge oder Tests wird dies kaum möglich sein.

Ein weiterer Aspekt ist die Reputationsgefahr: In einem sensiblen Marktumfeld wie der Vermögensverwaltung kann bereits der Verdacht unzureichender IT-Sicherheit das Vertrauen von Anlegern, Geschäftspartnern oder institutionellen Investoren nachhaltig beschädigen.

Gerade kleinere und mittlere Vermögensverwalter sollten daher die bestehenden Lücken jetzt identifizieren und systematisch schließen. Die gute Nachricht: Auch eine verspätete Umsetzung ist möglich – solange sie strukturiert erfolgt und dokumentierbar ist. Eine rechtliche Beratung durch Kanzleien kann hier entscheidende Weichen stellen.

Typische Versäumnisse bei Vermögensverwaltern

Die DORA-Verordnung stellt besonders kleinere und mittlere Vermögensverwalter vor erhebliche Herausforderungen. Anders als große Kreditinstitute verfügen viele von ihnen nicht über eigene IT-Abteilungen oder erprobte Compliance-Strukturen. Entsprechend häufig zeigen sich Lücken in der praktischen Umsetzung der neuen Anforderungen. Einige der häufigsten Versäumnisse lassen sich wie folgt zusammenfassen:

1. Fehlende oder unvollständige IKT-Risikomanagementsysteme
   Zahlreiche Vermögensverwalter haben noch keine formalisierte Struktur für das Management von IT- und Cyberrisiken etabliert. Es fehlen Risikoanalysen, Notfallpläne, klare Verantwortlichkeiten und regelmäßige Überprüfungen.

2. Unzureichende Dokumentation externer IT-Dienstleistungen
   DORA verlangt ein vollständiges Verzeichnis sämtlicher ausgelagerter IKT-Leistungen. In der Praxis existieren solche Verzeichnisse entweder gar nicht oder sind unvollständig. Insbesondere fehlt oft die Einordnung nach Kritikalität – obwohl gerade diese für das weitere Vorgehen entscheidend ist.

3. Nicht-konforme oder veraltete Dienstleisterverträge
   Viele bestehende Verträge mit IT-Anbietern erfüllen die DORA-Anforderungen nicht: Weder sind Prüf- und Einsichtsrechte für Aufsichtsbehörden geregelt, noch sind klare Regelungen zur Erreichbarkeit im Krisenfall oder zur Weitervergabe enthalten. Ein häufiges Problem: Die IT-Dienstleister stammen oft nicht aus dem regulierten Finanzbereich und kennen die regulatorischen Anforderungen nicht.

4. Fehlende oder mangelhafte Prozesse für das Incident Reporting
   DORA verlangt, dass schwerwiegende IT-Vorfälle (z. B. Datenpannen, Systemausfälle, Cyberangriffe) erfasst, analysiert und in standardisierter Form gemeldet werden. Gerade kleinere Vermögensverwalter haben häufig keine oder nur rudimentäre Verfahren zur Vorfallserkennung und -meldung etabliert.

5. Keine Testverfahren zur digitalen Resilienz
   Technische Belastungstests oder Schwachstellenanalysen, wie sie DORA vorschreibt, wurden bislang vielerorts nicht oder nur punktuell durchgeführt. Häufig fehlen zudem interne Richtlinien, wann und wie solche Tests erfolgen sollen.

Diese Versäumnisse sind nicht nur ein organisatorisches Risiko, sondern können konkrete aufsichts- und haftungsrechtliche Konsequenzen haben. Umso wichtiger ist es, nun gezielt nachzubessern – mit klaren Prioritäten und juristischer Unterstützung.

Drittanbieter unter der Lupe: Vertragliche und technische Anforderungen

Kaum ein Vermögensverwalter betreibt heute noch alle IT-Systeme selbst. Der Großteil nutzt externe Dienstleister – sei es für Cloud-Services, Sicherheitslösungen, Datenhaltung oder Kommunikationsinfrastruktur.

Genau hier setzt DORA besonders streng an: IKT-Drittanbieter gelten als potenzielle Schwachstelle der digitalen Resilienz – und müssen deshalb systematisch überwacht und vertraglich eingebunden werden.

1. Verzeichnis aller IKT-Dienstleistungen
DORA verpflichtet Finanzunternehmen, ein vollständiges und aktuelles Verzeichnis sämtlicher von Dritten bezogenen IKT-Leistungen zu führen. Dabei sind nicht nur direkte Vertragspartner zu erfassen, sondern auch sogenannte Subdienstleister in der Leistungskette. Besonders kritisch: Leistungen, die für wesentliche oder kritische Funktionen erbracht werden, müssen gesondert gekennzeichnet werden.

2. Vertragsanforderungen nach DORA
Verträge mit IKT-Drittanbietern müssen spezifische Anforderungen erfüllen. Dazu zählen unter anderem:

• klare Regelungen zu Erreichbarkeit und Reaktionszeiten im Störfall,

• Audit- und Prüfrechte für das Unternehmen und die zuständigen Aufsichtsbehörden,

• Vorgaben zur Weitervergabe von Leistungen (Sub-Outsourcing),

• Regelungen zur Datenverarbeitung, Verfügbarkeit und Rückgabe im Falle der Vertragsbeendigung.

Viele der aktuell genutzten Standardverträge erfüllen diese Anforderungen nicht. Insbesondere IT-Anbieter, die nicht auf den Finanzsektor spezialisiert sind, zeigen sich oft unvorbereitet auf die regulatorischen Anforderungen – was die Vertragsverhandlungen erheblich erschwert.

3. Schulungspflichten und Monitoring
Vermögensverwalter sind außerdem verpflichtet, ihre Dienstleister für DORA-relevante Themen zu sensibilisieren und deren Resilienz laufend zu überwachen. Dazu zählen regelmäßige Risikoanalysen, Leistungsbewertungen und – falls erforderlich – technische Audits. Die Verordnung verlangt einen aktiven Steuerungsansatz, nicht bloß passives Vertrauen.

4. Vorteil: Regulierte IT-Anbieter
Ein großer Vorteil kann entstehen, wenn ein Dienstleister selbst unter DORA fällt – etwa weil er als „kritischer Drittanbieter“ nach der Verordnung registriert ist oder in einem regulierten Finanzbereich tätig ist. Solche Anbieter kennen die Anforderungen und bringen oft bereits standardisierte, rechtskonforme Vertragswerke mit. Das spart Zeit, Kosten und reduziert Unsicherheiten bei der Umsetzung.

Fazit: Das Drittparteienmanagement ist einer der komplexesten, aber auch entscheidendsten Bereiche der DORA-Compliance. Hier empfiehlt sich eine sorgfältige rechtliche Prüfung bestehender Verträge und Strukturen.

Praktische Empfehlungen zur nachträglichen Compliance

Auch nach Ablauf der Frist im Januar 2025 ist es nicht zu spät, um regulatorisch aufzuholen – solange jetzt gezielt und strukturiert nachgebessert wird. Aufsichtsbehörden erwarten jetzt zwar entschlossenes Handeln, zeigen aber durchaus Verständnis für Nachzügler – vorausgesetzt, es liegt ein nachvollziehbarer, strukturierter Nachbesserungsprozess vor. Für Vermögensverwalter, die bisher keine vollständige Compliance erreicht haben, empfehlen sich folgende Maßnahmen:

1. Bestandsaufnahme und Gap-Analyse
Der erste Schritt ist die gründliche Analyse des Ist-Zustands. Welche DORA-Anforderungen wurden bereits umgesetzt? Welche fehlen? Und wo bestehen Unsicherheiten? Diese Bestandsaufnahme sollte dokumentiert und mit klaren Prioritäten versehen werden – idealerweise unter externer rechtlicher und technischer Begleitung.

2. Priorisierung kritischer Lücken
Besonders dringlich sind jene Maßnahmen, die direkte aufsichtsrechtliche oder sicherheitsrelevante Auswirkungen haben: etwa das IKT-Risikomanagement, Vorfallmanagement und die Verträge mit Drittanbietern. Hier sollten Vermögensverwalter kurzfristig handeln, um die größten Risiken zu minimieren.

3. Erstellung eines Umsetzungsplans
Ein strukturierter Maßnahmenplan mit Verantwortlichkeiten, Zeitrahmen und Kontrollpunkten kann nicht nur intern Orientierung bieten, sondern auch gegenüber der Aufsicht dokumentieren, dass DORA-Compliance ernst genommen wird. Auch für die Geschäftsleitung ist ein solcher Plan essenziell, um ihrer eigenen Überwachungspflicht gerecht zu werden.

4. Überarbeitung und Ergänzung von Verträgen
Bestehende Verträge mit IT-Dienstleistern müssen auf DORA-Konformität überprüft und gegebenenfalls angepasst werden. Das betrifft vor allem Prüfrechte, Notfallprozesse, Datenschutz und Weitervergabe. In der Praxis ist dies oft der aufwendigste Teil – aber auch einer der wichtigsten.

5. Schulung und Sensibilisierung interner Teams
Mitarbeitende sollten mit den wesentlichen Inhalten von DORA vertraut sein – insbesondere in den Bereichen IT, Compliance, Risikomanagement und Geschäftsleitung. Schulungen sind nicht nur aus Sicht der Aufsicht sinnvoll, sondern helfen auch dabei, die Umsetzung in der Praxis konsequent zu verankern.

6. Externe Unterstützung einbinden
Die Anforderungen der DORA-Verordnung sind komplex und weitreichend – gerade im Zusammenspiel von rechtlichen, technischen und organisatorischen Maßnahmen.

Fazit: Jetzt handeln, um rechtliche und operative Risiken zu minimieren

DORA ist Realität – und mit dem 17. Januar 2025 zur verbindlichen Anforderung für alle Finanzunternehmen geworden. Für Vermögensverwalter, die bislang bei der Umsetzung zurücklagen, ist jetzt nicht mehr die Frage „ob“, sondern nur noch „wie schnell und wie konsequent“ sie nachbessern können.

Die regulatorischen Vorgaben sind komplex, aber nicht unüberwindbar – vor allem dann nicht, wenn strukturiert vorgegangen wird.

Die größten Risiken bestehen derzeit weniger im Verstoß selbst, sondern im Nichtstun: Fehlende Maßnahmen, unklare Zuständigkeiten oder veraltete Verträge können schnell zu aufsichtsrechtlichen Konsequenzen, Haftungsfällen oder Reputationsverlusten führen. Gleichzeitig bietet DORA auch eine Chance: Wer seine digitale Resilienz jetzt ernst nimmt, verbessert nicht nur die regulatorische Ausgangslage, sondern stärkt auch langfristig die Stabilität und Wettbewerbsfähigkeit des eigenen Unternehmens.

Die Kanzlei Herfurtner unterstützt Vermögensverwalter bei allen rechtlichen Fragen rund um DORA. Dr. Nicholas Ziegert, Of Counsel, berät unsere Mandanten dabei umfassend – von der Prüfung bestehender Verträge bis zur rechtssicheren Gestaltung individueller Compliance-Maßnahmen.

Jetzt ist der richtige Zeitpunkt, um Rückstände aufzuholen – und DORA zum Ausgangspunkt einer nachhaltig resilienten Unternehmensführung zu machen.