Was der erste DORA-Vorfallbericht über das Konzentrationsrisiko im Finanzsektor der EU aussagt

3.383 schwerwiegende IKT-Vorfälle. Zwei Drittel davon führten zu keinen Störungen. Doch die eigentliche Erkenntnis aus dem ersten Jahresbericht von DORA ist nicht die Eindämmung, sondern die Konzentration.

Henry Umney
Henry Umney Juni 22, 2026 7 min gelesen
Die Daten aus dem ersten Jahr von DORA zeigen, dass das größte Risiko dieser Branche außerhalb ihrer eigenen vier Wände liegt

29 Prozent der im Jahr 2025 im EU-Finanzsektor gemeldeten schwerwiegenden IKT-Vorfälle gingen auf Ausfälle bei Drittanbietern zurück: Lieferanten, Infrastrukturbetreiber und andere Finanzunternehmen in der Lieferkette.

Für TPRM-Programme, die im Rahmen von DORA betrieben werden, ist die Risikokonzentration bei Drittanbietern kein rein theoretisches Problem mehr. Die ersten jährlichen Vorfallzahlen zeigen, dass es sich dabei um ein strukturelles Merkmal der Branchenstruktur handelt.

Diese Daten sind im ersten Jahresbericht der Europäischen Aufsichtsbehörden im Rahmen von DORA enthalten, der am 3. Juni 2026 veröffentlicht wurde – zusammen mit einer Erkenntnis, die deutlich mehr Aufmerksamkeit auf sich gezogen hat: Zwei Drittel der 3.383 in diesem Jahr erfassten schwerwiegenden Vorfälle führten zu keinen oder nur geringfügigen Beeinträchtigungen für Kunden und Transaktionen. Das dieser Entwicklung zugrunde liegende Konzentrationsrisiko ist die bedeutendere Erkenntnis.

  1. Fehler von Drittanbietern waren die Ursache für fast jeden dritten Vorfall
  2. Welche Anbieter gelten als „DORA-kritische Drittanbieter“?
  3. Die Eindämmungsmaßnahmen stärken die Widerstandsfähigkeit auf Unternehmensebene, nicht das branchenweite Risiko
  4. DORA und die erste Karte zur Regulierung der IKT-Konzentration
  5. Was die DORA-Aufsichtsbehörden im Jahr 2026 prüfen werden
  6. Häufig gestellte Fragen

Fehler von Drittanbietern waren die Ursache für fast jeden dritten Vorfall

Die ESAs weisen darauf hin, dass der Ausfall eines einzigen Drittanbieters gleichzeitig zu Störungsmeldungen bei Dutzenden von Instituten führen kann, da diese denselben Anbieter nutzen. Der Bericht bezeichnet dies als Multiplikatoreffekt. Fachleute sprechen von einem Konzentrationsrisiko: wenn sich dasselbe Risiko über verschiedene Unternehmen hinweg konzentriert, ohne dass es eine koordinierte Möglichkeit gibt, es gemeinsam zu bewältigen.

Diese Konzentration spiegelt die Struktur des Sektors wider. Die Analyse der EZB aus dem Jahr 2024 zu Outsourcing-Registern, die auf Daten zum Jahresende 2023 basiert, ergab, dass mehr als 30 % der gesamten Outsourcing-Budgets bedeutender EU-Banken an nur 10 Anbieter fließen, von denen die meisten ihren Hauptsitz außerhalb der EU haben. Die Hälfte aller kritischen Outsourcing-Ausgaben fließt an nur 30 Anbieter. Diese Verteilung ist über mehrere Jahre der Datenerhebung durch die EZB hinweg stabil geblieben. Die europäischen Entscheidungsträger haben begonnen, darauf zu reagieren: Das im Juni 2026 vorgestellte „Tech-Sovereignty“-Paket der Kommission zielt darauf ab, die Abhängigkeit der Union von Cloud-, Chip- und Softwareanbietern außerhalb der EU zu verringern. Da der Ausbau jedoch ein mehrjähriges Unterfangen ist, entspricht das Konzentrationsrisiko, das die Institute heute melden, weitgehend dem Konzentrationsrisiko, das sie noch für einige Zeit bewältigen müssen.

Welche Anbieter gelten als „DORA-kritische Drittanbieter“?

Im November 2025 veröffentlichten die ESAs die erste offizielle Liste mit 19 kritischen IKT-Drittanbietern im Rahmen von DORA. Die Liste umfasst Amazon Web Services, Microsoft, Google Cloud, Bloomberg, LSEG Data and Risk, IBM, Fidelity National Information Services, Oracle, SAP, Accenture, Capgemini, die Deutsche Telekom, Equinix und Tata Consultancy Services. Diese Anbieter unterliegen nun der direkten Aufsicht der ESAs: Dazu gehören Governance-Bewertungen, Meldepflichten bei Vorfällen sowie die Überprüfung der Resilienzmaßnahmen, die sie für Kunden aus dem Finanzsektor aufrechterhalten.

Die Ausweisung verleiht dem, was die Outsourcing-Daten bereits gezeigt haben, einen regulatorischen Rahmen. Ein erheblicher Teil der Finanzdienstleistungen in der EU wird über eine kleine Anzahl gemeinsamer Plattformen abgewickelt, und der gesamte Umfang der Verpflichtungen gegenüber Dritten im Rahmen von DORA erstreckt sich nun auch darauf, zu ermitteln, welche kritischen Funktionen auf der ausgewiesenen Infrastruktur laufen und welche Anforderungen diese Abhängigkeit an das eigene Programm eines Unternehmens stellt.

Die Eindämmungsmaßnahmen stärken die Widerstandsfähigkeit auf Unternehmensebene, nicht das branchenweite Risiko

Als es im Jahr 2025 zu Vorfällen kam, waren die Finanzinstitute in der Regel in der Lage, diese zu erkennen und einzudämmen, bevor sie in großem Umfang Auswirkungen auf die Kunden hatten. Zwei Drittel der 3.383 Vorfälle führten zu keinen oder nur geringfügigen Beeinträchtigungen. Die ESAs führen dies auf die rechtzeitige Erkennung, wirksame Reaktionsmaßnahmen und Eindämmungsmaßnahmen zurück, und die Daten stützen diese Einschätzung.

Korrelierte Ausfälle fallen nicht in diesen Rahmen. Im April 2025 kam es zu einem etwa zehnstündigen Ausfall des spanischen Stromnetzes, von dem auch Portugal betroffen war. Die Rechenzentren der Banken wurden mit Notstrom versorgt; Filialen verloren die Internetverbindung, Kassenterminals gingen offline, und Kunden in der gesamten Region konnten ihre Banken nicht erreichen. Vorbereitungen, die auf Unternehmensebene funktioniert hatten, konnten eine Störung, die von außen kam, nicht verhindern.

Die CTPP-Liste formalisiert diese Dynamik im Hinblick auf IKT-Risiken. Wenn es bei AWS oder Azure zu einem erheblichen Ausfall kommt – wie es bei jedem großen Cloud-Anbieter im Jahr 2025 mindestens einmal der Fall war –, spielt die interne Ausfallsicherheit einzelner Banken nur noch eine untergeordnete Rolle. Das Risiko verbreitet sich mit der Geschwindigkeit der gemeinsam genutzten Infrastruktur.

DORA und die erste Karte zur Regulierung der IKT-Konzentration

Das DORA-Register für Informationspflichten stellte den Aufsichtsbehörden erstmals tatsächliche Vertragsdaten aus dem gesamten EU-Finanzsektor in großem Umfang zur Verfügung. Auf der Grundlage dieser Daten wurde die CTPP-Liste erstellt, die damit die erste formelle, EU-weit für den gesamten Sektor geltende und auf Fakten basierende Übersicht darüber darstellt, wo die Konzentration im IKT-Bereich tatsächlich vorliegt.

Vor der Einführung von DORA hatten die Aufsichtsbehörden lediglich einen aggregierten Überblick über das Konzentrationsrisiko. Die EZB warnte in mehreren aufeinanderfolgenden Newslettern zum Thema Outsourcing davor, und die Daten zur Budgetkonzentration wurden bereits seit 2022 erhoben. Für eine genaue Erfassung mussten die Unternehmen ihre tatsächlichen IKT-Vertragsvereinbarungen in einer Form offenlegen, die es den Aufsichtsbehörden ermöglichte, diese branchenweit zu aggregieren.

Diese Karte entstand im Rahmen des CTPP-Auswahlverfahrens. Die Aufsichtsbehörden nutzten die eingereichten Register, um zu ermitteln, welche Anbieter branchenweit systemische Bedeutung besitzen, und die daraus resultierende Liste ist die erste formelle Bestätigung – gestützt auf tatsächliche Vertragsdaten –, dass das operationelle Risiko der Branche maßgeblich durch gegenseitige Abhängigkeiten bestimmt wird.

Die Überprüfung der EZB aus dem Jahr 2024 ergab, dass 12 % der kritischen Outsourcing-Verträge bei bedeutenden Banken nach den Angaben der Banken selbst nicht den geltenden Anforderungen entsprachen und dass 60 % dieser Verträge in den vorangegangenen drei Jahren nicht geprüft worden waren. Unternehmen, die in die aktive Aufsichtsphase von DORA eintreten, tragen diese Lücke als aktuelles aufsichtsrechtliches Risiko mit sich.

Was die DORA-Aufsichtsbehörden im Jahr 2026 prüfen werden

Am besten für das DORA-Durchsetzungsjahr 2026 gerüstet sind jene Institutionen, deren Rahmenwerke für das Risikomanagement bei Drittanbietern die tatsächliche Konzentration ihres Lieferantenportfolios widerspiegeln und deren Programme zur Überwachung von Risiken durch Drittanbieter auf dem laufenden Risiko basieren und nicht auf einer punktuellen Bewertung.

Ihr TPRM-Programm muss berücksichtigen, wie viele kritische Funktionen von einem einzigen Anbieter abhängen. Die meisten können diese Frage derzeit nicht mit Sicherheit beantworten. Ebenso wichtig ist es, wie die Substituierbarkeit bei den einzelnen Vereinbarungen konkret aussieht. Ausstiegsstrategien sollten nicht nur dokumentiert, sondern auch getestet werden.

Der erste Vorfallbericht von DORA zeigt eine Branche, die 3.383 schwerwiegende Vorfälle mit begrenzten Auswirkungen auf die Kunden bewältigt hat. Er dokumentiert zudem die der Leistung zugrunde liegende Konzentrationsstruktur. Ob Ihr Programm auf dieser Struktur aufbaut, wird als Nächstes von den Aufsichtsbehörden geprüft werden. Die Daten zur Beantwortung dieser Frage finden Sie bereits in Ihrem Anbieterportfolio.

Unterstützt Ihr TPRM-Programm die Überwachung von Konzentrationsrisiken?

Demo anfordern

Häufig gestellte Fragen

Was ergab der erste jährliche DORA-Vorfallbericht?
Der erste DORA-Vorfallbericht der ESAs, der am 3. Juni 2026 veröffentlicht wurde, umfasste 3.383 schwerwiegende IKT-Vorfälle im EU-Finanzsektor im Jahr 2025. 29 Prozent gingen auf Ausfälle bei Drittanbietern zurück, ein Drittel hatte grenzüberschreitende Auswirkungen, und zwei Drittel verursachten keine oder nur geringfügige Beeinträchtigungen für die Kunden. Systemausfälle machten 51 % aller Vorfälle aus.

Was sind die kritischen IKT-Drittanbieter gemäß DORA?
Kritische IKT-Drittanbieter(Critical ICT Third-Party Providers, CTPPs) sind Anbieter, die von den Europäischen Aufsichtsbehörden (ESAs) als systemrelevant für die Finanzdienstleistungen in der EU eingestuft wurden. Im November 2025 wurden 19 Anbieter benannt, darunter AWS, Microsoft, Google Cloud, Bloomberg und LSEG. Sie unterliegen nun der direkten Aufsicht durch die ESAs, einschließlich obligatorischer Governance-Bewertungen und Meldepflichten bei Vorfällen.

Was versteht man unter einem IKT-Konzentrationsrisiko im Rahmen der DORA?
Ein IKT-Konzentrationsrisiko entsteht, wenn viele Finanzinstitute bei kritischen Funktionen von einer kleinen Anzahl gemeinsamer Anbieter abhängig sind. Die Daten der EZB aus dem Jahr 2024 zeigen, dass sich mehr als 30 % der Outsourcing-Budgets bedeutender EU-Banken auf nur 10 Anbieter konzentrieren. Die DORA verpflichtet Unternehmen, dieses Risiko im Rahmen ihres Risikomanagementprogramms für Dritte zu bewerten und zu dokumentieren.

Wie funktioniert die Meldepflicht für Vorfälle gemäß DORA?
 Gemäß Artikel 19 der DORA müssen Finanzunternehmen innerhalb von vier Stunden nach Einstufung eines schwerwiegenden IKT-Vorfalls eine Erstmeldung, innerhalb von 72 Stunden einen Zwischenbericht und innerhalb eines Monats einen Abschlussbericht vorlegen. Vorfälle, die von Dritten verursacht wurden, müssen weiterhin von jedem betroffenen Unternehmen gemeldet werden, es sei denn, die Voraussetzungen für eine aggregierte Meldung sind erfüllt.

Was sollten Unternehmen im Hinblick auf die DORA-Konformität im Jahr 2026 priorisieren?
 Der Schwerpunkt der Aufsicht im Jahr 2026 liegt auf dem Risikomanagement bei Dritten. Zu den vorrangigen Maßnahmen gehören die Führung eines vollständigen Informationsregisters, die Bewertung des Konzentrationsrisikos bei den von der CTPP benannten Anbietern, die Sicherstellung, dass vertragliche Bestimmungen gemäß Artikel 30 vorhanden sind, sowie das Testen von Ausstiegsstrategien anstelle ihrer bloßen Dokumentation.

Ähnliche Artikel:

Was ist DORA? Was Finanzinstitute im Jahr 2026 wissen müssen

DORA trat 2026 in Kraft. Erfahren Sie, was die Verordnung vorschreibt, für wen sie gilt und wie die nationalen Aufsichtsbehörden die Einhaltung der Vorschriften bewerten...

Emily Bogin
Die Kosten der Nichteinhaltung: Was die Bilanz der Durchsetzungsmaßnahmen auf Bundesebene über die Programmverteidigung aussagt

Die „Abwartehaltung“ in Sachen Compliance erscheint zunächst vernünftig, bis man sich die Bilanz der Durchsetzungsmaßnahmen ansieht. Hier ist, was die...

Jan Stappers
Befähigen. Automatisieren. Erhöhen. Mitratech

©2026 Mitratech, Inc. Alle Rechte vorbehalten.

Befähigen. Automatisieren. Erhöhen. Mitratech

©2026 Mitratech, Inc. Alle Rechte vorbehalten.