Compliance 5 Min. Lesezeit

DORA-Compliance für Leasinggesellschaften: Was Sie jetzt wissen müssen

Der Digital Operational Resilience Act (DORA) stellt neue Anforderungen an die IT-Sicherheit und operative Resilienz von Finanzdienstleistern. Entscheidend ist dabei weniger die formale DORA-Compliance als die tatsächliche Transparenz über Systeme, Abhängigkeiten und operative Risiken – ein Punkt, an dem viele Leasinggesellschaften in der Praxis scheitern.

CrossLease
CrossLease GmbH
DORA-Compliance für Leasinggesellschaften: Was Sie jetzt wissen müssen

DORA in Leasinggesellschaften: Was Compliance wirklich bedeutet

Viele Leasinggesellschaften haben DORA inzwischen umgesetzt. Richtlinien wurden ergänzt, Asset-Listen erstellt und Dienstleisterverträge überprüft. In vielen Häusern wurde dafür ein eigenes Projekt aufgesetzt, häufig begleitet von Beratern, Prüfern oder Kanzleien. Damit ist ein großer Teil der formalen Anforderungen erfüllt.

Das eigentliche Thema beginnt danach. Denn DORA deckt keine neuen Risiken auf, die Verordnung macht bestehende Abhängigkeiten erstmals sichtbar. Viele davon sind nicht gefährlicher als bisher angenommen. Sie sind nur schwerer zu beschreiben und zu überwachen, als lange gedacht. Und genau das ist für viele Leasinggesellschaften die eigentliche Herausforderung.

Die tatsächliche IT-Landschaft ist größer als die offizielle

Eine zentrale Anforderung von DORA ist die vollständige Erfassung aller IT-Systeme und digitalen Prozesse. Die wichtigsten Systeme sind bekannt, Infrastruktur und Anwendungen sind dokumentiert – und viele Unternehmen gehen davon aus, ihre IT-Landschaft grundsätzlich zu überblicken.

Ein erheblicher Teil der operativen Prozesse findet jedoch außerhalb dieser klassischen Systemlandschaft statt.

In vielen Leasinggesellschaften entstehen beispielsweise Restwertkalkulationen oder Refinanzierungsreportings nicht direkt im Kernsystem, sondern in Excel-Modellen oder individuellen Auswertungstools. Daten werden exportiert, weiterverarbeitet und anschließend wieder in andere Systeme zurückgeführt. Solche Lösungen sind über Jahre entstanden und funktionieren im Alltag meist zuverlässig. Gerade deshalb werden sie intern selten als Teil der kritischen IT wahrgenommen.

Unter DORA verändert sich diese Perspektive. Die Verordnung verpflichtet Finanzunternehmen, alle Systeme und Prozesse zu erfassen, die für den laufenden Betrieb wichtig sind, unabhängig davon, ob sie im zentralen System oder in einer Excel-Datei laufen. Sobald ein Prozess geschäftskritische Daten verarbeitet oder operative Entscheidungen beeinflusst, gehört er zur digitalen Infrastruktur eines Unternehmens. Viele Organisationen stellen deshalb im Rahmen der Umsetzung fest, dass ihre tatsächliche IT-Landschaft deutlich größer ist als die offiziell dokumentierte.

Nicht alle Leasinggesellschaften stehen dabei vor demselben Ausgangspunkt. Bankabhängige Gesellschaften können häufig auf bestehende Strukturen der Mutterbank zurückgreifen, stehen jedoch vor der Aufgabe, diese auf die eigenen Anforderungen herunterzubrechen. Bankunabhängige Gesellschaften tragen die Verantwortung vollständig selbst, haben aber oft kleinere Teams und weniger vorgefertigte Strukturen. Die Anforderungen sind dieselben, der Aufwand, sie zu erfüllen, unterscheidet sich erheblich.

Abhängigkeiten von Mutterbanken und Refinanzierungspartnern

Viele Leasinggesellschaften betreiben IT-Systeme, Infrastruktur oder zentrale Plattformen gemeinsam mit der Mutterbank oder sind eng mit Refinanzierungspartnern verbunden. Diese Struktur ist historisch gewachsen und funktioniert im Alltag meist reibungslos.

Regulatorisch stellt sie jedoch konkrete Anforderungen. Art. 28 DORA verlangt, dass Unternehmen für alle externen Anbieter, die wichtige Funktionen übernehmen, klare vertragliche Regelungen vorhalten, darunter Vereinbarungen zu Verfügbarkeit, Wiederherstellung im Störungsfall, Prüfrechten und Ausstiegsstrategien. Dazu gehört auch die Pflicht, ein IKT-Dienstleisterregister zu führen, das alle relevanten Abhängigkeiten vollständig abbildet. Das gilt auch dann, wenn der Anbieter die eigene Mutterbank ist.

Für viele Leasinggesellschaften führt diese Analyse zu einer Erkenntnis, die vorher selten explizit formuliert wurde: Ein Teil der operativen Handlungsfähigkeit hängt von Systemen ab, die außerhalb der eigenen Organisation betrieben werden und für die bislang keine entsprechenden Absicherungen existieren. Solange diese Systeme stabil laufen, bleibt diese Abhängigkeit unsichtbar. Erst die Pflicht zur systematischen Bewertung macht ihre tatsächliche Bedeutung sichtbar.

Regulierung trifft auf die Realität kleiner Organisationen

Große Banken verfügen über spezialisierte Abteilungen für IT-Steuerung, Informationssicherheit und die Überwachung externer Dienstleister. Leasinggesellschaften arbeiten typischerweise mit deutlich kleineren Teams, die gleichzeitig Systeme betreiben, Fachbereiche unterstützen, Projekte begleiten und den operativen Betrieb sichern.

Mit DORA kommen zusätzliche Dauerpflichten hinzu. Risikoeinschätzungen müssen regelmäßig aktualisiert werden, Abläufe für den Störungsfall müssen dokumentiert und regelmäßig erprobt werden, externe Dienstleister müssen laufend beobachtet werden. Die Logik dahinter ist nachvollziehbar.

Wer diese Anforderungen nicht in den normalen Betrieb integriert, führt DORA als dauerhaftes Parallelprojekt. In vielen Organisationen entsteht dadurch eine Situation, in der die Strukturen formal existieren, ihre dauerhafte Umsetzung im Alltag jedoch erheblich anspruchsvoller ist als in der Projektphase angenommen.

Was DORA tatsächlich sichtbar macht

Viele Unternehmen betrachten DORA zunächst als weiteres regulatorisches IT-Projekt. Tatsächlich wirkt die Verordnung anders.

Sie zwingt Organisationen dazu, Fragen zu beantworten, die lange nicht gestellt werden mussten. Welche Systeme sind wirklich geschäftskritisch? Welche Prozesse hängen voneinander ab? Welche externen Partner sind für den laufenden Betrieb unverzichtbar? Gerade in Leasinggesellschaften zeigt sich dabei häufig, wie viele Abläufe auf gewachsenen Strukturen, pragmatischen Lösungen und implizitem Wissen beruhen.

Wie aufwändig die Beantwortung dieser Fragen ist, hängt wesentlich davon ab, wie das zentrale System aufgestellt ist. Kernsysteme, die Datenflüsse nachvollziehbar abbilden und Auswertungen direkt bereitstellen, erleichtern die Dokumentation erheblich. Systemlandschaften mit vielen manuellen Zwischenschritten und externen Verarbeitungsschleifen erzeugen genau jene Abhängigkeiten, die unter DORA den größten Aufwand nach sich ziehen, nicht weil sie gefährlicher wären, sondern weil sie schwerer zu beschreiben und zu überwachen sind. Gesellschaften, die ihr Kernsystem vollständig nutzen, haben bei DORA strukturell weniger Aufwand.

Was das jetzt bedeutet

Für Leasinggesellschaften, die die formale Umsetzungsphase abgeschlossen haben, lassen sich drei konkrete Handlungsfelder benennen:

Asset-Register als Dauerprozess. Die einmalige Erfassung aller Systeme und Prozesse reicht nicht. Entscheidend ist, dass das Register aktuell bleibt, auch wenn neue Tools eingeführt, Schnittstellen verändert oder externe Dienstleister gewechselt werden. Das erfordert einen festen Prozess, keinen einmaligen Projektabschluss.

Drittparteien-Monitoring für kritische Anbieter. Wer wichtige Aufgaben an externe Anbieter oder die Mutterbank ausgelagert hat, braucht eine laufende Überwachung dieser Abhängigkeiten. Das schließt die Frage ein, was im Störungsfall gilt und wie eine geordnete Beendigung der Zusammenarbeit aussehen würde.

IT-Kapazität realistisch einplanen. Die Dauerpflichten aus DORA lassen sich nicht nebenbei erledigen. Wer sie dauerhaft denselben Personen überträgt, die gleichzeitig den laufenden Betrieb verantworten, schafft eine strukturelle Überlastung. Die Frage, wer diese Aufgaben trägt, gehört zur DORA-Umsetzung dazu.

Beitrag teilen
LinkedIn X

Newsletter

Neue Beiträge direkt ins Postfach

Haben Sie Fragen zu diesem Thema?

Wir unterstützen Leasinggesellschaften und Banken bei der Umsetzung regulatorischer Anforderungen — mit Software und Beratung.

Kontakt aufnehmen Beratung entdecken

Weitere Beiträge

Zwischen Anpassung und Vergleichbarkeit: Warum Leasinggesellschaft und Refinanzierungsbank an denselben Daten scheitern
Refinanzierung Neu16. April 2026

Zwischen Anpassung und Vergleichbarkeit: Warum Leasinggesellschaft und Refinanzierungsbank an denselben Daten scheitern

Abweichungen in Refinanzierungen entstehen selten durch Fehler. Sie entstehen, weil Änderungen im operativen Geschäft unsichtbar bleiben. Wer Veränderungen nachvollziehbar macht, verwandelt Abweichungen in klare Entwicklungen.

Weiterlesen
Warum Leasing-IT oft unnötig komplex ist
Komplexität Neu25. März 2026

Warum Leasing-IT oft unnötig komplex ist

Viele Leasinggesellschaften kämpfen nicht mit der Komplexität ihres Geschäfts – sondern mit der Komplexität ihrer Systeme. Wie sie entsteht und warum sie zum Risiko werden kann.

Weiterlesen