Compliance 3 Min. Lesezeit

DORA-Compliance für Leasinggesellschaften: Was Sie jetzt wissen müssen

Der Digital Operational Resilience Act stellt neue Anforderungen an die IT-Sicherheit von Finanzdienstleistern. Ein Überblick über die wichtigsten Handlungsfelder.

CrossLease CrossLease GmbH

Einführung: Die regulatorische Landschaft im Wandel

Der Digital Operational Resilience Act (DORA) tritt am 17. Januar 2025 vollständig in Kraft und betrifft nahezu alle Finanzunternehmen in der EU — einschließlich Leasinggesellschaften und Refinanzierungsbanken. Für viele Institute bedeutet dies einen grundlegenden Wandel in der Art und Weise, wie sie ihre IT-Infrastruktur betreiben und absichern.

In diesem Beitrag erläutern wir die wichtigsten Anforderungen, zeigen typische Herausforderungen und skizzieren einen praxisorientierten Umsetzungsweg. Dabei fließen unsere Erfahrungen aus über 20 Jahren Beratung in der Leasingbranche ein.

Was ist DORA und wen betrifft es?

DORA ist eine EU-Verordnung, die darauf abzielt, die digitale operative Resilienz des Finanzsektors zu stärken. Anders als bestehende nationale Regelwerke wie MaRisk oder BAIT schafft DORA einen einheitlichen europäischen Rahmen für das Management von IKT-Risiken.

Betroffen sind unter anderem:

  • Kreditinstitute und Zahlungsdienstleister

  • Versicherungs- und Rückversicherungsunternehmen

  • Wertpapierfirmen und Handelsplätze

  • Leasinggesellschaften (sofern sie als Finanzinstitut klassifiziert sind)

  • Kritische IKT-Drittdienstleister

Abgrenzung zu MaRisk und BAIT

Während MaRisk und BAIT bisher den nationalen Rahmen für IT-Governance in der Finanzbranche vorgaben, geht DORA in mehreren Punkten deutlich weiter. Die Verordnung verlangt nicht nur dokumentierte Prozesse, sondern auch regelmäßige Tests der operativen Resilienz — einschließlich bedrohungsbasierter Penetrationstests (TLPT).

DORA ersetzt nicht MaRisk oder BAIT, sondern ergänzt sie auf europäischer Ebene. Institute müssen beide Regelwerke parallel erfüllen.

Die fünf Säulen von DORA

Die Verordnung gliedert sich in fünf zentrale Bereiche, die gemeinsam ein umfassendes Rahmenwerk bilden:

1. IKT-Risikomanagement

Finanzunternehmen müssen ein robustes IKT-Risikomanagement-Framework implementieren, das Identifikation, Schutz, Erkennung, Reaktion und Wiederherstellung umfasst. Dazu gehören:

  • Vollständige Inventarisierung aller IKT-Assets

  • Regelmäßige Risikobewertungen und Gap-Analysen

  • Dokumentierte Richtlinien für Informationssicherheit

  • Business-Continuity-Pläne mit definierten RTO/RPO-Werten

2. Meldung von IKT-Vorfällen

DORA standardisiert die Meldepflichten für schwerwiegende IKT-Vorfälle. Unternehmen müssen in der Lage sein, Vorfälle schnell zu erkennen, zu klassifizieren und innerhalb enger Fristen an die zuständigen Behörden zu melden. Die Erstmeldung muss innerhalb von vier Stunden nach Klassifizierung erfolgen.

3. Testen der digitalen operativen Resilienz

Regelmäßige Tests sind ein Kernbestandteil von DORA. Neben Standardtests wie Schwachstellenscans und Penetrationstests verlangt die Verordnung für systemrelevante Institute sogenannte Threat-Led Penetration Tests (TLPT) mindestens alle drei Jahre.

4. Management von IKT-Drittparteirisiken

Die Abhängigkeit von Cloud-Providern, Softwareanbietern und IT-Dienstleistern erfordert ein strukturiertes Drittparteien-Risikomanagement. DORA verlangt:

  1. Ein vollständiges Register aller IKT-Drittdienstleister

  2. Vertragliche Mindestanforderungen (Audit-Rechte, Exit-Strategien)

  3. Regelmäßige Bewertung der Konzentrationsrisiken

  4. Überwachung kritischer Dienstleister auf EU-Ebene

5. Informationsaustausch

DORA fördert den freiwilligen Austausch von Informationen über Cyberbedrohungen zwischen Finanzunternehmen. Dies soll die kollektive Resilienz des Sektors stärken.

Typische Herausforderungen für Leasinggesellschaften

Aus unserer Beratungspraxis kennen wir die spezifischen Hürden, vor denen Leasinggesellschaften bei der DORA-Umsetzung stehen:

Fragmentierte IT-Landschaften

Viele Leasinggesellschaften betreiben historisch gewachsene Systemlandschaften mit einer Mischung aus Eigenentwicklungen, Standardsoftware und manuellen Prozessen. Eine vollständige IKT-Asset-Inventarisierung erweist sich häufig als aufwändiger als erwartet.

Abhängigkeit von Kernbanksystemen

Die enge Verzahnung mit den IT-Systemen der Muttergesellschaft oder Refinanzierungspartner schafft komplexe Abhängigkeiten. Exit-Strategien und Business-Continuity-Pläne müssen diese Verflechtungen berücksichtigen.

Begrenztes Personalangebot

Qualifizierte IT-Sicherheitsexperten sind im Finanzsektor stark nachgefragt. Kleinere Leasinggesellschaften konkurrieren hier direkt mit Großbanken — oft mit begrenztem Budget.

Praxisorientierter Umsetzungsfahrplan

Basierend auf unserer Projekterfahrung empfehlen wir einen strukturierten Ansatz in vier Phasen:

Phase 1: Bestandsaufnahme (Monat 1–2)

Beginnen Sie mit einer umfassenden Gap-Analyse gegen die DORA-Anforderungen. Erfassen Sie alle IKT-Assets, Drittanbieter-Beziehungen und bestehenden Sicherheitsmaßnahmen. Diese Bestandsaufnahme bildet die Grundlage für alle weiteren Schritte.

Phase 2: Konzeption (Monat 3–4)

Entwickeln Sie auf Basis der Gap-Analyse einen Maßnahmenkatalog mit klaren Prioritäten. Berücksichtigen Sie dabei:

  • Regulatorische Dringlichkeit (harte Fristen vs. Übergangsregelungen)

  • Risikoreduktion (welche Maßnahmen haben den größten Effekt?)

  • Umsetzbarkeit (Ressourcen, Budget, technische Machbarkeit)

Phase 3: Implementierung (Monat 5–10)

Setzen Sie die priorisierten Maßnahmen schrittweise um. Achten Sie auf eine enge Abstimmung zwischen IT, Compliance und Geschäftsführung. Dokumentieren Sie jeden Schritt sorgfältig — DORA legt großen Wert auf Nachweisbarkeit.

Phase 4: Validierung (Monat 11–12)

Testen Sie die implementierten Maßnahmen durch interne Audits, Tabletop-Übungen und — wo erforderlich — Penetrationstests. Passen Sie Ihren Ansatz basierend auf den Ergebnissen an.