Wer Finanzunternehmen mit ICT-Leistungen beliefert, ist seit dem 17. Januar 2025 in der Regulierung. Nicht als direkt beaufsichtigtes Unternehmen, aber als Teil einer Lieferkette, die lückenlos dokumentiert und geprüft werden muss. DORA Compliance hat die Spielregeln verändert. Die Frage ist nicht mehr, ob Ihr Finanzinstituts-Kunde Anforderungen an Sie stellt, sondern wann.
Was ist DORA? Der Digital Operational Resilience Act (DORA, EU-Verordnung 2022/2554) verpflichtet Finanzunternehmen in der EU, ihre digitale Widerstandsfähigkeit gegen ICT-Störungen und Cyberangriffe nachzuweisen. Als ICT-Dienstleister im Sinne von DORA gilt nahezu jedes Unternehmen, das digitale oder datenbasierte Services erbringt: Cloud-Provider, Hosting-Anbieter, Softwarehäuser, Hardware-Lieferanten, Data-Analytics-Anbieter, IT-Consultants, Telekommunikationsunternehmen. Die Definition ist bewusst weit gefasst.
DORA richtet sich nicht exklusiv an Banken und Versicherungen. Die Verordnung bezieht explizit alle ICT-Drittanbieter ein, die für EU-regulierte Finanzunternehmen tätig sind. Entscheidend ist nicht, wo der Anbieter sitzt, sondern wen er beliefert.
Ein Schweizer IT-Dienstleister, der Cloud-Backup-Infrastruktur für eine österreichische Bank bereitstellt, ist genauso in scope wie ein irischer SaaS-Anbieter. Schweizer Unternehmen, die EU-Finanzinstitute mit ICT-Services beliefern, fallen in den Anwendungsbereich von DORA. Der Schweizer Rechtssitz bietet keinen Schutz.
Das gilt auch indirekt. Schweizer Finanzinstitute mit EU-Tochtergesellschaften oder EU-reguliertem Geschäft geben DORA-Anforderungen über ihre Verträge an ICT-Dienstleister weiter. Der Mechanismus ist immer derselbe: Vertrag.
Hier liegt das zentrale Missverständnis. Viele Schweizer ICT-Anbieter gehen davon aus, DORA sei ein EU-Thema, das Banken betrifft, nicht sie. In der Praxis funktioniert DORA aber über Verträge, nicht über direkte Regulierungsbefehle an ICT-Anbieter.
Das Finanzunternehmen ist verpflichtet, seine ICT-Lieferkette vollständig zu dokumentieren, zu prüfen und vertraglich abzusichern. Konkret bedeutet das: Irgendwann kommt ein Fragebogen von Ihrer Bank oder Versicherung. Er fragt nach Ihren Sicherheitsmassnahmen, Ihrem Datenspeicherort, Ihren Subunternehmern und Ihrem Incident-Response-Prozess. Das ist kein Höflichkeitsgesuch. Es ist eine Vertragspflicht seines Regulierers, und sie trifft Sie direkt.
Wer wartet, bis dieser Fragebogen kommt, hat wenig Zeit zum Reagieren. Wer vorbereitet ist, hat einen Wettbewerbsvorteil.
Die DORA Compliance Ihrer Kunden hängt von Ihnen ab. Das schlägt sich in fünf konkreten Anforderungen nieder:
1. Vertragliche DORA-Klauseln akzeptieren Finanzunternehmen müssen DORA-konforme Verträge mit allen ICT-Dienstleistern abschliessen. Das umfasst gesetzlich vorgeschriebene Mindestinhalte: Servicebeschreibung, Datenspeicherort, Sicherheitsvorkehrungen zu Verfügbarkeit, Integrität und Vertraulichkeit sowie geregelte Rückgabeverfahren am Vertragsende. Prüfen Sie Ihre bestehenden Verträge mit Finanzinstituten. Enthalten sie diese Punkte?
2. Audit-Rechte einräumen Ihr Kunde muss nachweisen, dass er seine ICT-Anbieter regelmässig prüft. Das geschieht über Fragebögen, Selbstauskunftsverfahren oder bei kritischen Anbietern über On-Site-Inspektionen. Eine strukturierte Dokumentation Ihrer Sicherheitsmassnahmen, Backup-Prozesse und Notfallverfahren ist keine Kür mehr. Sie ist Voraussetzung.
3. Subunternehmer offenlegen DORA verlangt Transparenz über die ICT-Lieferkette. Wenn Sie selbst Cloud-Dienste Dritter einsetzen, zum Beispiel einen Hyperscaler als Speicherziel für Backups, muss Ihr Kunde das wissen. Er ist verpflichtet, auch diese Subunternehmer zu dokumentieren. Halten Sie eine aktuelle Liste Ihrer ICT-Unterauftragnehmer bereit, und wissen Sie, wo Kundendaten tatsächlich gespeichert werden. Anbieter, die Schweizer Rechenzentren nutzen, haben hier einen klaren Vorteil: Der Datenspeicherort ist eindeutig belegbar.
4. Incident-Response-Fähigkeit nachweisen Bei einem schwerwiegenden ICT-Vorfall muss das betroffene Finanzunternehmen innerhalb von vier Stunden eine Erstmeldung an die Aufsichtsbehörde senden, auch wenn der Vorfall beim ICT-Anbieter passiert ist. Ihr Kunde wird erwarten, dass Sie sofort auskunftsfähig sind. Was ist passiert? Was ist betroffen? Wann ist die Wiederherstellung abgeschlossen? Wer keinen definierten Incident-Response-Prozess mit dokumentierten Abläufen hat, kann diese Fragen im Ernstfall nicht beantworten.
5. Resilienznachweise bereitstellen DORA schreibt vor, dass ICT-Kontinuitätspläne mindestens jährlich getestet werden. Für ICT-Dienstleister bedeutet das: Ihr Kunde wird fragen, welche Recovery Time Objective (RTO) und Recovery Point Objective (RPO) Sie garantieren, ob Sie Restore-Tests dokumentieren und ob Ihre Services in definierten Szenarien wiederherstellbar sind. Wer Cloud-Backup oder Infrastrukturdienste anbietet, braucht diese Antworten schriftlich und nachvollziehbar. Immutable Backups, also Sicherungen, die nach dem Schreiben nicht mehr verändert werden können, gelten dabei als besonders belastbarer Resilienznachweis gegenüber Auditoren.
DORA unterscheidet zwischen regulären ICT-Drittanbietern und sogenannten kritischen ICT-Drittanbietern (Critical Third-Party Providers, CTPPs). Im November 2025 haben die Europäischen Aufsichtsbehörden (EBA, EIOPA, ESMA) erstmals 19 solcher CTPPs benannt: darunter AWS, Microsoft Azure, Google Cloud, SAP und Oracle. Diese Anbieter unterliegen direkter EU-Aufsicht mit regelmässigen Inspektionen und weitgehenden Berichtspflichten.
Was bedeutet das für alle anderen? Keine direkte ESA-Aufsicht. Aber die vertraglichen DORA-Anforderungen gelten trotzdem. Die Grösse eines ICT-Anbieters bestimmt die Aufsichtsintensität, nicht ob Anforderungen bestehen.
Als kleiner oder mittelgrosser ICT-Anbieter müssen Sie nicht mit Aufsichtsinspektoren rechnen. Sie müssen aber mit einem DORA-Fragebogen Ihres nächsten Kunden rechnen.
Drei Fragen, die Sie heute beantworten können sollten:
Ihre Kundenliste: Welche Ihrer Kunden sind Banken, Versicherungen, Zahlungsdienstleister oder Investmentfirmen mit EU-Regulierung? Das ist die Grundlage. Wer keinen einzigen Finanzsektor-Kunden hat, ist nicht betroffen. Alle anderen sind es.
Ihre Verträge: Enthalten Ihre bestehenden Verträge mit Finanzinstituten DORA-konforme Klauseln zu Datenspeicherort, Sicherheitsvorkehrungen und Audit-Rechten? Falls nicht: Die Überarbeitung kommt, entweder auf Ihre Initiative oder auf Druck Ihres Kunden.
Ihre Dokumentation: Haben Sie Ihren Incident-Response-Prozess schriftlich festgehalten? Wissen Sie, welche Subunternehmer Sie einsetzen und wo Kundendaten tatsächlich gespeichert werden? Können Sie das innerhalb von Stunden belegen? Wer diese Fragen heute nicht beantworten kann, sollte damit anfangen.
Das klingt nach viel. In der Praxis bedeutet es vor allem eines: Dokumentation, die ohnehin best practice wäre, muss jetzt auch nachweisbar sein.
DORA Compliance kommt nicht direkt auf Schweizer ICT-Anbieter zu. Sie kommt über den nächsten Vertrag mit einem Kunden aus dem Finanzsektor. Wer diesen Zusammenhang versteht, ist klar im Vorteil.
Drei Erkenntnisse:
Haben Sie Fragen dazu, ob Ihre Backup- und ICT-Infrastruktur DORA Compliance-Anforderungen erfüllt? Backup ONE betreibt Schweizer Rechenzentren mit dokumentierten Sicherheitsmassnahmen, belegbarem Datenspeicherort und revisionssicheren Prozessen. Kontaktieren Sie uns.
Wer sich fragt, wie sich DORA und NIS2 unterscheiden und warum auch Schweizer KMU die NIS2-Entwicklungen im Blick behalten sollten, findet die Antworten in unserem Artikel zu NIS2 und Schweizer KMU.
Das sind weitere Beiträge, die Sie interessieren könnten.
Zur Blogübersicht