In de vroege stadia van de meeste DORA-programma's zien financiële instellingen compliance vaak als een wettelijke verplichting, een noodzakelijke kost in plaats van een strategische kans. Deze mindset is vooral aanwezig op directieniveau. In de loop van de tijd verandert deze perceptie echter. Zoals een nationale regulator het zegt: "Kapitaal aanhouden is net zo belangrijk als het in orde hebben van je veerkracht. En dan merk je dat bedrijven dit moeten leren. Wat je nog steeds ziet, is dat veel bedrijven DORA op de oude manier benaderen. Veel nadruk op beleid, weinig vertaling naar actie. Dat soort dingen." Deze realisatie markeert vaak een keerpunt, waar DORA van een vinkje-oefening verschuift naar een katalysator voor verbeterde betrouwbaarheid van diensten en klantvertrouwen. Een veelvoorkomende valkuil is een traditionele, beleid-intensieve benadering met beperkte operationele vertaling. Veel organisaties stellen uitgebreide kaders op, maar falen erin om deze op een betekenisvolle manier te integreren in dagelijkse systemen en workflows.

DORA-compliance bestaat zelden op zichzelf. Het loopt vaak parallel aan bredere initiatieven zoals cloudmigratie, dataconsolidatie en digitale transformatie. Maar deze inspanningen bewegen niet altijd in gelijke pas. In sommige gevallen versnellen organisaties de adoptie van de cloud terwijl de datakwaliteit of procesmaturiteit achterblijft. Het resultaat is een disconnectie tussen technische verandering en operationele gereedheid. De geïnterviewde benadrukt: "Bij een bedrijf waar ik mee werkte, moesten ze echt naar de cloud. Dat was noodzakelijk. Dan zie je dat het een project wordt, maar de maturiteit van de organisatie kon niet parallel groeien. Ik denk dat digitale transformatie pas daarna komt. Je moet kunnen experimenteren, veranderen, en hun data was nog niet op orde, of slechts gedeeltelijk." Idealiter zou DORA-implementatie ingebed moeten zijn in het bredere transformatieportfolio, in plaats van als een parallel of secundair project te worden behandeld. Te vaak gebeurt het tegenovergestelde, compliance-teams opereren in isolatie van IT, beveiliging en infrastructuur.

Eine wiederkehrende Herausforderung liegt in der internen Struktur vieler Organisationen. ICT-Risiko wird oft separat von breiteren Unternehmensrisikofunktionen verwaltet, und operative Abteilungen reagieren möglicherweise unabhängig auf Vorfälle. Aber DORA ist von Natur aus bereichsübergreifend: Risiko, IT, Governance und Geschäftsbereiche haben alle eine Rolle zu spielen. "Was wir bemerkten, war, dass die wahre Herausforderung die Silos in der Organisation waren. Risikomanagement hat Risikomanagement gemacht, und die IT-Abteilung hat sich mit IT-Vorfällen befasst. Und man sieht einfach, dass ein Thema wie DORA bereichsübergreifend ist. Es fällt nicht unter eine einzige Abteilung. Also muss man zusammenarbeiten. Und dann gibt es natürlich eine herausforderndere Zusammenarbeit zwischen den Abteilungen." Um dies zu navigieren, führen Institutionen jährliche, koordinierte Planungszyklen ein, die auf den wiederkehrenden Compliance-Anforderungen von DORA basieren. Dies umfasst klare Ergebnisse, Entscheidungszeitpunkte und Eskalationswege. Indem sie Vorfallreaktion, Bedrohungsinformationen und Geschäftskontinuitätsprozesse über das Unternehmen hinweg abgleichen, können Organisationen schneller und effektiver reagieren, wenn neue Bedrohungen auftauchen.

Während Krisenmanagementprozesse oft auf dem Papier existieren, liegt die häufigste Lücke in der frühzeitigen Erkennung, wann ein reguläres Ereignis in eine DORA-meldungspflichtige Krise eskaliert. Verzögerungen in dieser Beurteilung können erhebliche Risiken mit sich bringen und die Reaktionsbemühungen behindern. Einige Organisationen gehen dies an, indem sie intelligente Warnmeldungen direkt in Frontline-Tools, wie Helpdesk-Systeme, einbetten. Zum Beispiel, wenn ein Support-Agent Symptome protokolliert, die den vordefinierten Kriterien entsprechen, kann das System einen potenziellen DORA-Vorfall markieren und den zuständigen Koordinator alarmieren. Dieser frühe Triage-Mechanismus kann die Reaktionszeit dramatisch verkürzen und die Vorfallbearbeitung zwischen Abteilungen verbessern.

Tests zur operativen Resilienz sind eine weitere wichtige Anforderung gemäß DORA, aber die Qualität und Relevanz der Szenarien sind entscheidend. Anstatt gängige Angriffe wie DDoS, die in vielen Umgebungen bereits gut gemildert sind, zu überbetonen, konzentrieren sich Organisationen mehr auf hochgradig wirkungsvolle Szenarien wie Ransomware, kompromittierte Failover-Umgebungen und kaskadierende Ausfälle während der Backup-Replikation. Ebenso wichtig ist es, die gesellschaftlichen Auswirkungen von ICT-Störungen zu berücksichtigen. Szenarien, die Zahlungssystemausfälle oder Verzögerungen bei der Bearbeitung von Gesundheitsansprüchen betreffen, haben jetzt Vorrang. Diese bringen nicht nur hohe operationelle Risiken mit sich, sondern auch erhebliche reputations- und regulatorische Konsequenzen.

Die aus diesem Interview gewonnenen Erkenntnisse bieten einen wertvollen Einblick in die tatsächlichen organisatorischen und betrieblichen Herausforderungen, die DORA mit sich bringt und wie Institutionen aktiv damit umgehen. Wenn Sie mehr darüber erfahren möchten, wie man sich im komplexen Compliance-Landschaft von DORA zurechtfindet, zögern Sie nicht, uns zu kontaktieren. Unsere Spezialisten stehen bereit, Ihnen zu helfen, voranzukommen.