Bei Mimacom begleite ich Kunden aus vielen regulierten Branchen. Banken, Versicherungen und Finanzinstitute haben derzeit ihren Fokus auf DORA, und das aus gutem Grund: Seit Januar 2025 ist die Verordnung verbindlich. Doch die Realität im DACH-Raum ist ernüchternd. Eine KPMG-Analyse zeigt, dass keine der untersuchten deutschen Banken DORA zum Stichtag vollständig erfüllt hatte. Der durchschnittliche Umsetzungsstand liegt bei rund zwei Dritteln der Anforderungen und nahezu jedes zweite Finanzunternehmen in Deutschland kämpft mit erheblichen Lücken. Verständlich, wenn man Compliance so angeht wie bisher.
Die eigentliche Frage ist nicht, ob man die Anforderungen erfüllen kann. Sie ist, wie viel schneller und mit wie viel weniger Aufwand das möglich wäre, wenn man die richtigen Methoden einsetzt.
Ich bin sicher, Sie nutzen KI ganz selbstverständlich für sämtliche tägliche Aufgaben: Mails schreiben, Gespräche transkribieren, Präsentationen zusammenfassen. Aber wie sieht es mit komplexeren, regulatorisch sensiblen Aufgaben aus? Mit Prozessen, bei denen ein Fehler nicht nur ineffizient ist, sondern Konsequenzen hat?
Genau dort bricht die Selbstverständlichkeit weg. Plötzlich entstehen Fragen: Wie skaliert man AI auf ein Thema wie DORA? Wo genau liegt der Mehrwert und wie stellt man sicher, dass die Ergebnisse belastbar und aufsichtsrechtlich verwertbar sind? Ich beobachte das regelmässig: Die gleichen Organisationen, die AI für Kleinstaufgaben einsetzen, zögern genau dann, wenn der potenzielle Hebel am grössten wäre.
Wer mich kennt, weiss: Ich bin nicht zufrieden, bevor wir das volle Potenzial ausgeschöpft haben, und gerade in Bezug auf Geschwindigkeit, Effizienz und Qualität ist KI hier der Gamechanger bei DORA. Nicht trotz der Komplexität, sondern genau wegen ihr.
Die meisten Finanzinstitute stellen die falsche Frage. Sie fragen: Wie erfüllen wir DORA? Und bauen von dort rückwärts: Checklisten, Dokumentation, Nachweise. Das Ergebnis ist ein Compliance-Programm, das Ressourcen bindet, ohne die Organisation wirklich weiterzubringen.
Die Zahlen sprechen eine deutliche Sprache:
Laut einer europaweiten Deloitte-Erhebung unter CISOs, CROs und DORA-Programmverantwortlichen aus 28 Ländern fühlen sich nur 25 Prozent der Institute im Bereich ICT Risk Management wirklich compliant, obwohl DORA seit Januar 2025 in Kraft ist.
Was diese Zahlen zeigen: Das Problem liegt nicht am fehlenden Willen. Es liegt an der Methode. Wer DORA rückwärts denkt, also von der Anforderung zur Lösung, erzeugt Aufwand, der nie endet. Jede neue Regulierungsrunde, jede Änderung der technischen Standards, jede Aufsichtsprüfung startet den Zyklus neu.
Die produktivere Frage lautet deshalb: Wie machen wir unsere Prozesse leaner, transparenter und schneller? Wie schaffen wir ICT-Strukturen, die in Echtzeit sichtbar sind, Drittanbieter sauber abbilden und auf Vorfälle in Minuten reagieren, statt in Tagen? Wer diese Frage stellt und konsequent beantwortet, stellt am Ende fest: DORA ist bereits erfüllt. Nicht als Ziel, sondern als Ergebnis.
Was diese Zahlen zeigen: Das Problem ist nicht ein Mangel an Willen. Es liegt an der Methode. Diejenigen, die DORA rückwärts angehen – also von der Anforderung zur Lösung – schaffen eine nicht enden wollende Belastung. Jede neue Regulierungsrunde, jede Änderung der technischen Normen, jede Aufsichtsprüfung setzt den Kreislauf neu in Gang.
Die produktivere Frage lautet daher: Wie können wir unsere Prozesse schlanker, transparenter und schneller machen? Wie schaffen wir IKT-Strukturen, die in Echtzeit sichtbar sind, Drittanbieter genau abbilden und auf Vorfälle in Minuten statt in Tagen reagieren? Wer sich diese Frage stellt und sie konsequent beantwortet, wird am Ende feststellen: DORA ist bereits erfüllt. Nicht als Ziel, sondern als Ergebnis.
Genau das beobachten wir in unserer Projektarbeit. Für eine Schweizer Kantonalbank haben wir das digitale Onboarding und ihre KYC-Prozesse grundlegend neu aufgesetzt mit dem primären Ziel, Abläufe zu beschleunigen und Risiken operativ sichtbar zu machen. Das Ergebnis war keine Compliance-Lösung auf dem Papier, sondern eine Plattform, die regulatorische Nachweise als Nebenprodukt effizienter Prozesse erbringt.
Dieselbe Bank hatte Batch-Systeme, die zu langsam für eine operative Realität waren, unabhängig von DORA. Der Aufbau einer Echtzeit-Infrastruktur auf Basis von Kafka hat nicht nur die 24-Stunden-Meldepflicht lösbar gemacht, sondern die gesamte Reaktionsfähigkeit der Organisation verbessert.
Und die Migros Bank, heute eine der digitalsten Banken der Schweiz, begleiten wir schon seit Jahren durch zahlreiche Projekte, wodruch sich zeigt, wohin eine konsequent modernisierte ICT-Landschaft führt: zu Systemen, die schneller reagieren, günstiger zu betreiben sind und regulatorisch belastbar sind, weil sie von Anfang an so gebaut wurden.
Das ist der Unterschied zwischen Compliance als Pflichtübung und Compliance als Ergebnis guter Architektur.
Wie sieht das für Unternehmen aus, die jetzt starten wollen? Hier sind die fünf Bereiche, in denen AI bei DORA den grössten Hebel hat und in denen wir konkrete Ergebnisse sehen:
Was traditionell Wochen dauert (die strukturierte Analyse einer ICT-Landschaft gegen die DORA-Anforderungen) lässt sich mit AI-gestützten Methoden auf Tage reduzieren. Nicht weil Genauigkeit geopfert wird, sondern weil Muster erkannt, Daten zusammengeführt und Lücken systematisch sichtbar gemacht werden, ohne dass jeder Schritt manuell erarbeitet werden muss.
Einer der grössten versteckten Aufwände bei DORA ist die Dokumentationslast (Nachweise, Runbooks, Vendor-Register, Incident-Reports). AI generiert diese Dokumente nicht nur schneller, sondern hält sie aktuell. Gerade beim Register of Information ist das ein entscheidender Unterschied.
DORA verlangt vollständige Transparenz über alle ICT-Drittanbieter, inklusive Subunternehmer. Mehr als die Hälfte der Institute scheitert genau hier. AI kann Vertragsdaten analysieren, Risikoprofile erstellen und Lücken in der Governance-Kette identifizieren in einem Umfang, der manuell schlicht nicht realistisch ist.
KI-gestützte Code-Generierung und automatisiertes Testing bedeuten weniger Fehler, kürzere Entwicklungszyklen und eine Infrastruktur, die von Anfang an für Resilience gebaut ist. In der Praxis bedeutet das rund 30 Prozent weniger Engineering-Aufwand bei gleicher oder höherer Qualität.
Ab 2026 verlangen Aufsichtsbehörden keine Dokumentation mehr, sondern Echtzeit-Nachweise. Mit KI-gestütztem Monitoring auf Basis von Tools wie Elastic wird DORA-Compliance von einer periodischen Übung zu einem permanenten, sichtbaren Zustand. Regulatoren, Auditoren und Verwaltungsräte können jederzeit sehen, wo das Institut steht.
Was macht den Unterschied zwischen Instituten, die bei DORA auf der Stelle treten, und jenen, die Compliance als operative Stärke aufbauen? Weniger die Technologie, mehr die Strategie, mit der man ans Thema herangeht.
Insgesamt gilt: Compliance-Investitionen sollten skalieren. Was heute für DORA gebaut wird, sollte NIS2, kommende EBA-Richtlinien und künftige EU-Regulierungsvorhaben mitragen, nicht als Nebenprodukt, sondern als bewusste Architekturentscheidung. Die Institute, die aufhören, Compliance rückwärts zu denken, bauen nicht nur regelkonforme Systeme. Sie bauen bessere Systeme: schneller, transparenter, widerstandsfähiger. Und sie schaffen sich den Freiraum, den sie brauchen, nicht nur für DORA, sondern für alles, was danach kommt. DORA ist dann nicht das Ziel. Es ist das Ergebnis.