Der Digital Operational Resilience Act (DORA) der Europäischen Union ist eine Antwort auf aktuelle Risiken für Finanzinstitute. Aber was sind die Ziele, Merkmale und Auswirkungen von DORA auf Finanzinstitute und welche Beziehung besteht zwischen DORA und der BaFin.
Auch wenn die Umsetzung von DORA erhebliche Aufwände verursacht: Finanzinstitute müssen die Vorschriften von DORA umsetzen und das kommt ihnen bei ihrer operativen Widerstandsfähigkeit sowie Sicherheit zugute.
(Bild: Katynn - stock.adobe.com)
DORA ist der erste einheitliche europäische Rechtsrahmen für die IT-Sicherheit und Betriebsstabilität im Finanzwesen. Solche Regelungen sind für Finanzinstitute wichtiger als je zuvor: Die steigende Abhängigkeit von digitalen Diensten und IT-Dienstleistern hat die Risiken digitaler Störungen und Angriffe vervielfacht. Durch DORA sollen nun EU-weit Finanzinstitute dazu verpflichtet werden, zeitgemäße Vorkehrungen, Risikoeinwertungen und Prozesse zum Schutz gegen digitale Bedrohungen zu treffen, um ihre operative Resilienz zu stärken.
Ziele und Merkmale von DORA
Die DORA-Verordnung bündelt bereits vorhandene Regelungen wie etwa der BAIT, KAIT, VAIT und ZAIT, geht jedoch vom Regelungsinhalt deutlich weiterund beinhaltet sowohl Bestimmungen zur Governance & Organisation, zum IKT-Risikomanagement, Incident Reporting, Digital Resilience Testing, als auch zum Management von IKT-Drittanbieterrisiken.
So sollen EU-weit einheitliche und strengere Anforderungen in Bezug auf die Cybersicherheit, Informationssicherheit, Betriebskontinuität und das Risikomanagement innerhalb der Finanzbranche etabliert werden.
Dies bedeutet konkret:
Finanzinstitute müssen ihr IKT-Risikomanagement optimieren: Finanzinstitute müssen ein robustes Management für Informations- und Kommunikationstechnologie (IKT)-Risiken vorweisen. Dazu gehören u. a. Strategien, Richtlinien und Verfahren zum Identifizieren, Klassifizieren, Bewerten, Überwachen und Reduzieren von IKT-Risiken.
Verpflichtende Incident Reportings für Finanzinstitute: Durch DORA soll auch die Transparenz steigen: Bei erheblichen IKT-bezogenen Vorfällen ist durch DORA eine zeitnahe und umfassende Meldung vorgeschrieben. Sie legt genaue Anforderungen und Fristen für solche Berichte fest.
Digital Resilience Testing ist Pflicht für Finanzinstitute: DORA schreibt zudem vor, dass Finanzinstitute regelmäßige – systemrelevante Institute mindestens alle 3 Jahre – erweiterte Penetrationstests (Threat-Led-Penetration-Test, kurz TLPT) durchführen müssen sowie ein Programm für Tests der digitalen Resilienz zu etablieren und zu pflegen haben. Das Testen ist ein Instrument für Finanzinstitute, um zu prüfen, ob sie das Ziel der digitalen operationalen Resilienz erreichen würden. So sollen potenzielle Schwachstellen identifiziert und Gegenmaßnahmen erarbeitet werden. Grundlage hierfür ist das Tiber-EU-Rahmenwerk. Darüber hinaus definiert DORA die Anforderungen an die Testenden, die diese Penetrationstests durchführen dürfen. Diese müssen zukünftig eine Zertifizierung nachweisen. Des Weiteren ist vorgeschrieben, dass auch in bestimmten Abständen externe Dritte für solche Testings hinzuzuziehen sind.
Finanzinstitute brauchen ein effektives Management von IKT-Drittanbieterrisiken: Unter DORA ist eine effektive Steuerung und Überwachung von IKT-Drittanbietern Pflicht. Die sehr weitreichenden Anforderungen an die Due Diligence bzgl. IKT-Dienstleistungen zur Unterstützung von kritischen oder wesentlichen Funktionen enthalten zusätzlich eine Risikobewertung von Sub-Dienstleistern. Die Informationsbeschaffung der Lieferkette dürfte sich teilweise als sehr schwierig gestalten. An dieser Stelle ist es unerlässlich, die Konsultation des technischen Regulierungsstandards (RTS) zum Subcontracting weiterhin genau zu verfolgen.
Auswirkungen der DORA-Anforderungen
Zusätzlich zu den bereits regulierten Finanzinstituten erweitert die DORA-Verordnung den Kreis der Verpflichteten erheblich, so z. B. um Buchhaltungsdienstleister, Kreditrating-Agenturen, Bonitätsprüfern und Crowdfunding-Plattformen. Darüber hinaus fallen unter die Verordnung auch Anbieter von Informations- und Kommunikationstechnologien, sofern sie eine marktbeherrschende Stellung in einem der aufgeführten Bereiche haben, beispielsweise Entwickler großer Banking-Apps oder Cloud-Diensten und Rechenzentren. Gerade die Unternehmen, die bisher nicht unter der Aufsicht der BaFin standen, sollten zeitnah überprüfen, ob sie den Anforderungen der DORA unterliegen und entsprechende Vorkehrungen treffen müssen.
DORA wird die Geschäftspraktiken und das Risikomanagement von Finanzinstituten maßgeblich beeinflussen. Sie erfordert die Anpassung und Erweiterung von Sicherheits- und Resilienzstrategien, bietet jedoch auch die Chance, durch eine starke digitale Resilienz die angebotenen Online-Dienstleistungen für Kunden und Kundinnen attraktiver zu machen und sich so im Wettbewerb klar zu positionieren. Durch die Verordnung müssen alle Verpflichtete eine entsprechende Resilienzstrategie implementieren und ihre aktuellen Prozesse dahingehend (über)prüfen und entsprechend anpassen bzw. erweitern.
Mit der Einführung von DORA geht auch die Implementierung von technischen Regulierungs- und Durchführungsstandards (RTS & ITS) einher. Diese Standards sollen als detaillierter Anforderungskatalog fungieren und geben Hilfestellungen für die Umsetzung der Anforderungen nach DORA. Hierdurch soll ein einheitlicher europaweiter Implementierungsstandard sichergestellt werden.
Doch was bedeutet das konkret? Technische Regulierungsstandards (RTS) sind bindende technische Rahmenstandards, die jedoch einen stärkeren Fokus auf die regulatorischen Aspekte haben. Die RTS, die unter DORA erstellt werden, enthalten ausführliche Vorgaben zur Anwendung der DORA-Anforderungen, beispielsweise zu Cybersicherheit, operativer Widerstandsfähigkeit oder IKT-Drittanbietermanagement.
Technische Implementierungsstandards (ITS) sind ebenfalls technische Standards, die von den zuständigen Aufsichtsbehörden erstellt werden, um die praktische Anwendung der regulatorischen Vorschriften zu vereinfachen. Die ITS-spezifischen Anforderungen durch DORA spezifizieren Aspekte wie z.B. zu IKT-Risikomanagement-Prozessen, der Durchführung von digitalen Belastungstests oder zur Meldepflicht für IKT-bezogene Vorfälle sowie Hinweise zur Ausgestaltung eines Informationsregisters.
Die Bedeutung von RTS und ITS
Die Konkretisierungen der DORA durch die RTS und ITS spielen eine entscheidende Rolle bei der Auslegung und Umsetzung der Anforderungen. Sie stellen eine konkrete und detaillierte Anleitung bereit, die den betroffenen Organisationen helfen soll, ihre IKT-Prozesse und -Systeme in Einklang mit den Anforderungen von DORA zu bringen und somit die Compliance zu gewährleisten. Es ist wichtig, dass Institute die relevanten RTS und ITS frühzeitig im Fokus haben und deren Änderungen sehr detailliert beobachten und in ihre Implementierungsstrategien berücksichtigen und einbeziehen.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Insgesamt tragen die RTS und ITS dazu bei, ein hohes Niveau an digitaler Widerstandsfähigkeit zu erreichen und dauerhaft aufrechtzuerhalten. Sie unterstützen sowohl die Finanzinstitute selbst als auch die Aufsichtsbehörden dabei, ihre jeweiligen Rollen im Rahmen von DORA effektiv wahrzunehmen. Diese Standards werden sorgfältig entwickelt und kontinuierlich aktualisiert, um den sich ständig weiterentwickelnden IKT-Risiken Rechnung zu tragen. Dies bedeutet aber auch, dass Finanzinstitute einen erheblichen Mehraufwand in der regelmäßigen operativen Umsetzung haben werden.
Anforderungen an Verschlüsselungen
DORA legt ebenfalls klare Richtlinien für die Verschlüsselung und kryptographische Steuerung von gespeicherten Daten und zur Übertragung von Informationen fest und berücksichtigt dabei die Ergebnisse der genehmigten Datenklassifizierung. Besonders zentral wird die Notwendigkeit der Verschlüsselung von Daten während ihrer Nutzung. Sollte eine Verschlüsselung während der Nutzung nicht möglich sein, werden Finanzinstitute verpflichtet, diese Daten in einer separaten und geschützten Umgebung zu verarbeiten. Ergänzt wird diese Vorgabe durch das Festlegen umfassender Richtlinien für das Management kryptografischer Schlüssel über ihren gesamten Lebenszyklus hinweg – von dem Generieren bis zum Vernichten. Diese Maßnahmen gewährleisten, dass Finanzinstitute effektive Sicherheitspraktiken implementieren, um die Vertraulichkeit und Integrität sensibler Daten zu gewährleisten und gleichzeitig den Anforderungen von DORA gerecht zu werden.
Winning-Team für mehr Verbraucher-Sicherheit: BaFin und DORA
Ziel von DORA ist es, den Finanzsektor digital sicherer zu machen. Dabei unterstützt auch die BaFin. Ein wichtiges Instrument der BaFin, um eine einheitliche Aufsicht von Finanzinstituten sicherzustellen, sind ihre Rundschreiben und Merkblätter. In diesen veröffentlicht die BaFin Verwaltungsvorschriften, mit denen sich Mitarbeitende von Finanzinstituten auf die Vorgaben einstellen und deren Anforderungen umsetzen können.
Da sich die DORA-Verordnung auf eine umfangreiche Gruppe von Finanzinstituten wie Banken, Versicherungsunternehmen, Kapitalverwaltungsgesellschaften oder Anbieter elektronischer Zahlungssysteme auswirkt, ist es wichtig, alle Akteure bei der Umsetzung zu unterstützen und ihnen aktuelle Informationen gesammelt anzubieten. Deutschland verfügt bereits jetzt über strikte IT- und Cybersicherheitsvorschriften, die bereits durch mehrere BaFin-Rundschreiben (BAIT, VAIT, ZAIT, KAIT, gesamthaft XAIT genannt) konkretisiert wurden. Insbesondere die in 2021 novellierte BAIT hat einige jetzige Elemente der DORA bereits aufgegriffen. Unternehmen, die diese Rundschreiben bereits vollständig umgesetzt haben, sind grundsätzlich gut aufgestellt. Jedoch hat die BaFin Ende Mai in Ihrem Anschreiben zur Endfassung der überarbeiteten MaRisk angekündigt, dass sie die BAIT zukünftig zur Vermeidung von Doppelregulierungen aufheben werden. Daher ist diese Entscheidung der BaFin zu begrüßen. Grundsätzlich sind jedoch – da die Anforderungen der DORA deutlich über die der gängigen Rundschreiben hinausgehen – bedeutende Investitionen finanzieller und personeller Art erforderlich, um beispielsweise Technologien zu überprüfen und zu aktualisieren sowie für die Schulung von Personal und die mögliche Einstellung neuer Spezialisten, die aktuell sehr schwer zu finden sind.
Auf den ersten Blick komplex, aber notwendig: Die Einführung von DORA
DORA ist ein wichtiger Schritt, um die digitale Widerstandsfähigkeit der europäischen Finanzinfrastruktur zu stärken und ein solches europäisch harmonisiertes Rahmenwerk ist gerade im Zuge der wachsenden Bedrohungen durch Cyber-Attacken und der wachsenden Anzahl an internationalen Transaktionen überfällig geworden. Auch wenn die Umsetzung von DORA erhebliche Aufwände verursacht: Finanzinstitute müssen die Vorschriften von DORA umsetzen und das kommt ihnen bei ihrer operativen Widerstandsfähigkeit sowie Sicherheit zugute – und somit allen ihren Kundinnen und Kunden.
Über den Autor: Almir Dumisic ist Senior Consultant Anti-Financial-Crime & IT-Compliance bei Exxeta. Dort berät er führende Banken, Investmentgesellschaften und andere Finanzdienstleister zu Themen wie Geschäftsanalyse, Entwicklung und Erstellung technischer Konzepte bis hin zur Implementierung der Lösungen.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/96/c3/96c3f0eef0140714a3397057a1ac1bb4/0129321130v2.jpeg "Die Werkstatt Bremen betreut als Dienstleister die Computertechnik der Beweisstückstelle der Polizei. Glücklicherweise hat der Ransomware-Angriff keine Auswirkungen auf die reguläre Arbeit der Polizei. (Bild: James Thew - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c8/bb/c8bbb90768f2d69adb08e0d58bb90645/0128934085v1.jpeg "Beim DNS-Tunneling wird legitimer Namensauflösungsverkehr genutzt, um Daten verdeckt durch bestehende Netzwerkverbindungen zu übertragen. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/57/cc/57cc4ad7badd6e36300bf10fcda97eac/0129117117v2.jpeg "Microsoft reagiert mit außerplanmäßigen Updates auf eine Sicherheitsanfälligkeit in Office 2016 bis 2024 und Office 365-Apps und stellt derzeit im Eiltempo Notfall-Patches bereit, um schwerwiegende Angriffe durch das Umgehen von Sicherheitsfunktionen zu verhindern. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/7c/51/7c51f12b88847cbe6b67250785911120/0129310016v2.jpeg "Cybersecurity zog sich als roter Faden durch Debatten über KI, Robotik, den Schutz verteilter IoT-Endpunkte und kritischer Infrastrukturen – sowohl auf den Bühnen des WebSummit 2025 in Lissabon, als auch hinter den Kulissen. (Bild: Web Summit)")
:quality(80)/p7i.vogel.de/wcms/4f/74/4f74da1ef2b573b35e8193c1279bfa5e/0129308675v1.jpeg "Tool-Silos und Schatten-KI machen Unternehmen 2026 haftbar – NIS-2, DORA und CRA fordern Konsolidierung, Identitätsmanagement und Enterprise-Browser für Compliance. (Bild: © DAYA-DAKSH - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/33/0b/330b92560794343f3b2e72a6c0201cfe/0129212056v2.jpeg "Ivanti Endpoint Manager Mobile ist erneut unter Beschuss: Zwei Zero-Day-Sicherheitslücken sollten sofort gepatcht werden. (Bild: Ar_TH - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/64/fd/64fd8544c5bdcae13f66e439f609d03f/0128874380v1.jpeg "Anwendungen, die auf asymmetrischer Kryptografie basieren, müssen auf Post-Quanten-Kryptografie-Verfahren umgestellt werden. (Bild: Achelos GmbH/ Canva)")
:quality(80)/p7i.vogel.de/wcms/d8/3f/d83fb3f1382c7a4597fac1bfcfc5087b/0129166059v2.jpeg "Nach diversen Spionage-Aktivitäten gegen WhatsApp-Nutzer führt der Anbieter mit den „strengen Kontoeinstellungen“ neue Sicherheitsfunktionen ein. (Bild: © ra2 studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/84/2b/842b3ec97d08ff445b7e2ee1c2c20166/0129087831v2.jpeg "Die Command-Injection-Schwachstelle EUVD-2026-3437 / CVE-2026-22844 gilt als leicht auszunutzen, das sie keine speziellen Berechtigungen oder Benutzerinteraktionen erfordert, um beliebigen Code auszuführen. (Logo:Zoom)")
:quality(80)/p7i.vogel.de/wcms/d8/46/d8461a6f3d03070ca78af2eeb81aa7a0/0129133031v2.jpeg "Bei einem Cyberangriff auf die Stadt Schorndorf wurden mutmaßlich Anmeldedaten der „Forscherfabrik Schorndorf“ gestohlen. (Bild: StockUp - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/39/a9/39a9c9edbf9edbcfdf7e01d87104b924/0129255851v2.jpeg "Auch 2025 fand die European Identity and Cloud Conference in Berlin statt und brachte Experten aus dem Bereich Identity and Access Management zusammen. (Bild: mail@nicolas~det.eu)")
:quality(80)/p7i.vogel.de/wcms/1d/db/1ddbdc9047cbd3cd27d7cb0efca62bc4/0128713610v2.jpeg "Am 25. Dezember 2025 griffen mutmaßlich japanische Cyberkriminelle Adobe-ColdFusion-Server, mit dem Ziel, Zugriffe zu kapern, um diese dann zu verkaufen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/9b/86/9b86f368fa01fefd20a1fb9df2107c66/0124914317v2.jpeg "Seit dem 17. Januar 2025 müssen in Deutschland mehr als 3.600 Unternehmen die EU-Verordnung DORA anwenden. (Bild: © apk - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/45/f7/45f7d95f04edbb850a215ac0750d8f1c/0126456910v1.jpeg "Cloud-native Architekturen bieten Flexibilität, erfordern aber strenge Governance und DORA-konforme Sicherheitsprozesse im Finanzsektor. (Bild: © Yoonnam - stock.adobe.com)")