Die Umsetzung der DORA-Verordnung im Jahr 2026: Was die Verordnung für SAP-Landschaften bedeutet

Von:

13. Mai 2026

Mit dem Inkrafttreten des Digital Operational Resilience Act (DORA) im Januar 2025 hat sich die regulatorische Landschaft für den europäischen Finanzsektor grundlegend verändert. Mit Blick auf das Jahr 2026 erwarten die Aufsichtsbehörden umfassende Echtzeit-Nachweise für die operative Widerstandsfähigkeit anstelle theoretischer Governance-Maßnahmen. Für Unternehmen, die komplexe Unternehmensumgebungen betreiben, ist die Abstimmung dieses Rahmens auf eine umfassendere SAP-Strategie für Governance, Risk und Compliance (GRC) eine dringende operative Notwendigkeit.

Dieser Überblick definiert DORA für Finanzinstitute und IKT-Anbieter, erläutert die strengen Sanktionen bei Nichteinhaltung und legt ausdrücklich dar, warum SAP-Systeme direkt unter den Geltungsbereich der Verordnung fallen.

Die regulatorische Realität im Jahr 2026 für digitale Betriebsresilienz

Die informelle Übergangsfrist für die Einhaltung der DORA-Vorschriften ist abgelaufen; die Aufsichtsbehörden verlangen nun die praktische Wirksamkeit der Kontrollen im Bereich der Informations- und Kommunikationstechnologie (IKT) und drohen mit hohen Geldstrafen Strafen.

Die Aufsichtsbehörden bewerten die praktische Wirksamkeit der Abwehrmaßnahmen einer Organisation, die Schnelligkeit der Meldung von Vorfällen sowie das kontinuierliche Schwachstellenmanagement. Die Nichteinhaltung der Vorschriften hat verheerende Folgen. Unternehmen, bei denen Verstöße gegen die DORA-Bestimmungen festgestellt werden, müssen mit hohen Geldstrafen rechnen, die bis zu 2 % des weltweiten Jahresumsatzes des Unternehmens betragen können. Die Aufsichtsbehörden sind zudem befugt, gegen nicht konforme Institutionen öffentliche Bekanntmachungen, Unterlassungsanordnungen und Betriebsbeschränkungen zu verhängen.

Die „Kronjuwelen“ sichern: Warum SAP ein vorrangiges Ziel von DORA ist

Da DORA den strengen Schutz „kritischer oder wichtiger Funktionen“ vorschreibt, steht die SAP-Landschaft aufgrund ihrer Rolle als operative Drehscheibe für Finanzdaten, Beschaffung und Personalwesen im Fokus der regulatorischen Anforderungen.

DORA verpflichtet Organisationen dazu, die für den kontinuierlichen Betrieb des Finanzsektors erforderlichen Systeme zu sichern. Da SAP die sensibelsten Daten einer Organisation beherbergt und deren kritischsten Geschäftsprozesse abwickelt, führt eine Störung auf der SAP-Anwendungsebene zwangsläufig zu einem systemischen Betriebsausfall. Angreifer zielen gezielt auf ERP-Systeme ab, um Standard-Netzwerkperimeter zu umgehen, Administratorrechte zu erlangen und unbefugte Finanztransaktionen durchzuführen. Der Schutz dieser Umgebungen erfordert ein kontinuierliches Schwachstellenmanagement und eine Echtzeit-Bedrohungserkennung, um die regulatorischen Anforderungen zu erfüllen.

Die Einstufung von SAP als kritischer externer IKT-Dienstleister (CTPP)

Die Europäischen Aufsichtsbehörden (ESAs) haben SAP im November 2025 offiziell als kritischen externen IKT-Dienstleister (CTPP) benannt und damit die behördliche Aufsicht und die gemeinsame Verantwortung für Unternehmenskunden verstärkt.

Diese Einstufung würdigt die wesentliche Rolle, die SAP bei der Unterstützung der digitalen Infrastruktur des globalen Finanzsektors spielt. Als CTPP unterliegt SAP der direkten Aufsicht durch die ESAs, um eine verbesserte operative Widerstandsfähigkeit zu gewährleisten. Für Unternehmenskunden und Finanzinstitute hat diese Einstufung erhebliche Auswirkungen auf das Modell der geteilten Verantwortung und die Strategien zum Risikomanagement bei Drittanbietern. Während SAP für die Sicherheit der cloud verantwortlich ist, tragen die einzelnen Organisationen weiterhin die volle Verantwortung für die Sicherung der Konfigurationen, des benutzerdefinierten Codes und der Benutzerberechtigungen in ihren jeweiligen SAP-Umgebungen.

Die fünf Grundpfeiler der DORA-Konformität

DORA schafft einen universellen Rahmen, der auf fünf Kernsäulen basiert und sicherstellen soll, dass Finanzinstitute schweren Cyberangriffen standhalten, darauf reagieren und sich davon erholen können.

Um die Compliance zu gewährleisten, müssen Unternehmen ihre SAP-Sicherheitsfunktionen direkt an diesen fünf grundlegenden Anforderungen ausrichten:

  • IKT-Risikomanagement: Einrichtung robuster, kontinuierlicher Rahmenbedingungen zur Erkennung von Schwachstellen, zum Schutz vor Cyberbedrohungen und zur Durchsetzung sicherer Systemkonfigurationen.
  • Meldung von IKT-bezogenen Vorfällen: Standardisierung von Protokollen zur schnellen Erkennung und Meldung schwerwiegender Cybervorfälle, was eine nahtlose Integration zwischen der SAP-Telemetrie und den unternehmensinternen SIEM-Tools (Security Information and Event Management) erfordert. 
  • Prüfung der digitalen Betriebsresilienz: Verpflichtung zu regelmäßigen Schwachstellenscans und erweiterten, bedrohungsorientierten Penetrationstests (TLPT) auf Live-Produktionssystemen zur Überprüfung der Abwehrfähigkeiten.
  • Risikomanagement bei der IKT durch Dritte: Bewältigung der operativen Risiken, die durch externe Anbieter, Softwareanbieter und Systemintegratoren entstehen und eine strenge Validierung von kundenspezifischem Code und Datenübertragungen erfordern.
  • Informationsaustausch: Finanzinstitute dazu anregen, threat intelligence gemeinsam und sicher auszutauschen, threat intelligence die kollektive Widerstandsfähigkeit des europäischen Finanzsektors zu stärken.
Infografik, die die fünf Kernsäulen der DORA-Konformität den SAP-Sicherheitslösungen von Onapsis zuordnet.
Wie Onapsis die technischen Anforderungen der fünf DORA-Säulen automatisiert

Automatisierung von SAP-Compliance-Prüfungen für DORA

Der Übergang von manuellen, punktuellen Prüfungen hin zu einer kontinuierlichen Automatisierung der Compliance-Prozesse ist eine strategische Notwendigkeit, um die strengen Anforderungen an die aufsichtsrechtliche Berichterstattung und das Risikomanagement zu erfüllen.

Herkömmliche manuelle Audits führen häufig zu erheblichen Sicherheitslücken, da sie lediglich eine statische Momentaufnahme der Sicherheitslage eines Unternehmens liefern. Im Einklang mit den DORA-Vorgaben verlangen die Aufsichtsbehörden eine kontinuierliche operative Ausfallsicherheit. Die platform die Schaffung eines kontinuierlichen, auditfähigen Zustands und stellt sicher, dass SAP-Konfigurationen und Benutzerberechtigungen in Echtzeit den Compliance-Anforderungen entsprechen. Diese kontinuierliche Einhaltung wird durch die Implementierung von Continuous Controls Monitoring (CCM) erreicht.

Durch die Automatisierung von SAP-Compliance-Prüfungen entfällt für Unternehmen die manuelle Erfassung von Nachweisen, und sie erhalten in Echtzeit Einblick in Systemkonfigurationen, Benutzerberechtigungen und Konflikte bei der Aufgabentrennung (Segregation of Duties, SoD).

Die Onapsis Platform dieses Modell der kontinuierlichen Überwachung Platform . Lösungen wie Onapsis Assessin Kombination mit Onapsis Complypacks, automatisieren komplexe Audits und die Erfassung von Nachweisen. 

Während sich Finanzinstitute an die neuen DORA-Vorgaben anpassen, schafft die Nutzung dieser bereits vorhandenen, sofort einsatzbereiten Compliance-Prüfungen für strenge, parallele Standards wie NIS2, NIST und DSGVO die Grundlage für ein Schwachstellenmanagement und eine Konfigurationssteuerung, die für die operative Widerstandsfähigkeit erforderlich sind. Diese Automatisierung extrahiert programmgesteuert technische Nachweise und erstellt auditfähige Berichte, sodass Sicherheitsteams Schwachstellen erkennen und beheben können, bevor sie zu Compliance-Verstößen oder systemischen Sicherheitsverletzungen eskalieren.

Häufig gestellte Fragen

Welche Einrichtungen fallen unter die DORA-Konformitätspflicht?

Das Gesetz über die digitale Betriebsresilienz gilt für alle in der Europäischen Union tätigen Finanzunternehmen sowie für deren kritische Drittanbieter von Informations- und Kommunikationstechnologie (IKT). Dazu gehören Banken, Wertpapierfirmen, Versicherungsgesellschaften, Anbieter von Krypto-Assets und Softwareanbieter wie SAP, die dem Finanzsektor wesentliche Infrastruktur bereitstellen.

Warum wurde SAP als kritischer externer IKT-Dienstleister (CTPP) eingestuft?

Die Europäischen Aufsichtsbehörden (ESAs) haben SAP als kritische Informationsinfrastruktur (CTPP) eingestuft, da die ERP-Plattformen des Unternehmens die grundlegende Infrastruktur für globale Finanzinstitute bilden. Eine Störung der SAP-Dienste stellt ein systemisches Risiko für den europäischen Finanzsektor dar, was eine direkte behördliche Aufsicht und verschärfte Standards für die Betriebsresilienz erforderlich macht.

Welche finanziellen Sanktionen drohen bei Nichteinhaltung der DORA-Vorschriften?

Unternehmen, die comply DORA-Anforderungen nicht comply , müssen mit hohen Geldstrafen in Höhe von bis zu 2 % ihres weltweiten Jahresumsatzes rechnen. Die Aufsichtsbehörden sind zudem befugt, öffentliche Bekanntmachungen zu veröffentlichen, Abhilfemaßnahmen anzuordnen und nicht konformen Finanzinstituten und IKT-Anbietern Betriebsbeschränkungen aufzuerlegen.

Wann trat das Gesetz über die digitale Betriebsstabilität in Kraft?

Die aktive Durchsetzung der DORA-Vorschriften begann offiziell am 17. Januar 2025, womit die formelle Umsetzungsphase endete. Die Aufsichtsbehörden erwarten nun von den Finanzinstituten, dass sie praktische Echtzeit-Nachweise über ihre operative Widerstandsfähigkeit, bedrohungsorientierte Penetrationstests und ihre Fähigkeiten zum kontinuierlichen Schwachstellenmanagement erbringen.

Inwiefern wirkt sich DORA konkret auf die SAP-Sicherheitsanforderungen aus?

DORA verlangt von Unternehmen, dass sie in ihren SAP-Landschaften von der rein theoretischen Compliance zu einer aktiven Erkennung von Bedrohungen und einem kontinuierlichen Schwachstellenmanagement übergehen. Sicherheitsteams müssen die Konfigurationsüberwachung automatisieren, die Entwicklung von benutzerdefiniertem Code absichern und die SAP-Bedrohungsdaten direkt in die unternehmensweiten Protokolle zur Meldung von Vorfällen integrieren, um die strengen regulatorischen Anforderungen zu erfüllen.

Stichworte,
Über den Autor

Scott Winter

Scott Winter ist ein versierter Produktmanagement-Experte mit umfassender Erfahrung in der Entwicklung von Produktstrategien und Innovationen. Mit dem Schwerpunkt auf der Ausrichtung der Produktentwicklung an Kundenbedürfnissen und Markttrends hat Scott erfolgreich funktionsübergreifende Teams geleitet, um wirkungsvolle Lösungen zu entwickeln. Seine Fachkenntnisse umfassen Produktlebenszyklusmanagement, strategische Planung und Markteinführungsstrategien, was ihn zu einem wichtigen Faktor für das Unternehmenswachstum und den Produkterfolg macht. Bekannt für seinen kundenorientierten Ansatz, versteht es Scott meisterhaft, komplexe Herausforderungen in Innovationschancen zu verwandeln.

Mehr über diesen Autor
Zurück zum Blog

Weiterführende Literatur

Blog

Wie der Verizon DBIR 2026 das Paradoxon bei der Behebung von Sicherheitslücken in SAP verdeutlicht

Jedes Jahr nimmt sich die Sicherheitsbranche Zeit, um den „Verizon Data Breach Investigation Report“ zu analysieren. Als maßgebliche, datengestützte Analyse darüber, wie Sicherheitsverletzungen in der Praxis ablaufen, bietet der Bericht einen unschätzbaren Realitätscheck. Für diejenigen unter uns, deren Aufgabe es ist, die zentralen Geschäftsanwendungen zu schützen, die die Weltwirtschaft am Laufen halten (insbesondere SAP- und Oracle-ERP-Systeme), ist der Mandiant…

Weiterlesen
Blog

Umsetzung der DORA-Konformität: Absicherung von SAP anhand der fünf Kernsäulen

Da das Gesetz zur digitalen Betriebsresilienz (DORA) nun aktiv durchgesetzt wird, müssen Finanzinstitute den Übergang von der theoretischen Governance zur technischen Umsetzung vollziehen. Die Einbindung dieser strengen Vorgaben in eine umfassende SAP-GRC-Strategie ist unerlässlich. Die Aufsichtsbehörden verlangen den eindeutigen Nachweis, dass kritische Infrastrukturen, einschließlich unternehmensweiter SAP-Umgebungen, schweren Cybervorfällen standhalten und sich davon erholen können. Dieser technische Leitfaden beleuchtet…

Weiterlesen