Warum Finanzunternehmen jetzt handeln müssen – und warum Januar 2026 der entscheidende Zeitpunkt ist

Mit dem Digital Operational Resilience Act (DORA) verändert sich die Rolle der IKT-Kontrollfunktion grundlegend. 
Was bislang häufig intern, projektbezogen oder nebenbei organisiert wurde, wird ab 2025/2026 zu einer dauerhaften, unabhängigen und prüfungsrelevanten Kernfunktion. 

Die entscheidende Entwicklung: 
👉 Die Auslagerung der IKT-Kontrollfunktion ist unter DORA ausdrücklich zulässig – und regulatorisch sinnvoll. 

Für Finanzunternehmen ergibt sich jetzt, Ende 2025, eine einmalige strategische Chance. 

Warum die IKT-Kontrollfunktion unter DORA nicht mehr „nebenbei“ funktioniert 

DORA verlangt eine IKT-Kontrollfunktion, die: 

• unabhängig von der operativen IT agiert 

• kontinuierlich (nicht projektbezogen) arbeitet 

• die Wirksamkeit von Kontrollen überprüft 

• Risiken, Incidents und Maßnahmen objektiv bewertet 

• gegenüber Aufsicht und Prüfern belastbar argumentiert 

Die Realität im Markt: 
Viele Institute stehen vor mindestens einem dieser Probleme: 

• Personalmangel mit echter DORA-Expertise 

• fehlende organisatorische Unabhängigkeit 

• Wissenssilos zwischen IT, Risk, Compliance und Management 

• hoher Prüfungsdruck ohne operative Entlastung 

Warum Auslagerung ab 2026 Best Practice wird 

Ab Januar 2026 werden Aufsichtsprüfungen zunehmend reife, gelebte Prozesse erwarten – keine Konzepte mehr. 

Die Auslagerung der IKT-Kontrollfunktion bietet dabei klare Vorteile: 

• Unabhängigkeit per Design 

• Zugriff auf spezialisiertes DORA-Know-how 

• Planbare Kosten statt Personalaufbau 

• Sofortige Prüfungsfähigkeit 

• Entlastung von IT, Compliance und Management 

Best Practice im Finanzsektor: 
Die IKT-Kontrollfunktion wird als Managed Service betrieben – vergleichbar mit Interner Revision oder Auslagerungsmanagement. 

Was „IKT-Kontrollfunktion als Managed Service“ bei Bexta bedeutet 

Bexta übernimmt die IKT-Kontrollfunktion nicht beratend, sondern operativ. 

Dazu gehören unter anderem: 

• Überwachung der DORA-IKT-Governance 

• Regelmäßige Wirksamkeitsprüfungen von Kontrollen 

• Unabhängige Bewertung von IKT-Risiken und Incidents 

• Nachweisführung gegenüber Aufsicht und Prüfern 

• Regelmäßiges Reporting an Management & Vorstand 

• Enge Verzahnung mit Asset-, Risiko- und Auslagerungsmanagement 

Wichtig: 
Die Verantwortung bleibt im Institut – die operative Durchführung liegt bei Bexta. 

Warum jetzt handeln – und nicht erst 2026? 

Ende 2025 ist der letzte strategisch sinnvolle Zeitpunkt, um: 

• Auslagerungen sauber zu strukturieren 

• Übergangsphasen ohne Prüfungsstress zu gestalten 

• Dienstleister bewusst auszuwählen 

• Prozesse gemeinsam aufzusetzen 

Ab 2026 wird es zunehmend um Nachweise, nicht mehr um Aufbau gehen. 

👉 Wer jetzt handelt, verschafft sich regulatorische Ruhe. 
👉 Wer wartet, reagiert unter Druck. 

Fazit: Eine bewusste Entscheidung für Resilienz 

Die Auslagerung der IKT-Kontrollfunktion ist keine Schwäche – 
sie ist ein Zeichen von Reife, Professionalität und Weitsicht. 

Bexta bietet diesen Managed Service ab Januar 2026 an. 
Die Vorbereitung beginnt jetzt. 

Jetzt ist der richtige Moment für ein erstes Gespräch.