DORA Resilienz-Tests im Jahr 2026: Was QA-Teams bei Banken den Aufsichtsbehörden nachweisen müssen

Es gibt eine Version der DORA-Konformität, mit der die meisten Finanzinstitute seit anderthalb Jahren leben – eine, bei der es hauptsächlich darum ging, Rahmenbedingungen zu schaffen, Dokumentationen zu erstellen und interne Richtlinien an die fünf Säulen der Verordnung anzupassen. Diese Version ist vorbei. Am 17. Januar 2025 trat die DORA in Kraft, und damit auch die Anforderungen an die QA für DORA-Resilienztests. Im Jahr 2026 gingen die nationalen zuständigen Behörden in der gesamten EU von einer aufsichtsrechtlichen Kulanz zu einer aktiven Überprüfung über. Die Frage, die die Aufsichtsbehörden jetzt stellen, ist nicht mehr, ob eine Bank ein DORA-Konformitätsprogramm hat. Es geht darum, ob dieses Programm Beweise liefert, die einer Überprüfung standhalten.

Für QA-Teams bei Banken, Versicherungen und Zahlungsdienstleistern verändert dieser Wandel die Art der Arbeit auf eine Weise, die präziser beschrieben werden sollte. Die Anforderungen an Resilienztests von DORA – Artikel 24 bis 27 und die zugehörigen technischen Regulierungsstandards – verlangen keine Testergebnisse. Sie verlangen eine dokumentierte, prüffähige Kette von den ICT-Systemen, die kritische Funktionen unterstützen, über die Tests, welche ihre Resilienz verifiziert haben, bis hin zu den Ergebnissen, die diese Tests erbracht haben. Das ist etwas völlig anderes, als eine Testsuite auszuführen und auf das grüne Dashboard zu zeigen.

Beim Aufbau von Qualigentic – unserer KI-gestützten QA-Plattform für regulierte Branchen – mussten wir sorgfältig darüber nachdenken, wie diese Beweiskette in der Praxis aussieht und warum herkömmliche Testinfrastrukturen, egal wie ausgereift sie sind, hinter dem zurückbleiben, was die Aufsichtsphase von DORA tatsächlich verlangt.

Januar 2025
DORA wird in allen EU-Mitgliedstaaten anwendbar
Januar 2026
BaFin bestätigt: KI-Systeme fallen unter die DORA-ICT-Governance
2026
Die nationalen Aufsichtsbehörden (NCAs) gehen von einer reinen Duldung zu einer aktiven aufsichtsrechtlichen Überprüfung über.
Spät 2026–27
Erste TLPT-Bezeichnungen und Threat-Led Penetration Testing-Zyklen

Was die Aufsichtsverschiebung für Testteams tatsächlich bedeutet

José Manuel de Araluce, schreibt in Finanzielle Qualitätssicherung im März 2026, nehmen Sie die Änderung direkt vor: "Nachdem die 'Stützräder' nun abmontiert sind, markiert 2026 den ersten wirklichen Test für DORA, und sowohl Finanzinstitute als auch CTPPs werden den Unterschied spüren." Die von ihm beschriebene Verlagerung ist spezifisch: Vorgesetzte gehen weg von der Bewertung von Richtlinien hin zur Bewertung operativer Beweise. Ein gut geschriebenes Incident-Response-Verfahren ist nicht dasselbe wie der Beweis, dass das Verfahren bei einem echten Vorfall funktioniert. Ein Testplan, der beschreibt, was getestet wird, ist nicht dasselbe wie ein unterschriebener Bericht, der zeigt, was, wann, gegen welche Anforderung getestet wurde und was das Ergebnis war.

Diese Unterscheidung – zwischen der Dokumentation der Absicht und der Dokumentation der Ausführung – ist die Schwachstelle der meisten Testprogramme bei Finanzinstituten. Die Lücke liegt nicht unbedingt am mangelnden Testaufwand. Die meisten erfahrenen Ingenieurteams bei Banken führen umfangreiche Testsuiten mit Abdeckungsmetriken durch, die auf einem Dashboard glaubwürdig aussehen. Die Lücke liegt in der Rückverfolgbarkeit dieser Tests zu regulatorischen Anforderungen und im Format der erzeugten Ergebnisse. Ein Ab.

Aufseher beurteilen nicht mehr, ob eine Bank ein Testprogramm hat. Sie beurteilen, ob dieses Programm Ergebnisse liefert, die einer behördlichen Prüfung standhalten.

Die fünf Säulen und wo das Testen hineinpasst

DORA strukturiert seine Anforderungen über fünf Domänen. Es lohnt sich, genau zu bestimmen, welche davon die QA-Funktion direkt betreffen, denn die Versuchung, DORA primär als Sicherheits- oder Governance-Thema zu betrachten, verkennt, wo der operative Druck auf die Testteams tatsächlich liegt.

Säule III – Primäres Exposure
Regelsicheres operatives Testen zur digitalen Widerstandsfähigkeit
Artikel 24–27 fordern jährliche Schwachstellenbewertungen, Netzwerksicherheitsüberprüfungen, Quellcodeüberprüfungen (SAST und DAST), Kompatibilitätstests, Leistungstests, End-to-End-Tests und Penetrationstests für alle IKT-Systeme, die kritische Funktionen unterstützen. Die Ergebnisse müssen dokumentiert und für die aufsichtsrechtliche Prüfung verfügbar sein.
Säule I – Governance-Exposition
ICT-Risikomanagement
Das Managementgremium besitzt den ICT-Risiko-Rahmen, einschließlich Tests. Das bedeutet, dass Testnachweise nicht nur eine Frage der Qualitätssicherung (QS) sind – sie müssen nach oben gemeldet werden. Eine QS-Leitung, deren Team keinen unterzeichneten, nachvollziehbaren Nachweis von Resilienztests erbringen kann, schafft eine Governance-Lücke, die im Risikoregister des Managementgremiums steht.
Pillar II – Indirekte Exposition
Meldung von Vorfällen
Schwerwiegende Vorfälle erfordern eine Erstmitteilung innerhalb von 4 Stunden, einen Zwischenbericht innerhalb von 72 Stunden und einen Abschlussbericht innerhalb eines Monats. Die Klassifizierung von Vorfällen hängt von den dokumentierten Beweisen ab, was und wann getestet wurde. Lücken in der Testgeschichte erschweren die Klassifizierung und Berichterstattung von Vorfällen.
Säule IV — Drittparteienrisiken
IT-Risikomanagement durch Dritte
ICT-Anbieter, die Finanzinstitute mit Dienstleistungen versorgen, unterliegen eigenen DORA-Verpflichtungen. Cloud-basierte QA-Tools, die Testdaten außerhalb des Institutsperimeters verarbeiten, schaffen eine Abhängigkeit von Dritten, die gemäß den Artikeln 28–31 verwaltet werden muss. Die On-Premise-Bereitstellung eliminiert diese Exposition vollständig.
DORA gilt für Banken, Versicherer, Wertpapierfirmen, Zahlungsdienstleister und Anbieter von Krypto-Dienstleistungen. Außerhalb der EU ansässige Unternehmen mit Niederlassungen in der EU oder Dienstleistungen, die sich an die EU richten, fallen ebenfalls unter den Anwendungsbereich.

Welche DORA-Resilienztest-QA-Nachweise tatsächlich erforderlich sind

Das Konzept einer Beweiskette ist im Prinzip einfach und in der Praxis anspruchsvoll. Ein Vorgesetzter, der Ihr DORA-Resilienztestprogramm überprüft, muss für jedes ICT-System, das eine kritische Funktion unterstützt, den Weg von der Anforderung, die das System erfüllen muss, über den Testfall, der zu seiner Überprüfung entworfen wurde, bis hin zum Ausführungsdatensatz, der zeigt, was bei der Ausführung dieses Tests passiert ist, und der Freigabe, die bestätigt, dass das Ergebnis von einer autorisierten Person überprüft wurde, nachvollziehen können. Jedes Glied in dieser Kette muss vorhanden, mit Zeitstempel versehen und unveränderlich – nicht nachträglich editierbar – sein.

Die meisten Testinfrastrukturen sind nicht für diesen Zweck ausgelegt. Testmanagement-Tools zeichnen Ergebnisse auf, erzwingen aber keine Rückverfolgbarkeit zu den Anforderungen. CI/CD-Pipelines führen Tests aus, aber die Protokolle werden überschrieben oder in Formaten archiviert, die nicht für die regulatorische Abfrage strukturiert sind. Abdeckungsberichte fassen Ergebnisse zusammen, verwerfen aber die einzelnen Ausführungsdatensätze, die eine regulatorische Überprüfung tatsächlich benötigt. Dies ist kein Designfehler – diese Tools wurden entwickelt, um die Entwicklungsgeschwindigkeit zu unterstützen, nicht die Prüfung von Vorschriften. Das Problem ist, dass die Prüfung von Vorschriften nun eine Anforderung ist und die Lücke zwischen Entwicklungstools und prüfungsbereiten Nachweisen real ist.

Wie eine DORA-konforme Nachweiskette aussieht
Anforderung
IKT-System, das eine kritische Funktion unterstützt, gemäß Artikel 24 DORA
Testfall
Generiert und mit der Anforderung verknüpft, mit definierten Umfang und erwartetem Ergebnis
Ausführungsaufzeichnung
Zeitgestempelter, unveränderlicher Protokoll über was gelaufen ist, wann, in welcher Umgebung und mit welchem Ergebnis
Signierte Rezension
Genehmigte Freigabe durch Prüfer mit RBAC-Kontrollen, abrufbar bei Bedarf für behördliche Audits
Jedes Glied in dieser Kette muss präsent, zeitgestempelt und unveränderlich. Ein Deckungsprozentsatz ist kein Ersatz für einen dieser Schritte.

Das spezifische Problem von KI-Testwerkzeugen und DORA

Im Januar 2026 gab die deutsche BaFin unverbindliche Leitlinien heraus, die bestätigten, dass KI-Systeme – einschließlich generativer KI-Tools und großer Sprachmodelle – kein separater Regulierungsrahmen gemäß DORA sind und in bestehende ICT-Governance-, Test- und Outsourcing-Risikorahmen integriert werden müssen. Die praktische Konsequenz für Finanzinstitute, die KI-gestützte Testtools einsetzen, ist unmittelbar: Diese Tools sind selbst ICT-Systeme im Sinne von DORA. Wenn sie Testdaten in einer Cloud-Umgebung verarbeiten, schaffen sie eine kritische Abhängigkeit von externen ICT-Anbietern, die gemäß den Artikeln 28-31 formell gemanagt werden muss.

Dies ist keine theoretische Sorge. Eine Bank, die eine Cloud-basierte KI-Testplattform annimmt, um ihr DORA-Resilienztestprogramm zu verbessern, kann gleichzeitig das Drittparteienrisiko schaffen, das DORA zu verwalten bestimmt ist. Die institutionelle Logik ist stichhaltig — KI nutzen, um mehr Tests zu generieren, schneller und mit besserer Abdeckung — aber die architektonische Konsequenz, wenn das Werkzeug Cloud-abhängig ist, ist ein neuer Eintrag im DORA-Risikoregister für Drittparteien der Institution.

On-Premise-Bereitstellung löst dieses Problem. Wenn die Testinfrastruktur innerhalb des eigenen Umfangs der Institution betrieben wird, gibt es keine Beziehung zu einem externen ICT-Anbieter, die gemäß DORA verwaltet werden muss. Die Daten verlassen das Haus nicht. Die Ausführungsaufzeichnungen bleiben innerhalb der eigenen Audit-Infrastruktur der Institution. Die Beweiskette ist vollständig und in sich geschlossen.

Der Unterschied zwischen mehr testen und mit Beweisen testen

Es gibt eine Variante der DORA-Vorbereitung, die sich auf das Testvolumen konzentriert – also darauf, mehr Tests auszuführen, einen größeren Teil der Codebasis abzudecken und mehr Szenarien zu generieren. Der Umfang ist zwar nicht irrelevant, aber er ist nicht das, was in der Aufsichtsphase von DORA bewertet wird. Eine Testsuite, die 10.000 Testfälle durchführt und ein Dashboard mit einer 94%-Erfolgsquote anzeigt, erfüllt für sich genommen nicht die Anforderung von Artikel 25 hinsichtlich einer Dokumentation, die die aufsichtsrechtliche Überprüfung unterstützt. Entscheidend ist vielmehr, ob die Tests den IKT-Systemen und -Funktionen entsprechen, die DORA als im Geltungsbereich liegend identifiziert, und ob die Aufzeichnungen dieser Tests so strukturiert sind, dass sie die Fragen beantworten, die ein Aufsichtsbeauftragter stellen wird.

Die Frage, die ein DORA-Supervisor stellt, lautet nicht: "Wie viele Tests haben Sie durchgeführt?". Sie lautet: "Zeigen Sie mir die Beweise dafür, dass das IKT-System, das diese kritische Funktion unterstützt, getestet wurde, wann, mit welchem Ergebnis und wer hat die Abnahme erteilt."

Diese Neuausrichtung verändert die Priorität der Qualitätssicherungsarbeit in einer regulierten Institution auf eine Weise, die es wert ist, durchdacht zu werden. Die Verschiebung bedeutet nicht von weniger Tests zu mehr Tests. Es geht vom Testen als Qualitätssicherungsmaßnahme zum Testen als beweisgenerierender Aktivität mit einem definierten regulatorischen Zweck. Das Ergebnis des Prozesses ist keine Abdeckungsmetrik – es ist eine strukturierte Aufzeichnung, die spezifische regulatorische Fragen beantwortet und intakt und unverändert abgerufen werden kann, wenn ein Vorgesetzter danach fragt.

Was DORA nicht verlangt – und wo das Risiko einer Überkorrektur liegt

Es lohnt sich, präzise zu definieren, was die Anforderungen an Resilienztests von DORA nicht verlangt, da der regulatorische Druck zur Nachweisführung zur Einhaltung von Vorschriften Reaktionen hervorrufen kann, die belastender sind als die tatsächlich erforderliche Regelung.

DORA verlangt keine Testabdeckung gemäß 100%. Es ist erforderlich, dass IKT-Systeme, die kritische Funktionen unterstützen, getestet werden. Die Definition von kritischen Funktionen ist spezifisch für die Risikobewertung jeder Institution und nicht für einen universellen Standard.
DORA erfordert kein spezifisches Testwerkzeug. Es erfordert, dass Tests prüfbare Nachweise erbringen. Die Architektur, wie diese Nachweise erzeugt und gespeichert werden, ist die Entscheidung einer Institution.
Threat-Led Penetration Testing (TLPT) ist nicht für alle Institutionen erforderlich. TLPT gilt nur für Unternehmen, die von ihrer nationalen zuständigen Behörde ausdrücklich benannt wurden. Die ersten TLPT-Benennungen werden für Ende 2026 und Anfang 2027 erwartet.
DORA verbietet cloudbasierte Testwerkzeuge nicht. Demnach muss jeder cloudbasierte IKT-Anbieter, der kritische Funktionen unterstützt, als Risiko durch Dritte behandelt werden. Das ist eine Anforderung an die Unternehmensführung, kein Verbot.
DORA macht QA-Teams nicht zum alleinigen Rechenschaftspflichtigen. Das Führungsgremium ist für das IKT-Risikorahmenwerk verantwortlich. Die Qualitätssicherungsteams sind für die Vorlage von Nachweisen zuständig, nicht jedoch dafür, die regulatorische Haftung für Lücken zu übernehmen, für deren Behebung ihnen keine Ressourcen zur Verfügung standen.

Die Frage, die sich vor Ihrem nächsten Betreuungsgespräch stellt

Die sinnvollste Vorbereitung auf eine DORA-Aufsichtsprüfung ist nicht die Überprüfung einer Compliance-Checkliste. Es ist eine Simulation: Wenn ein Aufsichtsbeamter Ihr Team heute auffordern würde, die vollständigen Nachweise für die Resilienztests Ihrer drei wichtigsten IKT-Systeme vorzulegen – was könnten Sie ihm dann vorlegen, und wie lange würde es dauern, diese Unterlagen zusammenzustellen?

Wenn die Antwort darin besteht, mehrere Tools zu durchsuchen, Datensätze aus verschiedenen Systemen zusammenzustellen und darauf zu hoffen, dass die Protokolle nicht gelöscht wurden, handelt es sich um eine strukturelle Lücke – und nicht darum, weitere Tests durchzuführen. Die Tests sind möglicherweise bereits vorhanden. Was fehlt, ist die Infrastruktur, um sie bei Bedarf als Nachweis vorzulegen – in dem Format, das ein Vorgesetzter erwartet, und mit einer lückenlosen Kette von der Anforderung bis zum Ergebnis.

Das ist genau das Problem, das Qualigentic lösen soll. Nicht um die Testarbeit, die QA-Teams bereits gut machen, zu ersetzen, sondern um die Beweisschicht zu produzieren, die die Aufsichtsphase von DORA erfordert – mit On-Premise-Bereitstellung, die Daten innerhalb des eigenen Systems der Institution hält, RBAC-gesteuerten Genehmigungsworkflows und nachvollziehbaren Beweisketten, die als strukturierte Datensätze abrufbar sind und nicht erst am Tag der Anfrage eines Prüfers aus CI-Logs zusammengesucht werden müssen.

2026 ist das Jahr, in dem diese Unterscheidung in der Praxis an Bedeutung gewinnt. Die Institutionen, die sich darauf vorbereitet haben, sind besser aufgestellt als diejenigen, die sich erst jetzt darauf vorbereiten. Doch sowohl vorbereitet als auch unvorbereitet zu sein, ist immer noch besser, als davon auszugehen, dass die Testsuite als Beweis ausreicht.

Caixa Mágica Software
Caixa Mágica Team
Caixa Mágica Software ist ein portugiesisches Softwareunternehmen mit über 20 Jahren Erfahrung in der Bereitstellung von kundenspezifischer Software, KI-Lösungen und Nearshore-Entwicklungsteams für europäische Unternehmen.
Qualigentic · Caixa Mágica Software
Sehen Sie selbst, wie praxistaugliche, für Wirtschaftsprüfungen geeignete Nachweise aussehen
Lokale KI-Qualitätssicherung für regulierte Branchen. DORA-konforme Nachweisketten von der Anforderung bis zum Ergebnis, ohne dass Ihre Daten den Unternehmensbereich verlassen.