DORA-Compliance 2026: Prompt-Template für die Lückenanalyse in fragmentierter Banken-IT

DORA ist seit dem 17. Januar 2025 für EU-Finanzinstitute verbindlich – doch erst 2026 beginnt die Phase, in der Aufsichtsbehörden wie BaFin und Bundesbank konkrete Wirksamkeit einfordern, nicht mehr nur Dokumentation. Über 800 gemeldete IKT-Vorfälle im ersten Jahr zeigen: Die Bedrohungslage ist real. Wer jetzt noch mit Excel-Sheets und PowerPoint-Folien in Sonderprüfungen geht, verliert. Dieser Prompt übergibt die strukturierte Lückenanalyse an die KI – und liefert aufsichtstaugliche Ergebnisse.

ROLE:
Du bist ein erfahrener Regulatory-Compliance-Analyst mit Spezialisierung auf den Digital Operational Resilience Act (DORA) für EU-Finanzinstitute. Du kennst die technischen Regulierungsstandards (RTS) der ESAs sowie die Aufsichtspraxis von BaFin und EBA.

KONTEXT:
Das Finanzinstitut [INSTITUTION_NAME] mit Sitz in [STANDORT_D-A-CH] betreibt eine historisch gewachsene IT-Landschaft mit getrennten Front-, Middle- und Back-Office-Systemen. Es existieren [ANZAHL_IKT_DRITTANBIETER] kritische IKT-Drittanbieter. Das Institut befindet sich in der Vorbereitung auf eine DORA-Sonderprüfung durch [AUFSICHTSBEHOERDE].

AUFGABE:
Führe eine strukturierte DORA-Lückenanalyse durch. Prüfe die folgenden fünf DORA-Säulen systematisch auf mögliche Compliance-Lücken und priorisiere die Findings nach Aufsichtsrisiko (Hoch / Mittel / Niedrig):

1. IKT-Risikomanagement-Rahmenwerk (Art. 5–16 DORA)
2. IKT-Vorfallmanagement und Meldepflichten (Art. 17–23 DORA)
3. Digitale Resilienztests inkl. TLPT (Art. 24–27 DORA)
4. IKT-Drittparteien-Risikomanagement inkl. Informationsregister (Art. 28–44 DORA)
5. Informationsaustausch und Governance (Art. 45–55 DORA)

VARIABLEN:
- [INSTITUTION_NAME]: Name des Instituts oder Platzhalter "Bank XY"
- [STANDORT_D-A-CH]: z.B. Frankfurt, Wien, Zürich
- [ANZAHL_IKT_DRITTANBIETER]: Geschätzte Anzahl kritischer Drittanbieter
- [AUFSICHTSBEHOERDE]: z.B. BaFin, FMA (AT), FINMA (CH)
- [BEKANNTE_SCHWACHSTELLEN]: Optional – liste bekannte Pain Points auf (z.B. "kein zentrales Asset-Inventar", "fehlende Kryptografie-Richtlinie")

OUTPUT-FORMAT:
Erstelle eine Tabelle mit den Spalten: DORA-Säule | Konkrete Lücke | Aufsichtsrisiko (H/M/N) | Empfohlene Sofortmaßnahme | Verantwortliche Funktion.
Schließe mit einem priorisierten 30-Tage-Maßnahmenplan ab (max. 5 Punkte).

GUARDRAILS:
- Beziehe dich ausschließlich auf DORA-Artikel und ESA-Leitlinien, keine generischen ISO-27001-Ratschläge.
- Weise explizit auf DSGVO-Schnittstellen hin, wo Meldepflichten kollidieren könnten (Art. 33 DSGVO vs. DORA Art. 19).
- Keine juristischen Haftungsaussagen – Analyse dient der internen Vorbereitung.
- Sprache: Deutsch, formale Verwaltungssprache.

Beispiel-Output (fiktiv, DACH-Bezug):

DORA-Lückenanalyse – Stadtsparkasse Musterheim, Frankfurt | BaFin-Prüfungsvorbereitung

IKT-Risikomanagement (Art. 5–16): Kryptografie-Richtlinie liegt in Version 2019 vor, nicht aktualisiert seit Einführung von TLS 1.3-Anforderungen. Aufsichtsrisiko: HOCH. Sofortmaßnahme: Aktualisierung und Vorstandsgenehmigung bis KW 16. Verantwortung: CISO.

Drittparteien-Risiko (Art. 28–44): 3 von 12 kritischen IKT-Anbietern fehlen im Informationsregister vollständig. Subunternehmer-Klauseln in Verträgen mit Rechenzentrumsbetreiber RZ-Süd GmbH nicht DORA-konform (fehlende Kündigungsrechte bei Aufsichtsversagen). Aufsichtsrisiko: HOCH. Sofortmaßnahme: Nachtragsvereinbarung bis KW 14, Registerergänzung bis KW 12.

DSGVO-Schnittstelle: Bei IKT-Vorfällen mit personenbezogenen Daten gilt eine Meldepflicht nach DORA Art. 19 (24h Initial-Meldung) UND Art. 33 DSGVO (72h). Interner Eskalationspfad ist derzeit nicht synchronisiert – doppelte Meldefrist-Risiken bestehen.

30-Tage-Maßnahmenplan: 1) Kryptografie-Richtlinie aktualisieren (KW 12) 2) Informationsregister vervollständigen (KW 13) 3) Vertragsanlage RZ-Süd nachverhandeln (KW 14) 4) TLPT-Scope für kritische Funktionen definieren (KW 15) 5) Incident-Meldeprozess DORA/DSGVO synchronisieren (KW 16)

So verwendest du den Prompt

Kopiere den Prompt vollständig in ChatGPT oder Claude und befülle die fünf Variablen in eckigen Klammern vor dem Absenden. Der Prompt funktioniert auch ohne vollständige Variablen – trage dann Platzhalter wie "Bank XY" oder "unbekannt" ein, die KI arbeitet sich trotzdem strukturiert durch alle fünf DORA-Säulen.

Für den produktivsten Output empfiehlt sich folgender Workflow: Füge unter [BEKANNTE_SCHWACHSTELLEN] alle Pain Points ein, die intern bereits bekannt sind – etwa fehlende Asset-Inventare, nicht abgenommene Change-Management-Richtlinien oder Drittanbieter ohne gültige Vertragsklauseln. Die BaFin hat in ihren Workshops vom 24. und 26. Februar 2026 wiederholt auf Datenqualität und Vollständigkeit bei der Informationsregister-Einreichung hingewiesen – fehlende Asset-Inventare, lückenhafte Drittanbieter-Dokumentation und nicht aktualisierte Richtlinien gehören branchenweit zu den häufigsten Schwachstellen. Je präziser deine Eingabe, desto gezielter priorisiert die KI die 30-Tage-Maßnahmen.

Der Prompt ist bewusst auf DACH-Aufsichtsbehörden ausgelegt: BaFin (DE), FMA (AT) und FINMA (CH) haben unterschiedliche Meldewege und Prüfungsintensitäten. Passe die Variable [AUFSICHTSBEHOERDE] entsprechend an – die KI berücksichtigt dann die jeweilige nationale Umsetzungspraxis.

Warum dieser Prompt funktioniert

Der Prompt kombiniert drei nachweislich effektive Techniken: Role Prompting positioniert das Modell als Regulatory-Analyst mit spezifischem Domänenwissen, was die Token-Priorisierung auf DORA-relevante Konzepte lenkt. Chain-of-Thought-Strukturierung durch die explizit numerierten fünf DORA-Säulen zwingt das Modell zu sequentiellem Durcharbeiten – es überspringt keine Säule, selbst wenn die Eingabe unvollständig ist. Das definierte Output-Format (Tabelle plus Maßnahmenplan) verhindert, dass das Modell in generische Prosa-Antworten verfällt.

Die Guardrails erfüllen eine doppelte Funktion: Sie verhindern juristisch problematische Haftungsaussagen und erzwingen gleichzeitig die DSGVO-Schnittstellen-Prüfung – ein systematisch unterschätztes Risiko, weil DORA Art. 19 und DSGVO Art. 33 unterschiedliche Meldefristen setzen (24h vs. 72h), die intern oft auf denselben Prozess treffen. Laut BaFin-Aufsichtsbriefing vom 5. Februar 2026 steigt die Bedeutung von IKT-Governance durch den zunehmenden KI-Einsatz in Finanzinstituten weiter – der Prompt ist daher explizit offen für KI-Systeme als IKT-Assets im Inventar.

Für Institute mit besonders fragmentierter IT-Landschaft empfiehlt sich eine Mehrfach-Ausführung: einmal pro Geschäftsbereich (Retail, Treasury, Zahlungsverkehr), statt einmal für das gesamte Institut. DORA bewertet kritische oder wichtige Funktionen (kwF) auf Prozessebene – eine aggregierte Analyse übersieht Silorisiken systematisch.