25. August 2025 - Mit ihrer zweiten Aufsichtsmitteilung zu DORA (Digital Operational Resilience Act) zeigt die BaFin betroffenen Unternehmen, wie sie von vereinfachten Anforderungen an das IKT-Risiko- und das IKT-Drittparteien-Risikomanagement profitieren können. In einem Interview erklärt BaFin-Expertin Silke Brüggemann die Hintergründe.
DORA (Digital Operational Resilience Act) ist eine EU-Verordnung, die seit Januar 2025 in Kraft ist und die digitale Widerstandsfähigkeit von Finanzunternehmen verbessern soll.
Frau Brüggemann, womit befasst sich die zweite Aufsichtsmitteilung der BaFin zur europäischen Verordnung DORA, dem Digital Operational Resilience Act?
Silke Brüggemann: Mit den Risiken, die mit Informations- und Kommunikationstechnologien (IKT) verbunden sind. Genauer gesagt: Mit unserer neuen Aufsichtsmitteilung geben wir vor allem kleineren und nicht komplexen Unternehmen Hinweise, wie sie die DORA-Anforderungen an den vereinfachten IKT‑Risikomanagementrahmen und das IKT‑Drittparteien-Risikomanagement umsetzen können. Betroffen sind etwa 1.100 Unternehmen.
Wie bei unserer ersten Aufsichtsmitteilung zum regulären IKT‑Risikomanagementrahmen sind unsere Hinweise aber nicht verpflichtend. Wir machen mit der Aufsichtsmitteilung unsere Verwaltungspraxis transparent und wollen die Unternehmen bei der Umsetzung von DORA unterstützen. Die Unternehmen können selbst entscheiden, ob sie unsere Hinweise nutzen.
Was sind das denn genau für Unternehmen, die den vereinfachten IKT-Risikomanagementrahmen anwenden können?
Silke Brüggemann: Wir unterscheiden zwischen zwei Gruppen von Unternehmen. Profitieren werden in Deutschland zum einem gemäß DORA kleine Wertpapierinstitute und kleine Einrichtungen der betrieblichen Altersvorsorge.
Zum anderen sind durch das Finanzmarktdigitalisierungsgesetz Versicherungsholdings und die Institute betroffen, die nicht unter die Kapitaladäquanzverordnung CRR fallen.
Versicherungsholdings müssen die neuen Anforderungen seit Anfang 2025 anwenden. Die betroffenen Institute stellen erst später um. Für sie gelten bis zum 31. Dezember 2026 noch unsere BAIT, die Bankaufsichtlichen Anforderungen an die IT.
Wie ist die Aufsichtsmitteilung entstanden und wie profitieren die Unternehmen?
Silke Brüggemann: Unsere erste Aufsichtsmitteilung zu DORA ist sehr gut am Markt angekommen. Jetzt möchten wir auch die Unternehmen beim Übergang unterstützen, die die vereinfachten Anforderungen von Artikel 16 DORA anwenden. Wir führen dazu den bewährten Vergleich zwischen unseren Rundschreiben BAIT beziehungsweise VAIT und DORA fort. Dieses Mal im Fokus: die Anforderungen an den vereinfachten IKT‑Risikomanagementrahmen und an das IKT‑Drittparteienrisikomanagement.
Zwischen unseren Rundschreiben und DORA gibt es Schnittmengen. Die Unternehmen, die unsere BAIT oder VAIT vollständig umgesetzt haben, sind schon gut auf DORA vorbereitet. Sie werden beim IKT‑Risikomanagementrahmen und in geringerem Umfang auch beim IKT‑Drittparteien-Risikomanagement nun von Vereinfachungen profitieren. Das wollen wir deutlich machen.
Ich bin mir sicher, dass unsere Umsetzungshinweise mit dem Vergleich von BAIT beziehungsweise VAIT mit DORA in der Praxis einen großen Mehrwert bieten.
Was heißt das konkret?
Silke Brüggemann: Der vereinfachte IKT-Risikomanagementrahmen von DORA fokussiert auf das IKT-Risikomanagement und die damit verbundenen Maßnahmen zur Stärkung der digitalen operationalen Resilienz. Im Vergleich dazu steht in BAIT und VAIT eher die Informationssicherheit im Zentrum. Die Akzente sind verschoben.
Beispielsweise fordert DORA keinen Informationssicherheitsbeauftragten, verzichtet auf Detailangaben bei Änderungen an IKT-Systemen und sieht kein Datensicherungskonzept vor. Eine Datensicherung wird zwar weiterhin gefordert. Dabei steht aber die technische Umsetzung im Vordergrund.
Außerdem müssen die Ziele der IKT-Geschäftsfortführung im vereinfachten IKT‑Risikomanagementrahmen in den IKT-Geschäftsfortführungsplänen dargestellt werden. Nach den BAIT sollen sie im Rahmen eines Notfallmanagements festgelegt werden, in den VAIT im Rahmen des IT-Notfallmanagements.
Die Anforderungen im vereinfachten IKT‑Risikomanagementrahmen sind natürlich auch weniger streng als die im regulären Rahmen. Das zeigen wir ebenfalls in unserer Aufsichtsmitteilung, indem wir die wesentlichen Unterschiede auch innerhalb von DORA darstellen.
Was sind denn die wesentlichen Unterschiede zwischen dem regulären und dem vereinfachten IKT-Risikomanagementrahmen in DORA ?
Silke Brüggemann: Der vereinfachte IKT-Risikomanagementrahmen in Artikel 16 betont eher die aktiven Maßnahmen zur Stärkung der digitalen operationalen Resilienz als der breiter aufgestellte reguläre IKT‑Risikomanagementrahmen. Er setzt damit den in DORA vorgesehenen Grundsatz der Verhältnismäßigkeit direkt um.
Die Unternehmen sind im vereinfachten IKT-Risikomanagementrahmen beispielsweise nicht verpflichtet, eine Strategie für die digitale operationale Resilienz zu erstellen. Sie müssen auch nicht die Verantwortung für das Management und die Überwachung von IKT-Risiken einer Kontrollfunktion zuweisen. Damit nicht genug: DORA verlangt von den Unternehmen nicht, den vereinfachten IKT-Risikomanagementrahmen mindestens einmal jährlich zu dokumentieren und zu überprüfen, eine IKT-Geschäftsfortführungsleitlinie vorzuhalten oder redundante IKT-Kapazitäten zu unterhalten.
Diese Beispiele zeigen ganz deutlich, dass DORA die kleineren und weniger komplexen Unternehmen beim IKT‑Risikomanagement nicht übermäßig belastet, sondern risikoorientierte Anforderungen stellt. (-el / www.bocquel-news.de)
Achtung Copyright: Die Inhalte von bocquel-news.de sind nach dem Urheberrecht für journalistische Texte geschützt. Die Artikel sind ausschließlich zur persönlichen Lektüre und Information bestimmt. Abdrucke und Weiterverwendung - beispielsweise zum kommerziellen Gebrauch auf einer anderen Homepage / Website oder Druckstücken - sind nur nach persönlicher Rücksprache mit der Redaktion (info@bocquel-news.de) gestattet.
