DORA: Aktueller Stand und geltende Rundschreiben der BaFin

Seit Januar dieses Jahres ist es offiziell: Der Digital Operational Resilience Act (kurz: DORA) ist da. Doch wie ist der aktuelle Stand bei der europäischen Verordnung für Finanzunternehmen und deren IKT-Dienstleister, welche Termine sind zukünftig einzuhalten und was bedeutet das für die in Deutschland bisher geltenden Rundschreiben der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin)?

Anwendung des DORAs für Finanzunternehmen

Auf europäischer Ebene sollen Finanzunternehmen, wie beispielsweise Banken, Versicherungen und Pensionskassen, sektorübergreifend resilienter in Sachen Informations- und Kommunikationstechnologie werden. Dafür wurde der Digital Operational Resilience Act (DORA) entwickelt.

Worum es bei dieser EU-Verordnung geht, haben wir bereits in unserem Blog DORA: Der Digital Operational Resilience Act kurz erklärt ausführlicher zum Nachlesen dargelegt.

Der DORA ist am 17.01.2023 in Kraft getreten und findet seit 17.01.2025 Anwendung. Das bedeutet für Finanzunternehmen: Eine Schon- oder Übergangsfrist gibt es nicht. Auch wenn die Konkretisierungen mit den entsprechenden Detailvorgaben Anfang 2024 durch die sogenannten technischen Regulierungsstandards final nicht vollumfänglich zur Verfügung standen, nutzten die meisten Finanzunternehmen in den vergangenen zwei Jahren die Zeit, um sich beispielsweise durch GAP-Analysen, Review der Dokumentationsanforderungen oder der Erstellung eines Informationsregisters gut auf die neue Regulatorik vorzubereiten.

Einige der Themen wurden dabei durch die in Deutschland bestehenden aufsichtlichen Anforderungen an die IT bereits gut abgedeckt, andere kamen neu hinzu. Der DORA hat dabei die Sinne für einen Perspektivwechsel geschärft: Es geht primär um Resilienz und nicht um die Prävention von Vorfällen.

Verdeutlicht wird dies exemplarisch bei der Anforderung eine Kommunikationsstrategie für den Umgang mit schwerwiegenden IKT-bezogenen Vorfällen zu entwickeln.

Die Themen des DORAs

Beim DORA geht es um die digitale Resilienz von Finanzunternehmen und deren IKT-Drittdienstleister, um Cyberrisiken und Vorfällen der Informations- und Kommunikationstechnologie gestärkt begegnen zu können.

Dabei bilden die folgenden Themen Schwerpunkte:

• IKT-Risikomanagement: Der Risikomanagementrahmen fokussiert sich auf die eingesetzten Technologien und die Sicherheitsziele. Aber auch Awareness und Kommunikationsstrategien spielen dabei eine wesentliche Rolle.
• Management des IKT-Drittparteienrisikos: Die Dienstleisterbetrachtung unterliegen allgemeinen Prinzipien beim Drittparteienrisiko. Es wird der komplette Lebenszyklus der vertraglichen Vereinbarung betrachtet.
• Meldung von IKT-bezogenen Vorfällen: Meldungen stehen beim DORA im Vordergrund und sind standardisiert. Voraussetzung hierfür ist die Festlegung von Definitionen, es gibt konkrete festgelegte Klassifikationskriterien.
• Testen der digitalen operationalen Resilienz: Es sind entsprechende Programme für das Testen zu etablieren und zu pflegen, das Testprogramm ist integraler Bestandteil des Risikomanagementrahmens und inkludiert auch Drittparteien.
• Informationsaustausch: Der freiwillige Austausch von Informationen und Erkenntnissen über Cyberbedrohungen der Finanzunternehmen ist im DORA geregelt, um die Schärfung des Bewusstseins allen Marktteilnehmenden zu ermöglichen.

BaFin Rundschreiben: Sektorspezifische Anforderungen an die IT

Wie bereits erwähnt, wurden vor dem 17.01.2025 in Deutschland einige Themen durch die bestehenden sektorspezifischen aufsichtlichen Anforderungen an die IT bereits gut abgedeckt.

Mit den Zielen, Komplexität zu reduzieren und Doppelregulierung zu vermeiden, wurden diese Anforderungen mit Ablauf des 16.01.2025 aufgehoben, beziehungsweise werden schrittweise mit Ablauf des 31.12.2026 aufgehoben. Konkret:

Mit DORA gehören folgende aufsichtliche Anforderungen an die IT zum 17.01.2025 der Vergangenheit an:

KAIT:
Kapitalverwaltungsaufsichtliche Anforderungen an die IT
Rundschreiben 11/2019 (WA) in der Fassung vom 01.10.2019

VAIT:
Versicherungsaufsichtliche Anforderungen an die IT
Rundschreiben 10/2018 in der Fassung vom 03.03.2022

ZAIT:
Zahlungsdiensteaufsichtliche Anforderungen an die IT von Zahlungs- und E-Geld-Instituten
Rundschreiben 11/2021 (BA) in der Fassung vom 16.08.2021

Die folgenden aufsichtliche Anforderungen an die IT gibt es noch bis 31.12.2026. Sie gelten aber nicht mehr für Institute, die seit 17.01.2025 den DORA anwenden:

BAIT:
Bankaufsichtliche Anforderungen an die IT
Rundschreiben 10/2017 (BA) in der Fassung vom 16.12.2024

Warum dieses differenzierte Vorgehen erforderlich ist, ergibt sich nachfolgend durch das Kreditwesengesetz und das neue Finanzmarktdigitalisierungsgesetz.

Das Finanzmarktdigitalisierungsgesetz

Das Gesetz über die Digitalisierung des Finanzmarktes (Finanzmarktdigitalisierungsgesetz – FinmadiG) wurde am 27.12.2024 im Bundesgesetzblatt veröffentlicht und ist zwischenzeitlich in Kraft getreten. In Verbindung mit dem Kreditwesengesetz wird geregelt, wer betroffen ist und welche Anforderungen des DORAs wann erfüllt werden müssen.

So sind beispielsweise DORA-Anforderungen für Leasing-Unternehmen erst ab dem 01.01.2027 vollständig anzuwenden. Und dies unter Berücksichtigung des vereinfachten Risikomanagementrahmens, den Verzicht auf TLP-Tests und ohne IKT-Drittparteienrisikomanagement für Kleinstunternehmen.

Für diese und weitere Institute, die nicht den DORA direkt anzuwenden haben, wird weiterhin die BAIT, die bankaufsichtlichen Anforderungen an die IT, gelten, und zwar noch bis zum 31.12.2026.

Jedoch besteht auch für Leasing-Unternehmen schon seit 17.01.2025 eine Verpflichtung zur Meldung schwerwiegender IKT-Vorfälle.

Die dringlichsten Termine des DORA

Der dringlichste Termin liegt eigentlich schon in der Vergangenheit: Seit dem 17.01.2025 ist der Digital Operational Resilience Act für Finanzunternehmen vollumfänglich anzuwenden.

Die Erstellung eines umfangreichen Informationsregisters, das einen detaillierten Überblick über die IKT-Drittdienstleister gibt, sollte spätestens bis zum 11.04.2025 einreichbar gestaltet sein. Es ist davon auszugehen, dass die BaFin spätestens bis zu diesem Termin Finanzunternehmen dazu auffordert, das Informationsregister erstmals einzureichen. Sollten tatsächlich bis zu diesem Zeitpunkt noch nicht alle Verträge DORA-konform angepasst worden sein, wird zumindest die Vorlage eines sinnvollen und risikoorientierten Zeitplans für die Vertragsanpassungen erwartet.

Für weitere Institute, die nicht den DORA direkt anzuwenden haben, wird dann der 01.01.2027 ein wichtiges Datum sein. Wir empfehlen jedoch schon jetzt mit der Umsetzungsplanung zu beginnen: Zum einen besteht schon jetzt eine Meldepflicht bei Vorfällen, die eine entsprechende Richtlinie und eine Meldefähigkeit voraussetzt. Gleichzeitig macht es durchaus Sinn, schon jetzt die Anforderungen des DORA bei der Auswahl von IKT-Dienstleistern zu berücksichtigen und grundsätzlich beispielsweise die teilweise neuen Dokumentationsanforderungen mit Blick auf die Zukunft umzusetzen.

Ausblick zur DORA-Umsetzung

Die meisten Finanzunternehmen haben in den vergangenen zwei Jahren sicherlich große Anstrengungen unternommen, die Anforderungen des DORAs entsprechend umzusetzen und auch ihre IKT-Drittdienstleister infolgedessen verpflichtet.

Sicherlich gibt es bei der Umsetzung gegebenenfalls noch einige Fragezeichen und unterschiedliche Interpretationsspielräume, die uns auch unter dem Gesichtspunkt des Proportionalitätsprinzips in der nächsten Zeit noch beschäftigen werden.

Wichtig: Schließen Sie vorhandene Lücken jetzt, denn für die Umsetzung der Verordnung gibt es keine Übergangsphasen.