Feedback

Gepostet am 17. Januar 2025 von  Matthias Gölz, Senior Manager bei Severn Consultancy; Sinem Duygu Aydin, Consultant bei Severn Consultancy 🕐 12 min Lesezeit

DORA-Verordnung: Ein neues Kapitel für die digitale Resilienz in der Finanzindustrie

Seit heute markiert die Einführung des Digital Operational Resilience Act (DORA) einen bedeutenden Wendepunkt für die digitale Betriebssicherheit in der europäischen Finanzindustrie. Dieses Regelwerk verändert zugleich grundlegend den Umgang der Aufsichtsbehörden mit Dienstleistern aus der Informa-tions- und Kommunikationstechnologie (IKT).

 


Die fortschreitende Digitalisierung hat den Finanzsektor grundlegend verändert und bietet zahlreiche Chancen. Gleichzeitig steigt jedoch die Anfälligkeit für Cyberbedrohungen und IT-Ausfälle. Um diesen Risiken zu begegnen und um die Stabilität des Finanzmarktes zu sichern, hat die Europäische Union den Digital Operational Resilience Act (DORA) eingeführt. Diese Verordnung verpflichtet Finanzinstitute und relevante Dienstleister, ihre digitalen Infrastrukturen zu stärken und widerstandsfähiger gegenüber digitalen Bedrohungen zu gestalten.

DORA fordert unter anderem die Implementierung eines robusten IKT-Risikomanagements, die Meldung schwerwiegender IT-Vorfälle und regelmäßige Tests der digitalen Resilienz. Zudem werden strengere Anforderungen an die Zusammenarbeit mit Drittanbietern von IKT-Dienstleistungen gestellt, um sicherzustellen, dass auch ausgelagerte Funktionen den hohen Sicherheitsstandards entsprechen. Parallel dazu ersetzt DORA schrittweise die bisher geltenden BAIT-Regelungen (Bankaufsichtliche Anforderungen an die IT). Ab sofort fallen Institute, die den Anforderungen von DORA unterliegen, nicht mehr unter die BAIT. Gemäß § 1a Absatz 2 KWG, der durch das Gesetz über die Digitalisierung des Finanzmarktes (Finanzmarktdigitalisierungsgesetz - FinmaDiG) neu gefasst wurde, fallen ab dem 01.01.2027 weitere Institute in den Anwendungsbereich der DORA. Für diese Institute ist eine Übergangsfrist bis zum 31.12.2026 für die Anwendung der Anforderungen des IKT-Risikomanagements nach DORA vorgesehen Danach werden die BAIT-Regelungen vollständig aufgehoben. Die Regelungen der KAIT, VAIT und ZAIT werden bereits zum 17. Januar 2025 vollständig aufgehoben.

Die teilweise Aufhebung der BAIT geht einher mit den Änderungen des Kreditwesengesetzes (KWG) durch das am 18. Dezember 2024 verabschiedete Finanzmarktdigitalisierungsgesetz (FinMadiG), welches die europäischen Vorgaben national umsetzt und den rechtlichen Rahmen für digitale Finanzdienstleistungen modernisiert. Dieses Gesetz zielt darauf ab, die Wettbewerbsfähigkeit und Innovationskraft des deutschen Finanzsektors zu fördern und gleichzeitig ein hohes Maß an Sicherheit und Verbraucherschutz zu gewährleisten.

Für Finanzinstitute bedeutet dies, dass sie ihre internen Prozesse und IT-Strukturen überprüfen und an die neuen regulatorischen Anforderungen anpassen müssen. Die Einhaltung dieser Vorschriften ist nicht nur eine direkte gesetzliche Verpflichtung, sondern auch eine Chance, das Vertrauen der Kunden zu stärken und die eigene Marktposition in einer zunehmend digitalisierten Welt zu sichern. Im Gegensatz zu den bisherigen XAITs hat die DORA eine direkte persönliche Haftung der Geschäftsleiter zur Folge und es können Strafen aufgrund der DORA-Verordnung und deren Nicht-Einhaltung gegenüber betroffenen Finanzunternehmen verhängt werden.

Angesichts der dynamischen regulatorischen Entwicklungen stellt sich für viele Unternehmen die entscheidende Frage: Wie können die neuen Anforderungen effektiv und nachhaltig umgesetzt werden? Dabei geht es nicht nur um die Erfüllung gesetzlicher Vorgaben, sondern auch um die Chance, die eigene Organisation zukunftssicher aufzustellen.

Haben Sie bereits alle notwendigen Schritte eingeleitet, um die Herausforderungen der DORA-Compliance erfolgreich zu bewältigen und die DORA Readiness herzustellen? Die verbleibende Zeit bis zu den ersten regulären Prüfungen sowie bei einigen Finanzinstituten angekündigte Sonderprüfungen nach DORA machen ein schnelles und zielgerichtetes Handeln unerlässlich.

BAIT war gestern – sind Sie wirklich „DORA ready“?

Die nachfolgenden Darstellungen bieten eine klare Orientierung für die Umsetzung der DORA-Compliance und legen  den Fokus auf zentrale Aspekte wie die Entwicklung einer umfassenden Resilienzstrategie, den Schutz kritischer oder wichtiger Funktionen sowie  ein effektives IKT-Risikomanagement. Dabei profitieren Finanzunternehmen von praxisnahen Empfehlungen, die konkrete Maßnahmen wie die Etablierung einer IKT-Risikokontrollfunktion, eines ganzheitlichen Incident Managements, umfassender Tests der operationalen Resilienz und fundierte Ex-ante Risikoanalysen für IKT-Drittdienstleister umfassen.

Besonderes Augenmerk liegt auf der Berücksichtigung der Proportionalität, der klaren Definition von Verantwortlichkeiten und der Durchführung regelmäßiger Self-Assessments. Diese Ansätze unterstützen Finanzunternehmen dabei, ihre digitale Resilienz gezielt zu stärken und die DORA-Vorgaben effizient und nachhaltig zu erfüllen. Die BaFin stellt auf ihrer Homepage eine klar strukturierte Übersicht der notwendigen Dokumente bereit, die zur Erfüllung der Anforderungen an die schriftlich fixierte Ordnung erforderlich sind. Finanzunternehmen sollten diese Übersicht als verbindliche Leitlinie betrachten, da sowohl die Aufsichtsbehörde als auch die (Jahresabschluss-)Prüfer voraussichtlich die Einhaltung der schriftlich fixierten Ordnung anhand dieser Vorgaben überprüfen werden. Eine sorgfältige Orientierung an diesen Anforderungen ist daher essenziell, um regulatorische Konformität sicherzustellen und potenzielle Beanstandungen zu vermeiden.


Anwendung der DORA-Anforderungen: Handlungsschritte und Konsequenzen

Mit dem heutigen Tag, dem 17. Januar 2025, ist die Frist zur Umsetzung der Anforderungen der DORA abgelaufen. Unternehmen, die von dieser Regulierung betroffen sind, müssen nun nachweisen können, dass sie die notwendigen Maßnahmen zur Einhaltung der Vorgaben vollständig umgesetzt haben. Für Finanzinstitute, die weiterhin regulatorische Lücken aufweisen, steigt das Risiko von Sanktionen und erhöhten Prüfungsanforderungen erheblich.

Nach der Umsetzungsfrist: Notwendige Schritte für die Umsetzung

Auch nach Ablauf der Frist bleibt es für Unternehmen entscheidend, bestehende Abweichungen zu den DORA-Vorgaben zu identifizieren, zu bewerten und mit geeigneten Maßnahmen zu beheben.

Die European Supervisory Authorities (ESAs) betonten am 4. Dezember 2024 in ihrem Schreiben die Notwendigkeit einer frühzeitigen und strukturierten Vorbereitung, um die Anforderungen des Digital Operational Resilience Act (DORA) fristgerecht zu erfüllen. Finanzinstitute müssen bestehende Lücken („DORA Gaps“) identifizieren und schließen, da keine Übergangsfristen vorgesehen sind.

Zu den vordringlichsten Schritten sollten gehören:

  1. Nachträgliche Reifegradmessung
    Eine umfassende Gap-Analyse, um bestehende Defizite in den Bereichen IKT-Risikomanagement, IKT-Vorfallmanagement, Resilienz Testing und Drittparteienrisikomanagement  zu identifizieren und konkrete Maßnahmen abzuleiten.
     
  2. Die Behebung identifizierter Defizite erfordert einen strukturierten und zielgerichteten Ansatz:

    Risikobewertung: Bewerten Sie die Risiken aus der Gap-Analyse hinsichtlich ihres potenziellen Einflusses auf die Organisation, einschließlich finanzieller, operativer und regulatorischer Auswirkungen.

    Entwicklung eines Maßnahmenplans: Definieren Sie spezifische Maßnahmen, um die identifizierten Defizite zu beheben. Dazu gehören etwa die Einführung eines ganzheitlichen Incident-Management-Prozesses, die Aktualisierung von Richtlinien und die Verfollständigung eines Informationsregisters.

    Festlegung von Prioritäten: Beheben Sie zuerst Defizite, die unmittelbar regulatorische Anforderungen betreffen oder ein hohes Risiko darstellen. Quick Wins mit geringem Aufwand sollten parallel umgesetzt werden.

    Zeit- und Ressourcenmanagement: Erstellen Sie einen detaillierten Zeitplan, der kurz-, mittel- und langfristige Maßnahmen unterscheidet, und stellen Sie sicher, dass ausreichende Ressourcen verfügbar sind.

    Monitoring und Nachkontrolle: Implementieren Sie ein regelmäßiges Monitoring, um den Fortschritt zu überwachen, und führen Sie nach der Umsetzung jeder Maßnahme eine erneute Überprüfung durch, um ihre Wirksamkeit sicherzustellen.
     
  3. Langfristige Optimierung: Überprüfung und Integration robuster Kontrollsysteme, um sicherzustellen, dass die operativen Prozesse nachhaltig den DORA-Vorgaben entsprechen und zukünftige Prüfungen erfolgreich bestanden werden.

Durch Erfahrungen aus zahlreichen DORA Implementierungsprojekten und skalierbaren Lösungsbausteinen für unterschiedliche Institutsgrößen und -arten ermöglicht Severn die Durchführung eines DORA Quick Checks, um den eigenen Reifegrad der DORA Umsetzung zu bewerten und eine höhere Prüfungsfestigkeit zu erreichen.

Meldepflichten

Ein wesentlicher Schwerpunkt bei der Umsetzung der DORA-Anforderungen sollte auf der Sicherstellung liegen, dass die erforderlichen Meldungen gemäß den Vorgaben fristgerecht und vollständig eingereicht werden können. Dies betrifft insbesondere die Meldepflichten für schwerwiegende IKT-Vorfälle gemäß Artikel 19 und die Anforderungen zur Erstellung und Pflege eines Informationsregisters gemäß Artikel 28 Absatz 3.

Am 7. Januar 2025 hat die BaFin bekanntgegeben, dass das Informationsregister bis spätestens 11. April 2025 erstmals einzureichen ist. Die Daten werden anschließend bis zum 30. April 2025 an die Europäischen Aufsichtsbehörden weitergeleitet. Bis dahin bleibt Zeit, das Informationsregister vorzubereiten und einzureichen. Die wesentlichen Schritte sind:

  1. Identifikation und Kategorisierung genutzter IKT-Dienstleistungen
  2. Bewertung der kritisch/wichtigen Funktionen in Bezug auf Abhängigkeiten von IKT-Dienstleistungen
  3. Identifikation der vertraglichen Vereinbarungen zu IKT-Dienstleistungen
  4. Einholung von Informationen zu Unterauftragnehmern für IKT-Dienstleistungen, die kritische/wichtige Funktionen unterstützen
  5. Übertragung der Informationen in das vorgegebene Format des Informationsregisters (XX Datenfelder), idealerweise mit einer IT-Anwendung
  6. Plausibilitätsprüfungen und Qualitätssicherung der erfassten Daten

Das Informationsregister muss nach der Ersteinreichung regelmäßig gepflegt werden, um zukünftige Anforderungen zu erfüllen und auf behördliche Anfragen reagieren zu können. Es ist mindestens einmal jährlich an die BaFin zu melden.

Die BaFin hat am 14. Januar 2025 zwei Vorlagen veröffentlicht, welche zur Einreichung von Änderungen

  • Anzeige einer geplanten vertraglichen Vereinbarung über die Nutzung von IKT-Dienstleistungen" (Art. 28 Abs. 3 UAbs. 5 Alt. 1)
  • Anzeige der Änderung der Einstufung der Funktion, die die IKT-Dienstleistung unterstützt, als kritisch oder wichtig" (Art. 28 Abs. 3 UAbs. 5 Alt. 2)

verwendet werden sollen.

Meldepflichten 2025 und fortlaufende jährliche Meldepflichten


Auf Basis der eingereichten Informationsregister planen die Europäischen Aufsichtsbehörden, in der zweiten Jahreshälfte 2025 eine Liste der als kritisch eingestuften IKT-Drittdienstleister zu veröffentlichen. Diese Liste soll Transparenz schaffen und die Aufsichtsbehörden dabei unterstützen, die Überwachung auf Anbieter zu konzentrieren, deren Dienstleistungen für die Stabilität des Finanzsektors von wesentlicher Bedeutung sind. Aufgrund der strengen Kriterien ist davon auszugehen, dass nur eine begrenzte Anzahl an europaweit tätigen Anbietern in diese Liste aufgenommen wird.

Konsequenzen der Nichteinhaltung: Dringender Handlungsbedarf

Die Nichteinhaltung der DORA-Vorgaben bringt erhebliche Risiken mit sich. Die BaFin ist durch das FinMadiG ermächtigt, strikte Maßnahmen durchzusetzen, darunter:

  • Zwangsgelder: Bis zu 2,5 Millionen Euro bei Verstößen gegen die Anforderungen.
  • Bußgelder: Zusätzliche finanzielle Sanktionen bei mangelnder Compliance.
  • Vertragskündigungen: Aufforderungen zur Beendigung von Geschäftsbeziehungen mit nicht-konformen Dienstleistern.

Persönliche Haftung des Leitungsorgans bei wesentlichen Mängeln.

Diese Konsequenzen verdeutlichen die Dringlichkeit, DORA-Compliance auch nach der Frist aktiv voranzutreiben, um sowohl finanzielle als auch operative Schäden zu vermeiden.

Insbesondere durch die Jahresabschlussprüfung aber auch durch Sonderprüfungen wird die DORA-Readiness der betroffenen Finanzunternehmen festgestellt und gegenüber der BaFin berichtet. Die BaFin hat dazu am 6. Dezember 2024 die Wertpapierinstituts-Prüfungsberichtsverordnung (WpIPrüfbV) und die Schwarmfinanzierungsdienstleister-Prüfungsverordnung (SchwarmfdPV)  zur Konsultation veröffentlicht, um Anpassungen aufgrund der DORA vornehmen zu können. In Artikel 3 Nr. 10 a) dd) wird das KWG dahingehend geändert, dass die Jahresabschlussprüfer für die zukünftigen Prüfungen über die Einhaltung der DORA berichten müssen. 

Die fortschreitende Harmonisierung regulatorischer Anforderungen im Finanzsektor unterstreicht die Bedeutung einer strukturierten und sorgfältigen Implementierung neuer Vorgaben. Die schrittweise Anpassung bestehender Regelwerke, die Einführung präzisierter Prüfungsanforderungen und die Integration europäischer Regularien in nationales Recht verfolgen ein gemeinsames Ziel: die nachhaltige Stärkung der digitalen Resilienz und Sicherheit im Finanzsektor.

Mit dem Finanzmarktdigitalisierungsgesetz (FinmadiG) wurde ein zentraler regulatorischer Rahmen geschaffen, der europäische Vorgaben wie die DORA-Verordnung und MiCAR in nationales Recht überführt. Das Gesetz stärkt die Aufsichtsbefugnisse der BaFin und legt den Fokus auf die konsequente Anwendung von IT- und Cybersicherheitsstandards in Finanzinstituten. Es schafft so die Grundlage für eine langfristig stabile und widerstandsfähige Infrastruktur im Finanzmarkt.

Die Neufassung des Gesetzes, insbesondere im Zusammenhang mit der Verordnung (EU) 2022/2554 (DORA), erweitert die Aufsichtsermächtigung der BaFin erheblich.

Anhand eines „DORA Einbindungskonzepts für das Leitungsorgan von Finanzinstituten“ stellt Severn nachweislich die Einhaltung der erhöhten Governance- und IKT-Risikomanagement Vorgaben für die Geschäftsführung und Vorstände sicher. Dies gibt den Instituten Sicherheit in der Anwendung der DORA Vorgaben, erhöht die Prüfungsfestigkeit der eigenen Organisation und reduziert Umsetzungsrisiken, Sanktionen und die persönliche Haftung der Verantwortlichen.


Mehr Informationen zum FinmadiG – Kontaktformular


Das sagen unsere Spezialisten.

„Die Finanzinstitute haben mit Überführung der DORA Anforderungen in interne Vorgaben einen ersten Reifegrad erreicht. Entscheidend für die Wirksamkeit wird die weitere Operationalisierung der DORA Vorgaben in Verfahren, Maßnahmen, Tools und Protokollen sein. Dies wird Institute insbesondere in 2025 maßgeblich dazu bewegen, um eine Prüfungssicherheit herzustellen.“

Norman Nehls, Partner
Severn Consultancy GmbH

 

„DORA hat unseren Kunden die passende Möglichkeit gegeben, ihre bestehenden Prozesse neu zu denken und zu strukturieren. Doch mit dem heutigen Inkrafttreten der Regulierung zeigt sich deutlich: Die eigentliche Herausforderung liegt in der konsequenten Umsetzung der Vorgaben, um nicht nur Compliance zu gewährleisten, sondern auch die digitale Resilienz nachhaltig zu stärken.“

Matthias Gölz, Senior Manager
Severn Consultancy GmbH

Login 



Passwort vergessen?

Newsletter abonnieren


















Captcha*

Bitte beachten Sie, dass Sie zur Anmeldung eine dienstliche E-Mail benötigen. Außerdem können wir Anmeldungen von Branchendienstleistern nicht berücksichtigen.