BaFin veröffentlicht Umsetzungshinweise zur DORA
Die deutsche Finanzaufsicht BaFin hat am 8. Juli 2024 Hinweise zur Umsetzung der DORA-Verordnung (Digital Operational Resilience Act) veröffentlicht. Ziel ist es, Finanzunternehmen bei der Vorbereitung auf die ab Januar 2025 geltenden Regelungen zu unterstützen.
Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) hat am 8. Juli 2024 eine Aufsichtsmitteilung mit Hinweisen zur Umsetzung der DORA-Verordnung (Digital Operational Resilience Act) im Bereich des IKT-Risikomanagements und des IKT-Drittparteienrisikomanagements veröffentlicht.
Die Hinweise richten sich insbesondere an von der BaFin beaufsichtigte Unternehmen, die unter die Anwendungsbereiche der BAIT (Bankenaufsichtliche Anforderungen an die IT) und VAIT (Versicherungsaufsichtliche Anforderungen an die IT) fallen. Diese Unternehmen müssen künftig die Anforderungen an das IKT-Risikomanagement gemäß den Artikeln 5 bis 15 der DORA-Verordnung erfüllen. Die Veröffentlichung soll Finanzunternehmen bei der Implementierung von DORA unterstützen und sie auf die Anwendungsphase ab dem 17. Januar 2025 vorbereiten.
Die Umsetzungshinweise basieren auf den Ergebnissen von sechs Arbeitsgruppen, an denen Vertreter der Industrie sowie der BaFin und der Deutschen Bundesbank beteiligt waren. Diese Gruppen stellten im Jahr 2023 die DORA-Anforderungen zum IKT-Risikomanagement und zum IKT-Drittparteienrisiko im Vergleich zu den bestehenden Anforderungen aus BAIT und VAIT gegenüber.
Die Mitteilung enthält zudem eine umfangreiche Liste von Mindestvertragsinhalten für Vereinbarungen zwischen Finanzunternehmen und IKT-Drittdienstleistern, wie sie durch DORA und die zugehörigen regulatorischen technischen Standards (RTS) gefordert werden. Diese Klauseln sind für die Gestaltung der Beziehungen mit kritischen oder wichtigen Dienstleistern unerlässlich.
Zentrale Unterschiede, die in den Hinweisen hervorgehoben werden, betreffen die explizite Verantwortung des Leitungsorgans für das digitale operative Risikomanagement unter DORA. Die Anforderungen an die Identifizierung, Analyse und Behandlung von IKT-Risiken werden verschärft, und die Berücksichtigung von Risiken aus der Lieferkette sowie strengere Regelungen für Unterauftragsvergaben sind signifikant. Während einige Bereiche wie das Identitäts- und Rechtemanagement möglicherweise weniger Anpassungsaufwand erfordern, sind die DORA-Vorgaben insgesamt spezifischer und potenziell umfangreicher als die bisherigen prinzipienbasierten BAIT/VAIT-Regelungen.