BaFin - Navigation & Service

Stand:geändert am 28.08.2025 IKT-Risikomanagement

Die BaFin informiert über Kapitel II, Artikel 5 bis 16 DORA

Für das IKT-Risikomanagement legt DORA in Kapitel II über die Finanzsektoren hinweg harmonisierte und einheitliche Anforderungen fest.

Diese Anforderungen sollen dazu beitragen, die Funktionsfähigkeit der Finanzunternehmen insbesondere hinsichtlich Cyber-Gefahren aufrechtzuerhalten bzw. gegebenenfalls wiederherzustellen. Damit sorgen sie dafür, dass die Finanzunternehmen eine für sie angemessene digitale operationale Resilienz erreichen – also so widerstands- und anpassungsfähig sind, dass sie ihre digitalen operationellen Prozesse auch während und nach einem Störungsfall aufrechterhalten können.

Anwendungsbereich

Bei der Anwendung von DORA im IKT-Risikomanagement wird zwischen dem regulären IKT-Risikomanagementrahmen gemäß Artikel 5 bis 15 DORA und dem vereinfachten IKT-Risikomanagementrahmen gemäß Artikel 16 DORA unterschieden.

IKT-Risikomanagementrahmen

Anwendung gemäß DORA

Anwendung gemäß FinmadiG

Artikel 5-15 DORA (regulärer IKT-Risikomanagementrahmen)Artikel 2 DORA mit Ausnahme des Artikel 16 Absatz 1 Unterabsatz 1 DORA

KfW (§ 1 Absatz 1 S. 1 Nr. 4, § 2 Nr. 8, § 3 Nr. 16 18 KfWV)

Landesförderbanken (§ 1a Absatz 2 KWG)

Artikel 16 DORA (vereinfachter IKT-Risikomanagementrahmen)

Kleine Wertpapierinstitute (Artikel 16 Absatz 1 i.V.m. Artikel 3 Nr. 34 i.V.m. Nr. 33 DORA)

Kleine EbAV (Artikel 16 Absatz 1 i.V.m. Artikel 3 Nr. 53 i.V.m. Nr. 52 DORA)

Versicherungsholdings (§ 293 Absatz 5 i.V.m. Absatz 4 und § 7 Nr. 31 VAG)

Nicht-CRR-Kreditinstitute (§ 1a Absatz 2a, § 65a Absatz 3 KWG)

Regulärer IKT-Risikomanagementrahmen

Mit den Anforderungen im Bereich der Governance und Organisation etabliert DORA durch die erforderliche Einrichtung eines internen Governance- und Kontrollrahmens zur Gewährleistung eines umsichtigen Managements von IKT-Risiken einen zentralen Baustein zur Zielerreichung einer hohen digitalen Resilienz des Finanzunternehmens. Diese Bedeutung zeigt sich auch in der hervorgehobenen Rolle des Leitungsorgans im Verordnungstext: Diesem obliegt die Letztverantwortung für das Management der IKT-Risiken des Finanzunternehmens. Weiter fallen ihm wichtige Aufgaben wie die Gesamtverantwortung für die Festlegung und Genehmigung der Strategie für die digitale operationale Resilienz als auch die Zuweisung angemessener Budgetmittel für den regulären IKT-Risikomanagementrahmen zu. Darüber hinaus sind die Mitglieder des Leitungsorgans angehalten, ausreichende Kenntnisse und Fähigkeiten aktiv auf den neuesten Stand zu halten, um ihre Aufgaben adäquat wahrnehmen zu können.

Als zweiten Baustein soll ein solider, umfassender und gut dokumentierter regulärer IKT-Risikomanagementrahmen dazu beitragen, den IKT-Risiken, mit denen das Finanzunternehmen konfrontiert ist, angemessen zu begegnen. Als Bestandteil des Gesamtrisikomanagements wirkt der Rahmen sowohl präventiv als auch reaktiv und umfasst folgende Elemente:

  • Identifizierung,
  • Schutz und Prävention,
  • Erkennung,
  • Gegenmaßnahmen und Wiederherstellung,
  • Lernen sowie
  • Weiterentwicklung und Kommunikation.

Die mit den Elementen einhergehenden Anforderungen orientieren sich an internationalen, nationalen und branchenspezifischen bewährten Praxisverfahren (best practices) als auch Standards.

Ihre insgesamt standard- und technikneutralen Eigenschaften ermöglichen den Finanzunternehmen eine risikoorientierte und proportionale Umsetzung der Anforderungen.

Der Proportionalitätsgedanke, den DORA zentral in Artikel 4 mit dem Grundsatz der Verhältnismäßigkeit hervorhebt, zeigt sich darüber hinaus auch an einer anderen Stelle im IKT-Risikomanagement: Für bestimmte Finanzunternehmen sieht Artikel 16 DORA vereinfachte Anforderungen vor.

Vereinfachter IKT-Risikomanagementrahmen

Der vereinfachte Risikomanagementrahmen (Artikel 16 DORA) sieht für bestimmte Finanzunternehmen aufgrund ihrer Größe oder den von ihnen erbrachten Dienstleistungen weniger strenge Anforderungen vor. Für diese Finanzunternehmen stehen operative Maßnahmen für eine adäquate digitale operationale Resilienz im Vordergrund.

Dafür müssen diese Finanzunternehmen im Wesentlichen

  • einen soliden und dokumentierten (vereinfachten) IKT-Risikomanagementrahmen errichten und aufrechterhalten,
  • die Sicherheit und das Funktionieren aller IKT-Systeme fortlaufend überwachen,
  • die Auswirkungen von IKT-Risiken minimieren,
  • eine rasche Ermittlung und Aufdeckung der Ursachen von IKT-Risiken und Anomalien in den Netzwerk- und Informationssystemen sowie eine rasche Handhabung von IKT-Vorfällen ermöglichen und
  • die Kontinuität kritischer oder wichtiger Funktionen durch Geschäftsfortführungspläne sowie Gegen- und Wiederherstellungsmaßnahmen, die zumindest Sicherungs- und Wiedergewinnungsmaßnahmen umfassen, gewährleisten.

Im Gegensatz zum regulären IKT-Risikomanagementrahmen sind sie aber beispielsweise nicht verpflichtet eine Strategie über die digitale operationale Resilienz zu erstellen, die Verantwortung für das Management und die Überwachung von IKT-Risiken einer Kontrollfunktion zuzuweisen, den vereinfachten IKT-Risikomanagementrahmen mindestens einmal jährlich zu dokumentieren und zu überprüfen, eine IKT-Geschäftsfortführungsleitlinie vorzuhalten oder redundante IKT-Kapazitäten zu unterhalten.

Strukturierte Übersichten zu Dokumentationsanforderungen

Die Unterschiede zwischen dem regulären und dem vereinfachten IKT‑Risikomanagementrahmen spiegeln sich analog auch in den Dokumentationsanforderungen wider:

            Dokumentationsanforderungen regulärer IKT-Risikomanagementrahmen

            Dokumentationsanforderungen vereinfachter IKT-Risikomanagementrahmen

Die BaFin informiert mit zwei Aufsichtsmitteilungen zur Umsetzung von DORA im IKT-Risikomanagement und IKT‑Drittparteienrisikomanagement

Die Aufsichtsmitteilungen sind nicht verpflichtende Hilfestellungen, die Unternehmen dabei unterstützen sollen, die Anforderungen aus DORA an das IKT-Risikomanagement (Artikel 5 – 15 bzw. 16 DORA) und das IKT‑Drittparteienrisikomanagement (Artikel 28 - 30 DORA) umzusetzen. Dabei berücksichtigen sie auch die einschlägigen technischen Regulierungsstandards.

Die Aufsichtsmitteilung von Juni 2024 unterstützt die Unternehmen bei der Umsetzung der DORA-Anforderungen an das reguläre IKT-Risikomanagement (Artikel 5 - 15 DORA) und das IKT-Drittparteienrisikomanagement (Artikel 28 - 30 DORA). Sie nimmt nur Bezug auf die Bankaufsichtlichen Anforderungen an die IT (BAIT) und die Versicherungsaufsichtlichen Anforderungen an die IT (VAIT). Die betrachteten Vorgaben sind jedoch häufig vergleichbar mit den Kapitalverwaltungsaufsichtlichen Anforderungen an die IT (KAIT) und den Zahlungsdiensteaufsichtlichen Anforderungen an die IT (ZAIT). Die Ergebnisse lassen sich also meist übertragen.

Die Aufsichtsmitteilung von August 2025 richtet sich dagegen insbesondere an die von der BaFin beaufsichtigten Unternehmen, die bisher unter die Anwendungsbereiche der BAIT oder VAIT gefallen sind – oder übergangsweise noch unter die BAIT fallen – und die Anforderungen an den vereinfachten IKT‑Risikomanagementrahmen gemäß Artikel 16 DORA einzuhalten haben. Diese Aufsichtsmitteilung betrifft nur die BAIT/VAIT, da keine Unternehmen, die unter die KAIT oder ZAIT fielen, von Artikel 16 DORA erfasst werden.

In einer Übersicht sind die Mindestvertragsinhalte aufgeführt, die beaufsichtigte Unternehmen mit IKT-Drittdienstleistern vereinbaren müssen. Sie enthält auch eine Spalte für die Anforderungen, die für die Unternehmen relevant sind, die (künftig) unter Artikel 16 DORA fallen.

Die Aufsichtsmitteilung zum regulären IKT-Risikomanagementrahmen und die zugehörige Übersicht zu den Dokumentationsanforderungen sind auch in englischer Sprache verfügbar.

Unter Fragen und Antworten sind häufige Fragestellungen zusammengefasst.

Zusatzinformationen

Delegierte Verordnung (EU) 2024/1774 der Kommission vom 13. März 2024 zur Ergänzung der Verordnung (EU) 2022/2554 des Europäischen Parlaments und des Rates durch technische Regulierungsstandards zur Festlegung der Tools, Methoden, Prozesse und Richtlinien für das IKT-Risikomanagement und des vereinfachten IKT-Risikomanagementrahmens (Art. 15 und Art. 16 Abs. 3)

Veranstaltung „IT-Aufsicht im Finanzsektor: Was bedeutet DORA in der Praxis?" vom 5. Dezember 2023

Fanden Sie den Beitrag hilfreich?

Wir freuen uns über Ihr Feedback

Es hilft uns, die Webseite kontinuierlich zu verbessern und aktuell zu halten. Bei Fragen, für deren Beantwortung wir Sie kontaktieren sollen, nutzen Sie bitte unser Kontaktformular.

Wir freuen uns über Ihr Feedback