Stand:geändert am 01.08.2025 IKT-Risikomanagement
Die BaFin informiert über Kapitel II, Artikel 5 bis 16 DORA
Für das IKT-Risikomanagement legt DORA in Kapitel II über die Finanzsektoren hinweg harmonisierte und einheitliche Anforderungen fest.
Diese Anforderungen sollen dazu beitragen, die Funktionsfähigkeit der Finanzunternehmen insbesondere hinsichtlich Cyber-Gefahren aufrechtzuerhalten bzw. gegebenenfalls wiederherzustellen. Damit sorgen sie dafür, dass die Finanzunternehmen eine für sie angemessene digitale operationale Resilienz erreichen – also so widerstands- und anpassungsfähig sind, dass sie ihre digitalen operationellen Prozesse auch während und nach einem Störungsfall aufrechterhalten können.
Anwendungsbereich
Bei der Anwendung von DORA im IKT-Risikomanagement wird zwischen dem regulären IKT-Risikomanagementrahmen gemäß Artikel 5 bis 15 DORA und dem vereinfachten IKT Risikomanagementrahmen gemäß Artikel 16 DORA unterschieden.
IKT-Risikomanagementrahmen | Anwendung gemäß DORA | Anwendung gemäß FinmadiG |
---|---|---|
Artikel 5-15 DORA (regulärer IKT-Risikomanagementrahmen) | Artikel 2 DORA mit Ausnahme des Artikel 16 Absatz 1 Unterabsatz 1 DORA | KfW (§ 1 Absatz 1 S. 1 Nr. 4, § 2 Nr. 8, § 3 Nr. 16 18 KfWV) Landesförderbanken (§ 1a Absatz 2 KWG) |
Artikel 16 DORA (vereinfachter IKT-Risikomanagementrahmen) | Kleine Wertpapierinstitute (Artikel 16 Absatz 1 i.V.m. Artikel 3 Nr. 34 i.V.m. Nr. 33 DORA) Kleine EbAV (Artikel 16 Absatz 1 i.V.m. Artikel 3 Nr. 53 i.V.m. Nr. 52 DORA) | Versicherungsholdings (§ 293 Absatz 5 i.V.m. Absatz 4 und § 7 Nr. 31 VAG) Nicht-CRR-Kreditinstitute (§ 1a Absatz 2a, § 65a Absatz 3 KWG) |
Regulärer IKT-Risikomanagementrahmen
Mit den Anforderungen im Bereich der Governance und Organisation etabliert DORA durch die erforderliche Einrichtung eines internen Governance- und Kontrollrahmens zur Gewährleistung eines umsichtigen Managements von IKT-Risiken einen zentralen Baustein zur Zielerreichung einer hohen digitalen Resilienz des Finanzunternehmens. Diese Bedeutung zeigt sich auch in der hervorgehobenen Rolle des Leitungsorgans im Verordnungstext: Diesem obliegt die Letztverantwortung für das Management der IKT-Risiken des Finanzunternehmens. Weiter fallen ihm wichtige Aufgaben wie die Gesamtverantwortung für die Festlegung und Genehmigung der Strategie für die digitale operationale Resilienz als auch die Zuweisung angemessener Budgetmittel für den regulären IKT-Risikomanagementrahmen zu. Darüber hinaus sind die Mitglieder des Leitungsorgans angehalten, ausreichende Kenntnisse und Fähigkeiten aktiv auf den neuesten Stand zu halten, um ihre Aufgaben adäquat wahrnehmen zu können.
Als zweiten Baustein soll ein solider, umfassender und gut dokumentierter regulärer IKT Risikomanagementrahmen dazu beitragen, den IKT-Risiken, mit denen das Finanzunternehmen konfrontiert ist, angemessen zu begegnen. Als Bestandteil des Gesamtrisikomanagements wirkt der Rahmen sowohl präventiv als auch reaktiv und umfasst folgende Elemente:
- Identifizierung,
- Schutz und Prävention,
- Erkennung,
- Gegenmaßnahmen und Wiederherstellung,
- Lernen sowie
- Weiterentwicklung und Kommunikation.
Die mit den Elementen einhergehenden Anforderungen orientieren sich an internationalen, nationalen und branchenspezifischen bewährten Praxisverfahren (best practices) als auch Standards.
Ihre insgesamt standard- und technikneutralen Eigenschaften ermöglichen den Finanzunternehmen eine risikoorientierte und proportionale Umsetzung der Anforderungen.
Der Proportionalitätsgedanke, den DORA zentral in Artikel 4 mit dem Grundsatz der Verhältnismäßigkeit hervorhebt, zeigt sich darüber hinaus auch an einer anderen Stelle im IKT-Risikomanagement: Für bestimmte Finanzunternehmen sieht Artikel 16 DORA vereinfachte Anforderungen vor.
Vereinfachter IKT-Risikomanagementrahmen
Der vereinfachte Risikomanagementrahmen (Artikel 16 DORA) sieht für bestimmte Finanzunternehmen aufgrund ihrer Größe oder den von ihnen erbrachten Dienstleistungen weniger strenge Anforderungen vor. Für diese Finanzunternehmen stehen operative Maßnahmen für eine adäquate digitale operationale Resilienz im Vordergrund.
Dafür müssen diese Finanzunternehmen im Wesentlichen
- einen soliden und dokumentierten (vereinfachten) IKT-Risikomanagementrahmen errichten und aufrechterhalten,
- die Sicherheit und das Funktionieren aller IKT-Systeme fortlaufend überwachen,
- die Auswirkungen von IKT-Risiken minimieren,
- eine rasche Ermittlung und Aufdeckung der Ursachen von IKT-Risiken und Anomalien in den Netzwerk- und Informationssystemen sowie eine rasche Handhabung von IKT-Vorfällen ermöglichen und
- die Kontinuität kritischer oder wichtiger Funktionen durch Geschäftsfortführungspläne sowie Gegen- und Wiederherstellungsmaßnahmen, die zumindest Sicherungs- und Wiedergewinnungsmaßnahmen umfassen, gewährleisten.
Im Gegensatz zum regulären IKT-Risikomanagementrahmen sind sie aber beispielsweise nicht verpflichtet eine Strategie über die digitale operationale Resilienz zu erstellen, die Verantwortung für das Management und die Überwachung von IKT-Risiken einer Kontrollfunktion zuzuweisen, den vereinfachten IKT-Risikomanagementrahmen mindestens einmal jährlich zu dokumentieren und zu überprüfen, eine IKT-Geschäftsfortführungsleitlinie vorzuhalten oder redundante IKT-Kapazitäten zu unterhalten.
Strukturierte Übersicht der Dokumentationsanforderungen
Eine Übersicht der Dokumentationsanforderungen für den regulären IKT-Risikomanagementrahmen zeigt in strukturierte Form die Anforderungen an die Dokumentation auf.
Die BaFin informiert mit einer Aufsichtsmitteilung zur Umsetzung von DORA im IKT-Risikomanagement und IKT-Drittparteienrisikomanagement
Die Aufsichtsmitteilung ist eine nicht verpflichtende Hilfestellung. Sie soll die Unternehmen dabei unterstützen, die Anforderungen aus DORA an das reguläre IKT-Risikomanagement (Artt. 5 - 15 DORA) und das IKT-Drittparteienrisikomanagement (Artt. 28 - 30 DORA) umzusetzen. Dabei berücksichtigt sie auch die einschlägigen technischen Regulierungsstandards. Die Umsetzungshinweise enthalten auch eine Übersicht der Mindestvertragsinhalte, die beaufsichtigte Unternehmen mit IKT-Drittdienstleistern vereinbaren müssen.
Die Umsetzungshinweise nehmen nur auf die BAIT und die VAIT Bezug. Die betrachteten Anforderungen sind jedoch häufig vergleichbar mit den aufsichtlichen Anforderungen an die Kapitalverwaltungsgesellschaften (KAIT) und an die Zahlungs- und E-Geld-Institute (ZAIT). Die Ergebnisse lassen sich also in der Regel übertragen.
Die Umsetzungshinweise sind auch in englischer Sprache verfügbar.
Unter Fragen und Antworten sind häufige Fragestellungen zusammengefasst.