Stand:geändert am 28.08.2025 IKT-Risikomanagement
Die BaFin informiert über Kapitel II, Artikel 5 bis 16 DORA
Für das IKT-Risikomanagement legt DORA in Kapitel II über die Finanzsektoren hinweg harmonisierte und einheitliche Anforderungen fest.
Diese Anforderungen sollen dazu beitragen, die Funktionsfähigkeit der Finanzunternehmen insbesondere hinsichtlich Cyber-Gefahren aufrechtzuerhalten bzw. gegebenenfalls wiederherzustellen. Damit sorgen sie dafür, dass die Finanzunternehmen eine für sie angemessene digitale operationale Resilienz erreichen – also so widerstands- und anpassungsfähig sind, dass sie ihre digitalen operationellen Prozesse auch während und nach einem Störungsfall aufrechterhalten können.
Anwendungsbereich
Bei der Anwendung von DORA im IKT-Risikomanagement wird zwischen dem regulären IKT-Risikomanagementrahmen gemäß Artikel 5 bis 15 DORA und dem vereinfachten IKT-Risikomanagementrahmen gemäß Artikel 16 DORA unterschieden.
IKT-Risikomanagementrahmen | Anwendung gemäß DORA | Anwendung gemäß FinmadiG |
|---|---|---|
| Artikel 5-15 DORA (regulärer IKT-Risikomanagementrahmen) | Artikel 2 DORA mit Ausnahme des Artikel 16 Absatz 1 Unterabsatz 1 DORA | KfW (§ 1 Absatz 1 S. 1 Nr. 4, § 2 Nr. 8, § 3 Nr. 16 18 KfWV) Landesförderbanken (§ 1a Absatz 2 KWG) |
| Artikel 16 DORA (vereinfachter IKT-Risikomanagementrahmen) | Kleine Wertpapierinstitute (Artikel 16 Absatz 1 i.V.m. Artikel 3 Nr. 34 i.V.m. Nr. 33 DORA) Kleine EbAV (Artikel 16 Absatz 1 i.V.m. Artikel 3 Nr. 53 i.V.m. Nr. 52 DORA) | Versicherungsholdings (§ 293 Absatz 5 i.V.m. Absatz 4 und § 7 Nr. 31 VAG) Nicht-CRR-Kreditinstitute (§ 1a Absatz 2a, § 65a Absatz 3 KWG) |
Regulärer IKT-Risikomanagementrahmen
Mit den Anforderungen im Bereich der Governance und Organisation etabliert DORA durch die erforderliche Einrichtung eines internen Governance- und Kontrollrahmens zur Gewährleistung eines umsichtigen Managements von IKT-Risiken einen zentralen Baustein zur Zielerreichung einer hohen digitalen Resilienz des Finanzunternehmens. Diese Bedeutung zeigt sich auch in der hervorgehobenen Rolle des Leitungsorgans im Verordnungstext: Diesem obliegt die Letztverantwortung für das Management der IKT-Risiken des Finanzunternehmens. Weiter fallen ihm wichtige Aufgaben wie die Gesamtverantwortung für die Festlegung und Genehmigung der Strategie für die digitale operationale Resilienz als auch die Zuweisung angemessener Budgetmittel für den regulären IKT-Risikomanagementrahmen zu. Darüber hinaus sind die Mitglieder des Leitungsorgans angehalten, ausreichende Kenntnisse und Fähigkeiten aktiv auf den neuesten Stand zu halten, um ihre Aufgaben adäquat wahrnehmen zu können.
Als zweiten Baustein soll ein solider, umfassender und gut dokumentierter regulärer IKT-Risikomanagementrahmen dazu beitragen, den IKT-Risiken, mit denen das Finanzunternehmen konfrontiert ist, angemessen zu begegnen. Als Bestandteil des Gesamtrisikomanagements wirkt der Rahmen sowohl präventiv als auch reaktiv und umfasst folgende Elemente:
- Identifizierung,
- Schutz und Prävention,
- Erkennung,
- Gegenmaßnahmen und Wiederherstellung,
- Lernen sowie
- Weiterentwicklung und Kommunikation.
Die mit den Elementen einhergehenden Anforderungen orientieren sich an internationalen, nationalen und branchenspezifischen bewährten Praxisverfahren (best practices) als auch Standards.
Ihre insgesamt standard- und technikneutralen Eigenschaften ermöglichen den Finanzunternehmen eine risikoorientierte und proportionale Umsetzung der Anforderungen.
Der Proportionalitätsgedanke, den DORA zentral in Artikel 4 mit dem Grundsatz der Verhältnismäßigkeit hervorhebt, zeigt sich darüber hinaus auch an einer anderen Stelle im IKT-Risikomanagement: Für bestimmte Finanzunternehmen sieht Artikel 16 DORA vereinfachte Anforderungen vor.
Vereinfachter IKT-Risikomanagementrahmen
Der vereinfachte Risikomanagementrahmen (Artikel 16 DORA) sieht für bestimmte Finanzunternehmen aufgrund ihrer Größe oder den von ihnen erbrachten Dienstleistungen weniger strenge Anforderungen vor. Für diese Finanzunternehmen stehen operative Maßnahmen für eine adäquate digitale operationale Resilienz im Vordergrund.
Dafür müssen diese Finanzunternehmen im Wesentlichen
- einen soliden und dokumentierten (vereinfachten) IKT-Risikomanagementrahmen errichten und aufrechterhalten,
- die Sicherheit und das Funktionieren aller IKT-Systeme fortlaufend überwachen,
- die Auswirkungen von IKT-Risiken minimieren,
- eine rasche Ermittlung und Aufdeckung der Ursachen von IKT-Risiken und Anomalien in den Netzwerk- und Informationssystemen sowie eine rasche Handhabung von IKT-Vorfällen ermöglichen und
- die Kontinuität kritischer oder wichtiger Funktionen durch Geschäftsfortführungspläne sowie Gegen- und Wiederherstellungsmaßnahmen, die zumindest Sicherungs- und Wiedergewinnungsmaßnahmen umfassen, gewährleisten.
Im Gegensatz zum regulären IKT-Risikomanagementrahmen sind sie aber beispielsweise nicht verpflichtet eine Strategie über die digitale operationale Resilienz zu erstellen, die Verantwortung für das Management und die Überwachung von IKT-Risiken einer Kontrollfunktion zuzuweisen, den vereinfachten IKT-Risikomanagementrahmen mindestens einmal jährlich zu dokumentieren und zu überprüfen, eine IKT-Geschäftsfortführungsleitlinie vorzuhalten oder redundante IKT-Kapazitäten zu unterhalten.
Strukturierte Übersichten zu Dokumentationsanforderungen
Die Unterschiede zwischen dem regulären und dem vereinfachten IKT‑Risikomanagementrahmen spiegeln sich analog auch in den Dokumentationsanforderungen wider:
Dokumentationsanforderungen regulärer IKT-Risikomanagementrahmen
Dokumentationsanforderungen vereinfachter IKT-Risikomanagementrahmen
Die BaFin informiert mit zwei Aufsichtsmitteilungen zur Umsetzung von DORA im IKT-Risikomanagement und IKT‑Drittparteienrisikomanagement
Die Aufsichtsmitteilungen sind nicht verpflichtende Hilfestellungen, die Unternehmen dabei unterstützen sollen, die Anforderungen aus DORA an das IKT-Risikomanagement (Artikel 5 – 15 bzw. 16 DORA) und das IKT‑Drittparteienrisikomanagement (Artikel 28 - 30 DORA) umzusetzen. Dabei berücksichtigen sie auch die einschlägigen technischen Regulierungsstandards.
Die Aufsichtsmitteilung von Juni 2024 unterstützt die Unternehmen bei der Umsetzung der DORA-Anforderungen an das reguläre IKT-Risikomanagement (Artikel 5 - 15 DORA) und das IKT-Drittparteienrisikomanagement (Artikel 28 - 30 DORA). Sie nimmt nur Bezug auf die Bankaufsichtlichen Anforderungen an die IT (BAIT) und die Versicherungsaufsichtlichen Anforderungen an die IT (VAIT). Die betrachteten Vorgaben sind jedoch häufig vergleichbar mit den Kapitalverwaltungsaufsichtlichen Anforderungen an die IT (KAIT) und den Zahlungsdiensteaufsichtlichen Anforderungen an die IT (ZAIT). Die Ergebnisse lassen sich also meist übertragen.
Die Aufsichtsmitteilung von August 2025 richtet sich dagegen insbesondere an die von der BaFin beaufsichtigten Unternehmen, die bisher unter die Anwendungsbereiche der BAIT oder VAIT gefallen sind – oder übergangsweise noch unter die BAIT fallen – und die Anforderungen an den vereinfachten IKT‑Risikomanagementrahmen gemäß Artikel 16 DORA einzuhalten haben. Diese Aufsichtsmitteilung betrifft nur die BAIT/VAIT, da keine Unternehmen, die unter die KAIT oder ZAIT fielen, von Artikel 16 DORA erfasst werden.
In einer Übersicht sind die Mindestvertragsinhalte aufgeführt, die beaufsichtigte Unternehmen mit IKT-Drittdienstleistern vereinbaren müssen. Sie enthält auch eine Spalte für die Anforderungen, die für die Unternehmen relevant sind, die (künftig) unter Artikel 16 DORA fallen.
Die Aufsichtsmitteilung zum regulären IKT-Risikomanagementrahmen und die zugehörige Übersicht zu den Dokumentationsanforderungen sind auch in englischer Sprache verfügbar.
Unter Fragen und Antworten sind häufige Fragestellungen zusammengefasst.
