Mit ihrer neuen Aufsichtsmitteilung hilft die BaFin Unternehmen, die Anforderungen des Digital Operational Resilience Act (DORA) an den vereinfachten Risikomanagementrahmen zur Informations- und Kommunikationstechnologie (IKT) (Artikel 16 DORA) und das IKT‑Drittparteienrisikomanagement (Artikel 28-30 DORA) umzusetzen. Dabei berücksichtigt sie auch die einschlägigen technischen Regulierungsstandards.

Mit ihrer Aufsichtsmitteilung zu DORA richtet sich die BaFin an zwei Gruppen von Unternehmen:

• Sie wendet sich an Institute unter ihrer Aufsicht, die nicht unter die Kapitaladäquanzverordnung (Capital Requirements Regulation – CRR) fallen. Diese Institute wenden ab Januar 2027 die Vorgaben zum vereinfachten IKT-Risikomanagementrahmen und IKT‑Drittparteienrisikomanagement an. Diese ersetzen die Bankaufsichtlichen Anforderungen an die IT (BAIT).
• Und sie wendet sich an kleine Einrichtungen der betrieblichen Altersvorsorge (EbAV), kleine Wertpapierinstitute und Versicherungsholdings. Diese Unternehmen wenden Artikel 16 DORA bereits seit Anfang 2025 an. Sie müssen ihre IKT-Risiken gemäß den vereinfachten DORA-Anforderungen managen.

Transparenz durch Vergleich

In ihren Umsetzungshinweisen vergleicht die BaFin die Bankaufsichtlichen und die Versicherungsaufsichtlichen Anforderungen an die IT (BAIT und VAIT) mit den Anforderungen aus Artikel 16 und den Artikeln 28-30 DORA.

Vor allem bei den Anforderungen an den vereinfachten IKT-Risikomanagementrahmen sieht DORA zum Teil weitreichende Vereinfachungen vor. Beim IKT‑Drittparteienrisikomanagement fallen die Vereinfachungen geringer aus, aber auch hier können die Unternehmen von vereinfachten Anforderungen profitieren.

Um auf wesentliche Vereinfachungen in DORA aufmerksam zu machen, zieht die BaFin in ihrer Aufsichtsmitteilung auch den Vergleich zwischen den Anforderungen des regulären und des vereinfachten IKT-Risikomanagementrahmens sowie des IKT-Drittparteienrisikomanagements. Zudem hat sie die Liste der Mindestvertragsbestandteile um eine Spalte erweitert; dort sind nun die Vereinfachungen für diejenigen Unternehmen dargestellt, die unter Artikel 16 DORA fallen.

Dokumentationsanforderungen zu Artikel 16 DORA

Ergänzend zur Aufsichtsmitteilung hat die BaFin eine Übersicht zu den Dokumentationsanforderungen an Finanzunternehmen gemäß Artikel 16 DORA erstellt (siehe Zusatzinformationen).

Die Hinweise dieser Aufsichtsmitteilung beziehen sich nur auf BAIT und VAIT. Sie sind nicht relevant für Unternehmen, die unter die Zahlungsdiensteaufsichtlichen oder Kapitalverwaltungsaufsichtlichen Anforderungen an die IT (ZAIT oder KAIT) fielen. Sie werden von Artikel 16 DORA nicht erfasst.

DORA als sektorübergreifendes Regelwerk

Die Europäische Union hat mit DORA eine finanzsektorübergreifende, europäische Regulierung für die Themen digitale operationale Resilienz, IKT-Risiken und Cybersicherheit geschaffen. Allgemeine Informationen zu DORA finden Sie auf der Website der BaFin.

Über den Hintergrund der neuen Aufsichtsmitteilung berichtet Silke Brüggemann von der BaFin-IT-Aufsicht in einem Interview.