Frau Brüggemann, womit befasst sich die zweite Aufsichtsmitteilung der BaFin zur europäischen Verordnung DORA, dem Digital Operational Resilience Act?

Mit den Risiken, die mit Informations- und Kommunikationstechnologien (IKT) verbunden sind. Genauer gesagt: Mit unserer neuen Aufsichtsmitteilung geben wir vor allem kleineren und nicht komplexen Unternehmen Hinweise, wie sie die DORA-Anforderungen an den vereinfachten IKT‑Risikomanagementrahmen und das IKT‑Drittparteienrisikomanagement umsetzen können. Betroffen sind etwa 1.100 Unternehmen.

Wie bei unserer ersten Aufsichtsmitteilung zum regulären IKT‑Risikomanagementrahmen sind unsere Hinweise aber nicht verpflichtend. Wir machen mit der Aufsichtsmitteilung unsere Verwaltungspraxis transparent und wollen die Unternehmen bei der Umsetzung von DORA unterstützen. Die Unternehmen können selbst entscheiden, ob sie unsere Hinweise nutzen.

Was sind das denn genau für Unternehmen, die den vereinfachten IKT-Risikomanagementrahmen anwenden können?

Wir unterscheiden zwischen zwei Gruppen von Unternehmen. Profitieren werden in Deutschland zum einem gemäß DORA kleine Wertpapierinstitute und kleine Einrichtungen der betrieblichen Altersvorsorge.

Zum anderen sind durch das Finanzmarktdigitalisierungsgesetz Versicherungsholdings und die Institute betroffen, die nicht unter die Kapitaladäquanzverordnung CRR fallen.

Versicherungsholdings müssen die neuen Anforderungen seit Anfang 2025 anwenden. Die betroffenen Institute stellen erst später um. Für sie gelten bis zum 31. Dezember 2026 noch unsere BAIT, die Bankaufsichtlichen Anforderungen an die IT.

Wie ist die Aufsichtsmitteilung entstanden und wie profitieren die Unternehmen?

Unsere erste Aufsichtsmitteilung zu DORA ist sehr gut am Markt angekommen. Jetzt möchten wir auch die Unternehmen beim Übergang unterstützen, die die vereinfachten Anforderungen von Artikel 16 DORA anwenden. Wir führen dazu den bewährten Vergleich zwischen unseren Rundschreiben BAIT bzw. VAIT und DORA fort. Dieses Mal im Fokus: die Anforderungen an den vereinfachten IKT‑Risikomanagementrahmen und an das IKT‑Drittparteienrisikomanagement.

Zwischen unseren Rundschreiben und DORA gibt es Schnittmengen. Die Unternehmen, die unsere BAIT oder VAIT vollständig umgesetzt haben, sind schon gut auf DORA vorbereitet. Sie werden beim IKT‑Risikomanagementrahmen und in geringerem Umfang auch beim IKT‑Drittparteienrisikomanagement nun von Vereinfachungen profitieren. Das wollen wir deutlich machen.

Ich bin mir sicher, dass unsere Umsetzungshinweise mit dem Vergleich von BAIT bzw. VAIT mit DORA in der Praxis einen großen Mehrwert bieten.

Was heißt das konkret?

Der vereinfachte IKT-Risikomanagementrahmen von DORA fokussiert auf das IKT-Risikomanagement und die damit verbundenen Maßnahmen zur Stärkung der digitalen operationalen Resilienz. Im Vergleich dazu steht in BAIT und VAIT eher die Informationssicherheit im Zentrum. Die Akzente sind verschoben.

Beispielsweise fordert DORA keinen Informationssicherheitsbeauftragten, verzichtet auf Detailangaben bei Änderungen an IKT-Systemen und sieht kein Datensicherungskonzept vor. Eine Datensicherung wird zwar weiterhin gefordert. Dabei steht aber die technische Umsetzung im Vordergrund.

Außerdem müssen die Ziele der IKT-Geschäftsfortführung im vereinfachten IKT‑Risikomanagementrahmen in den IKT-Geschäftsfortführungsplänen dargestellt werden. Nach den BAIT sollen sie im Rahmen eines Notfallmanagements festgelegt werden, in den VAIT im Rahmen des IT-Notfallmanagements.

Die Anforderungen im vereinfachten IKT‑Risikomanagementrahmen sind natürlich auch weniger streng als die im regulären Rahmen. Das zeigen wir ebenfalls in unserer Aufsichtsmitteilung, indem wir die wesentlichen Unterschiede auch innerhalb von DORA darstellen.

Was sind denn die wesentlichen Unterschiede zwischen dem regulären und dem vereinfachten IKT-Risikomanagementrahmen in DORA  ?

Der vereinfachte IKT-Risikomanagementrahmen in Artikel 16 betont eher die aktiven Maßnahmen zur Stärkung der digitalen operationalen Resilienz als der breiter aufgestellte reguläre IKT‑Risikomanagementrahmen. Er setzt damit den in DORA vorgesehenen Grundsatz der Verhältnismäßigkeit direkt um.

Die Unternehmen sind im vereinfachten IKT-Risikomanagementrahmen beispielsweise nicht verpflichtet, eine Strategie für die digitale operationale Resilienz zu erstellen. Sie müssen auch nicht die Verantwortung für das Management und die Überwachung von IKT-Risiken einer Kontrollfunktion zuweisen. Damit nicht genug: DORA verlangt von den Unternehmen nicht, den vereinfachten IKT-Risikomanagementrahmen mindestens einmal jährlich zu dokumentieren und zu überprüfen, eine IKT-Geschäftsfortführungsleitlinie vorzuhalten oder redundante IKT-Kapazitäten zu unterhalten.

Diese Beispiele zeigen ganz deutlich, dass DORA die kleineren und weniger komplexen Unternehmen beim IKT‑Risikomanagement nicht übermäßig belastet, sondern risikoorientierte Anforderungen stellt.