Herr Kiefer, Sie haben am Regulatory Technical Standard des IKT-Risikomanagementrahmenwerks mitgearbeitet. Das Rahmenwerk gilt als Herzstück von DORA, dem Digital Operational Resilience Act. Warum?

Durch den Einsatz von Informations- und Kommunikationstechnologie (IKT) ergeben sich Risiken. Das IKT-Risikomanagementrahmenwerk ermöglicht Finanzunternehmen, diese Risiken systematisch zu identifizieren, zu bewerten und zu steuern. Das ist übrigens auch die Voraussetzung dafür, dass die Schutz- und Präventionsmaßnahmen, die anschließend umgesetzt werden, gut ineinandergreifen, angemessen und wirksam sind.

Was kommt mit dem IKT-Risikomanagementrahmenwerk genau auf die Finanzunternehmen zu?

Ein Ziel von DORA ist es, dass Finanzunternehmen die vollständige Kontrolle über IKT-Risiken behalten. Dazu werden die Anforderungen an das IKT-Risikomanagement in Europa harmonisiert. Die Unternehmen sollen ein umfangreiches IKT-Risikomanagement einführen. Darin enthalten sind viele Aspekte, die bereits aus unseren Rundschreiben, also den BAIT, VAIT, KAIT und ZAIT, bekannt sein dürften.

Heißt das, dass die deutschen Unternehmen nichts mehr zu tun brauchen, weil DORA die Rundschreiben 1:1 ersetzt?

Es gibt große Schnittmengen mit dem in DORA beschriebenen IKT-Risikomanagementrahmenwerk. Unternehmen, die unsere Rundschreiben bereits vollständig umgesetzt haben, sind daher meistens gut aufgestellt.

Was heißt das konkret?

Wir haben gemeinsam mit der Deutschen Bundesbank und der Industrie analysiert, wo die wichtigsten Gemeinsamkeiten und Unterschiede liegen. Die Ergebnisse haben wir zusammengetragen. Sie werden demnächst veröffentlicht. Aus den Unterschieden ergibt sich der Handlungsbedarf für die Unternehmen des Finanzmarkts.

Ein gemeinsamer Nenner ist die Proportionalität. Das war übrigens in den Verhandlungen mit den europäischen und den beteiligten nationalen Aufsichtsbehörden immer ein wichtiger Punkt für uns.

Was passiert mit diesen Rundschreiben, wenn DORA angewendet werden muss?

Wir wollen Doppelregulierung vermeiden. Deshalb werden wir diese Rundschreiben aufheben.

Was heißt Proportionalität in der Praxis?

Das IKT-Risikomanagementrahmenwerk schreibt vor, dass Finanzunternehmen bestimmte Anforderungen erfüllen müssen, aber nicht unbedingt, wie sie diese konkret umsetzen müssen. Darin liegt auch eine Chance für die Unternehmen: Sie können entscheiden, wie sie ihr IKT-Risikomanagement ausgestalten, was am besten zu ihrer Organisation passt.

Proportionalität ist übrigens keine Einbahnstraße: Die Aufsicht kann zum Beispiel bei Prüfungen entscheiden, welche Maßnahmen sie unter diesem Gesichtspunkt für angemessen umgesetzt hält.

Jan Kiefer, BaFin-IT-Aufsicht

© BaFin/Armin Höhner

Nicht alle deutschen Unternehmen des Finanzsektors müssen das reguläre IKT-Risikomanagementrahmenwerk, also Artikel 5 bis 15, anwenden, richtig?

Stimmt: Für manche Unternehmen des Finanzmarkts wird es ein vereinfachtes Risikomanagementrahmenwerk geben. Auch das ist Ausdruck der Proportionalität unter DORA.

Welche Unternehmen betrifft das?

Dazu zählen zum Beispiel kleine und so genannte nicht-verflochtene Wertpapier- und Finanzdienstleistungsinstitute. Das sind insgesamt circa 1.200 Finanzunternehmen, die unter das vereinfachte IKT-Risikomanagementrahmenwerk des Artikel 16 DORA fallen.

Das müssen Sie erklären.

Wie schon erwähnt: Der Grundsatz der Verhältnismäßigkeit ist für DORA wesentlich. Deswegen gibt es Ausnahmen für Kleinstunternehmen und einen vereinfachten IKT-Risikomanagementrahmen für bestimmte Finanzunternehmen. Artikel 16 DORA ist in seiner Struktur ähnlich dem allgemeinen Risikomanagementrahmenwerk aufgebaut, enthält aber deutlich weniger Anforderungen. Diese Minimalanforderungen sollen den ordnungsgemäßen Betrieb eines IKT-Risikomanagements gewährleisten.

Wo macht das vereinfachte IKT-Risikomanagementrahmenwerk denn Abstriche?

„Abstriche“ würde ich nicht sagen. Es stellt eher grundlegende, operative Anforderungen an Prozesse, Management und Governance. Anforderungen aus den oberen Ebenen einer Governance-Pyramide, wie etwa Strategien, Leitlinien und Richtlinien sowie Prozesse, gibt es nur für bestimmte Bereiche – etwa für die Informationssicherheit. Im Mittelpunkt des vereinfachten Rahmenwerks stehen die technische Cyber- und IT-Sicherheit bei den IT-Systemen und Daten.

Was raten Sie den Finanzunternehmen für die Umsetzung des IKT-Risikomanagementrahmens?

Ganz wichtig: Warten Sie nicht, sondern machen Sie sich jetzt startklar für DORA. Das IKT-Risikomanagementrahmenwerk schreibt vor, dass Sie bestimmte Maßnahmen ergreifen, aber nicht unbedingt, wie Sie diese konkret umsetzen sollen. Darin liegt auch eine Chance für die Unternehmen. An dieser Maßgabe orientieren wir uns auch bei künftigen Aufsichtshandlungen.

Haben Sie auch einen praktischen Tipp für die Unternehmen?

Es klingt vielleicht trivial, aber: Für die Umsetzung des IKT-Risikomanagementrahmenwerks könnte es zum Beispiel hilfreich sein, sich die Überschriften und Stichworte in den Artikeln von DORA und insbesondere des hierzu gehörenden Entwurfs des Regulatory Technical Standards anzuschauen und sich zu überlegen, welche Technologien und Prozesse dahinterstecken könnten. Damit erhält man erste Anhaltspunkte zu den Implementierungsanforderungen. Dann ist man schon auf einem guten Weg.