BaFin - Navigation & Service

Springe direkt zu:

IT-Aufsicht @AdobeStock_Kittiphat_269686664

Stand:geändert am 09.04.2025 DORA - Digital Operational Resilience Act

Inhalt

Mit DORA, der Verordnung (EU) 2022/2554 über die digitale operationale Resilienz im Finanzsektor (Digital Operational Resilience Act), hat die Europäische Union eine finanzsektorweite Regulierung für die Themen Cybersicherheit, IKT-Risiken und digitale operationale Resilienz geschaffen. Diese Verordnung trägt wesentlich dazu bei, den europäischen Finanzmarkt gegenüber Cyberrisiken und Vorfällen der Informations- und Kommunikationstechnologie (IKT) zu stärken.

Aktualisierungsübersicht

DatumAktualisierung
28.03.2025Aktualisierung der Fristen und Formate zur Einreichung der Informationsregister: Informationsregister und Anzeigepflichten
17.01.2025Veröffentlichung Fachartikel: Vorbereitung auf DORA: "Zacken zugelegt"
07.01.2025Veröffentlichung Fachartikel: Nicht jede Konzentration ist ein Risiko
10.01.2025schrittweise Aufhebung der BAIT ab dem 17.01.2025; Aufhebung von KAIT, VAIT, ZAIT und des Rundschreiben 03/2022 (BA) zum 17.01.2025
20.12.2024BaFin beabsichtigt unmittelbare Anwendung der Leitlinien zur Überwachung kritischer IKT-Drittdienstleister zum 17. Januar 2025
10.12.2024Aktualisierung der FAQ zu Technische Umsetzung
03.12.2024Veröffentlichung des ITS zum Informationsregister von der EU KOM; Durchführungsverordnung (EU) 2024/2956

Eine für alle(s)

So gut wie alle beaufsichtigten Institute und Unternehmen des europäischen Finanzsektors fallen unter DORA. Außerdem führt DORA verschiedene Anforderungen an die Institute und Unternehmen in puncto Cybersicherheit, IKT-Risiken und digitale operationale Resilienz zusammen.

Auch die BaFin und die Deutsche Bundesbank bereiten sich auf DORA vor - insbesondere durch Anpassung der Aufsichts- und Verwaltungspraxis und Implementierung von IT-Prozessen und -Systemen im Rahmen von DORA. So wird beispielsweise die Finanzaufsicht BaFin in Deutschland zum nationalen Melde-Hub für IKT-Vorfälle im Finanzsektor. Außerdem nimmt die BaFin Anzeigen im Rahmen des IKT-Drittparteienmanagements entgegen, zu denen die Institute und Unternehmen verpflichtet sind, und analysiert sie mit Blick auf potenzielle Risiken für den Finanzsektor.

Die BaFin unterstützt beaufsichtigte Unternehmen bei der Umsetzung von DORA – beispielsweise mit Veranstaltungen, Gesprächen mit Expertinnen und Experten und dieser Info-Seite. Hier stellt sie die wichtigsten Informationen zu DORA und der Umsetzung des Regelwerks zusammen. Die Website wird laufend aktualisiert und erweitert werden.

Veranstaltungshinweis:IT-Aufsicht im Finanzsektor: Was bedeutet DORA in der Praxis?

Am 06. März 2025 findet die BaFin-Veranstaltung "DORA: BaFin-Workshop zur Einreichung der Informationsregister" als digitale Veranstaltung statt.

Nähere Informationen finden Sie hier.

Am 26. September 2024 fand die zehnte BaFin-Veranstaltung „IT-Aufsicht im Finanzsektor“ als digitale Konferenz statt.


Nähere Informationen und Vortragsunterlagen finden Sie hier.

Informationen zu weiteren vergangenen Veranstaltungen finden Sie unter Zusatzinformationen.

Regelungsinhalt

DORA soll die digitale operationale Resilienz des gesamten europäischen Finanzsektors in diesen sechs wesentlichen Bereichen stärken:

Weitere Einzelheiten zu den entsprechenden sechs wesentlichen Bereichen von DORA finden Sie auf den oben verlinkten thematischen Unterseiten. Für Einzelheiten zur technischen Umsetzung von regulatorischen Anforderungen über die Melde-Und Veröffentlichungsplattform der BaFin beachten Sie bitte die Hinweise auf der Unterseite MVP Fachverfahren „Digital Operational Resilience Act (DORA)“.

DORA findet ab dem 17. Januar 2025 Anwendung.

Die drei Europäischen Aufsichtsbehörden – die EU-Wertpapieraufsichtsbehörde (European Securities and Markets AuthorityESMA), die EU-Bankenaufsichtsbehörde (European Banking AuthorityEBA) und die EU-Aufsichtsbehörde für das Versicherungswesen und die betriebliche Altersversorgung (European Insurance and Occupational Pensions AuthorityEIOPA), erarbeiten gemeinsam dazu technische Regulierungsstandards, Implementierungsstandards und Leitlinien, die die Anwendung von DORA in allen Sektoren weiter konkretisieren.

Neben DORA wurde zeitgleich eine DORA-Änderungsrichtlinie mit dem Ziel veröffentlicht, sektorale europäische Richtlinien konsistent mit den Anforderungen von DORA zu halten. So wurden beispielsweise TLPT unter DORA in den SREP-Prozess der Eigenkapitalrichtlinie (Capital Requirements DirectiveCRD) aufgenommen. Die DORA-Änderungsrichtlinie ändert die europäischen Richtlinien 2009/65/EG (OGAW-Richtlinie), 2009/138/EG (Solvency II), 2011/61/EU (AIFM-Richtlinie), 2013/36/EU (Eigenkapitalrichtlinie; CRD), 2014/59/EU (Abwicklungsrichtlinie), 2014/65/EU (MiFID II), (EU) 2015/2366 (PSD II) und (EU) 2016/2341 (EbAV-II-Richtlinie).

Zum Hintergrund

Das Europäische Parlament und der Europäische Rat haben am 14. Dezember 2022 DORA, die Verordnung (EU) 2022/2554 über die digitale operationale Resilienz im Finanzsektor (Digital Operational Resilience Act), beschlossen. Die Verordnung wurde am 27. Dezember 2022 im Amtsblatt der europäischen Union veröffentlicht und ist am 17. Januar 2023 in Kraft getreten. Ab dem 17. Januar 2025 wird sie angewendet.

Die Europäische Kommission hatte den Legislativvorschlag zu DORA am 24. September 2020 als Teil des Pakets zur Digitalisierung des Finanzsektors vorgelegt. Dieses Paket umfasst auch einen Rechtsakt über Märkte für Kryptowerte (Markets in Crypto-Assets Regulation – MiCAR), einen Vorschlag über eine Pilotregelung für auf Distributed-Ledger-Technologie (DLT) basierende Marktinfrastrukturen sowie eine Strategie für ein digitales Finanzwesen.

Übrigens: Der deutsche Finanzsektor und die Aufsicht sind grundsätzlich in einer guten Startposition für die Anwendbarkeit von DORA ab 2025. Denn einzelne Instrumente, die die BaFin in der Vergangenheit bereits geschaffen hat, um die IKT-Sicherheit des deutschen Finanzsektors zu erhöhen, finden sich in DORA wieder: harmonisierte Anforderungen an das IKT-Risikomanagement für die einzelnen Finanzsektoren (BAIT, ZAIT, VAIT, KAIT), vereinheitlichte Auslagerungsanzeigen, Überwachungsrahmen für IT-Mehrmandantendienstleister und vereinheitlichte Strukturen für das Meldewesen von IKT-bezogenen Vorfällen.

Umsetzung in Deutschland

Das Gesetz über die Digitalisierung des Finanzmarktes (Finanzmarktdigitalisierungsgesetz – FinmadiG) wurde am 27.12.2024 im Bundesgesetzblatt veröffentlicht und ist zwischenzeitlich in Kraft getreten. Dieses Gesetz dient der zusammengefassten Durchführung bzw. Umsetzung der Europäische Verordnung MiCA (Markets in Crypto Assets, Verordnung (EU) 2023/1114), der Neufassung der EU-Geldtransferverordnung (Transfer of Funds Regulation, Verordnung (EU) 2023/1113) sowie des europäischen DORA-Pakets (Digital Operational Resilience Act, Verordnung (EU) 2022/2554 und Richtlinie (EU) 2022/2556).

Weitere Informationen zur technischen Umsetzung von DORA bei der BaFin werden hier zur Verfügung gestellt.

Mehr zum Thema:Die BaFin informiert mit einer Aufsichtsmitteilung zur Umsetzung von DORA im IKT-Risikomanagement und IKT-Drittparteienrisikomanagement

Die Aufsichtsmitteilung ist eine nicht verpflichtende Hilfestellung. Sie soll die Unternehmen dabei unterstützen, die Anforderungen aus DORA an das reguläre IKT-Risikomanagement (Artt. 5 - 15 DORA) und das IKT-Drittparteienrisikomanagement (Artt. 28 - 30 DORA) umzusetzen. Dabei berücksichtigt sie auch die einschlägigen technischen Regulierungsstandards. Die Umsetzungshinweise enthalten auch eine Übersicht der Mindestvertragsinhalte, die beaufsichtigte Unternehmen mit IKT-Drittdienstleistern vereinbaren müssen.

Die Umsetzungshinweise nehmen nur auf die BAIT und die VAIT Bezug. Die betrachteten Anforderungen sind jedoch häufig vergleichbar mit den aufsichtlichen Anforderungen an die Kapitalverwaltungsgesellschaften (KAIT) und an die Zahlungs- und E-Geld-Institute (ZAIT). Die Ergebnisse lassen sich also in der Regel übertragen.

Die Umsetzungshinweise sind auch in englischer Sprache verfügbar.

Delegierte Rechtsakte und Durchführungsstandards zu DORA sowie gemeinsame Leitlinien (Level 2 und 3)

Die DORA-Verordnung bildet entsprechend dem im Finanzsektor üblichen Lamfalussy-Verfahren den Basisrechtsakt (Level 1), der weitergehende Ermächtigungen für delegierte Rechtsakte und Durchführungsstandards (Level 2) sowie gemeinsame Leitlinien der drei ESAs (EBA, EIOPA und ESMA) (Level 3) enthält und grundlegende Anforderungen festlegt.

Die verschiedenen delegierten Rechtsakte und Durchführungsstandards sowie gemeinsame Leitlinien (Level 2 und 3) konkretisieren die Anforderungen der DORA-Verordnung.

DORA - Level 2 und 3

KurztitelStatusLink
GL zu den geschätzten Kosten und Verlusten durch schwerwiegende IKT-bezogene Vorfälle (Art. 11 Abs. 11)von den ESAs veröffentlichtMitteilung der ESAs
RTS zur Festlegung der Tools, Methoden, Prozesse und Richtlinien für das IKT-Risikomanagement und des vereinfachten IKT-Risikomanagementrahmens (Art. 15 und Art. 16 Abs. 3)Im Amtsblatt der EU veröffentlichtAmtsblatt der EU zur delegierten Verordnung (EU) 2024/1774
RTS zur Festlegung der Kriterien für die Klassifizierung von IKT-bezogenen Vorfällen und Cyberbedrohungen, der Wesentlichkeitsschwellen und der Einzelheiten von Meldungen schwerwiegender Vorfälle (Art. 18 Abs. 4)Im Amtsblatt der EU veröffentlichtAmtsblatt der EU zur delegierten Verordnung (EU) 2024/1772
RTS zur Festlegung des Inhalts und der Fristen für die Erstmeldung, die Zwischenmeldung und die Abschlussmeldung schwerwiegender IKT-bezogener Vorfälle sowie des Inhalts der freiwilligen Meldung erheblicher Cyberbedrohungen (Art. 20.a)Im Amtsblatt der EU veröffentlichtAmtsblatt der EU zur delegierten Verordnung (EU) 2025/301
ITS zur Festlegung von Standardformularen, Vorlagen und Verfahren für Finanzunternehmen zur Meldung eines schwerwiegenden IKT-bezogenen Vorfalls oder einer erheblichen Cyberbedrohung (Art. 20.b)Im Amtsblatt der EU veröffentlichtAmtsblatt der EU zur Durchführungsverordnung (EU) 2025/302
RTS zu Threat Led Penetration Testing (Art. 26 Abs.11)Entwurf von der Kommission angenommenMitteilung der KOM
ITS zur Erstellung einer Standardvorlage für das Informationsregister (Art. 28 Abs.9)Im Amtsblatt der EU veröffentlichtAmtsblatt der EU zur Durchführungsverordnung (EU) 2024/2956
RTS zur Spezifizierung des detaillierten Inhalts der Leitlinie für vertragliche Vereinbarungen über die Nutzung von IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen, die von IKT-Drittdienstleistern bereitgestellt werden (Art. 28 Abs. 10)Im Amtsblatt der EU veröffentlichtAmtsblatt der EU zur delegierten Verordnung (EU) 2024/1773
RTS zur Spezifizierung der Elemente, die ein Finanzunternehmen bestimmen und bewerten muss, wenn es IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen untervergeben hat (Art. 30 Abs. 5)Entwurf von Kommission zurückgewiesen

Mitteilung der KOM

Einzelheiten zum delegierten Rechtsakt

Delegierte Verordnung zu den Kriterien zur Festlegung der Kriterien für die Einstufung von IKT-Drittdienstleistern als für Finanzunternehmen (Art. 31 Abs. 6)Im Amtsblatt der EU veröffentlichtAmtsblatt der EU zur delegierten Verordnung (EU) 2024/1502
GL für die Zusammenarbeit bei der Überwachung und den Informationsaustausch zwischen den ESAs und den zuständigen Behörden (Art. 32 Abs. 7)von den ESAs veröffentlichtMitteilung der ESAs
RTS zur Harmonisierung der Bedingungen für die Durchführung von Überwachungstätigkeiten (Art. 41 Abs. 1 lit. a, b, d i.V.m. Art. 41 Abs. 2)Im Amtsblatt der EU veröffentlichtAmtsblatt der EU zur delegierten Verordnung (EU) 2025/295
RTS zu der Zusammensetzung der JETs (Art. 41 Abs. 1 lit.c i.V.m. Art 41 Abs. 2)Im Amtsblatt der EU veröffentlichtAmtsblatt der EU zur delegierten Verordnung (EU) 2025/420
Delegierte Verordnung zur Festlegung der Höhe der von der federführenden Überwachungsbehörde bei kritischen IKT-Drittdienstleistern zu erhebenden Überwachungsgebühren und der Art und Weise der Entrichtung dieser Gebühren (Art. 43 Abs. 2)Im Amtsblatt der EU veröffentlichtAmtsblatt der EU zur delegierten Verordnung (EU) 2024/1505

In der dargestellten Tabelle werden der übersichthalber die folgenden Arten von Rechtstexten unterschieden:

Level-2-Texte:

  • RTS (Regulatory Technical Standard) = Technischer Regulierungsstandard (diese sind auch delegierte Verordnungen)
  • ITS (Implementing Technical Standard) = Durchführungsstandard

Level-3-Texte:

  • GL (Guidelines) = Leitlinien

Aufgrund des finanzsektorübergreifenden Charakters der DORA sind alle drei ESAs gemeinsam beauftragt worden Entwürfe für die technischen Regulierungs- und Durchführungsstandards der EU-Kommission vorzulegen.

RTS und ITS, die bisher als finale Berichte der Entwürfe durch die ESAs vorliegen, werden im weiteren Prozess von der Europäischen Kommission noch angenommen und geprüft bevor sie im Amtsblatt der EU veröffentlicht werden.

Auf den thematischen Unterseiten dieser Informationsseite finden Sie teilweise weitergehende Informationen zu den einzelnen Rechtstexten.

DORA: Veröffentlichungen der BaFin

DORA: Was müssen Sie wissen?

Sollten Sie Fragen rund um das Thema DORA haben, wenden Sie sich bitte an unser zentrales Funktionspostfach:

Kontakt:Fra­gen rund um DO­RA

E-Mail: DORA@bafin.de

Auslegungsfragen zur europäischen Verordnung DORA und den delegierten Rechtsakten und Durchführungsstandards können bei den europäischen Aufsichtsbehörden (EBA, EIOPA und ESMA) über die bestehenden Prozesse zu Questions & Answers (Q&A) eingereicht werden.
Beantwortete Fragen können entweder auf den einzelnen Seiten der ESAs eingesehen werden (EIOPA Search QAs - European Union (europa.eu), EBA Search for Q&As | European Banking Authority (europa.eu), ESMA Search a question | European Securities and Markets Authority (europa.eu)) oder in dem Dashboard für Joint-Q&As (hier: joint Q&As (europa.eu)).

Außerdem vermittelt der Fragenkatalog zu DORA, ohne Anspruch auf Vollständigkeit, einen ersten Überblick über die wichtigsten Fragestellungen zu DORA und deren Umsetzung. Dieser Fragenkatalog wird fortlaufend aktualisiert. Themenspezifische Fragen finden Sie auf den jeweiligen Unterseiten.

Für welche Unternehmen gilt DORA?

DORA ist eine finanzsektorübergreifende europäische Verordnung und bündelt und harmonisiert Regelungen bestehender sektoraler europäischer Verordnungen und Richtlinien.

In den Geltungsbereich der europäischen Verordnung DORA fallen (Artikel 2 Absatz 1 DORA):

a) CRR-Kreditinstitute,
b) Zahlungsinstitute,
c) Kontoinformationsdienstleister,
d) E-Geld-Institute,
e) Wertpapierfirmen,
f) Anbieter von Krypto-Dienstleistungen, die gemäß der Verordnung des Europäischen Parlaments und des Rates über Märkte von Krypto-Werten (MiCAR) zugelassen sind, und Emittenten wertreferenzierter Token,
g) Zentralverwahrer,
h) zentrale Gegenparteien,
i) Handelsplätze,
j) Transaktionsregister,
k) Verwalter alternativer Investmentfonds,
l) Verwaltungsgesellschaften
m) Datenbereitstellungsdienste,
n) Versicherungs- und Rückversicherungsunternehmen,
o) Versicherungsvermittler, Rückversicherungsvermittler und Versicherungsvermittler in Nebentätigkeit,
p) Einrichtungen der betrieblichen Altersversorgung,
q) Ratingagenturen,
r) Administratoren kritischer Referenzwerte,
s) Schwarmfinanzierungsdienstleister,
t) Verbriefungsregister
u) IKT-Dienstleister

Ausnahmen gelten für die folgenden Unternehmen (Artikel 2 Absatz 3 DORA):

a) Verwalter alternativer Investmentfonds im Sinne von Artikel 3 Absatz 2 der Richtlinie 2011/61/EU;
b) Versicherungs- und Rückversicherungsunternehmen im Sinne von Artikel 4 der Richtlinie 2009/138/EG;
c) Einrichtungen der betrieblichen Altersversorgung, die Altersversorgungssysteme mit insgesamt weniger als 15 Versorgungsanwärtern betreiben;
d) gemäß den Artikeln 2 und 3 der Richtlinie 2014/65/EU ausgenommene natürliche oder juristische Personen;
e) Versicherungsvermittler, Rückversicherungsvermittler und Versicherungsvermittler in Nebentätigkeit, bei denen es sich um Kleinstunternehmen oder kleine oder mittlere Unternehmen handelt;
f) Postgiroämter im Sinne von Artikel 2 Absatz 5 Nummer 3 der Richtlinie 2013/36/EU.

Müssen auch KWG-Institute, die keine CRR-Kreditinstitute sind, die Anforderungen der DORA erfüllen?

Im Rahmen des Gesetzes über die Digitalisierung des Finanzmarktes (kurz FinmadiG) wurde unter anderem der Geltungsbereich für die Durchführung der DORA-Verordnung festgelegt.

§ 1a Absatz 2a KWG wurde wie folgt neu gefasst:
„Für Institute, die nicht nach Artikel 2 der Verordnung (EU) 2022/2554 im Geltungsbereich der Verordnung (EU) 2022/2554 liegen, gelten die Vorgaben der Verordnung (EU) 2022/2554 und die Vorgaben der auf Grundlage der Verordnung (EU) 2022/2554 erlassenen Rechtsakte sowie die Bestimmungen dieses Gesetzes, die auf Vorgaben der Verordnung (EU) 2022/2554 verweisen so, als wären diese Institute CRR-Kreditinstitute. Abweichend von Satz 1 finden
1. anstelle der Vorgaben der Artikel 5 bis 15 der Verordnung (EU) 2022/2554 die Vorgaben des vereinfachten Informations- und Kommunikationstechnologien-Risikomanagementrahmens nach Artikel 16 der Verordnung (EU) 2022/2554 Anwendung,
2. die Vorgaben an die Durchführung der bedrohungsgeleiteten Penetrationstests nach den Artikeln 26 und 27
der Verordnung (EU) 2022/2554 keine Anwendung,
3. die Vorgaben an das IKT-Drittparteienrisikomanagement nach den Artikeln 28 bis 30 der Verordnung (EU) 2022/2554 auf Kleinstunternehmen im Sinne von Artikel 3 Nummer 60 der Verordnung (EU) 2022/2554 keine Anwendung.“

Es wurde ein neuer § 65a KWG eingefügt:
„[…] (3) § 1a Absatz 2a ist ab dem 1. Januar 2027 anzuwenden. Die Anforderungen an das Meldewesen nach Kapitel III der Verordnung (EU) 2022/2554 sind ab dem 17. Januar 2025 anzuwenden.“

Das Meldewesen ist ab dem 17.01.2025 von den betroffenen Instituten anzuwenden. Die übrigen DORA-Regelungen sind mit Ausnahme der bedrohungsgeleiteten Penetrationstests und – im Falle von Kleinstunternehmen - der Vorgaben für das IKT-Drittparteienrisiko ab dem 01.01.2027 anzuwenden. Dabei gilt der vereinfachte IKT-Risikomanagementrahmen nach Art. 16 DORA.

Ab wann wird DORA angewendet?

Die Regelungen von DORA sind ab dem 17. Januar 2025 anwendbar.

Wird es Übergangsfristen im Rahmen von DORA geben?

Die Verordnung ist am 16. Januar 2023 in Kraft getreten und findet nun nach einer zweijährigen Übergangszeit ab dem 17. Januar 2025 Anwendung. Eine weitere Übergangsfrist wird es nicht geben.

Was passiert bei einer Prüfung am 1.2.2025, wenn die Delegierten Rechtsakte und Durchführungsrechtsakte zu DORA verspätet in Kraft treten und die Finanzunternehmen die Anforderungen nicht rechtzeitig umsetzen können?

Uns sind keine Abweichungen vom Zeitplan bekannt. Die Entwicklung der technischen Regulierungsstandards (RTS) und technischen Durchführungsstandards (ITS) sowie die Übermittlung an die Kommission fanden zeitgerecht statt. DORA ist ab dem 17. Januar 2025 anzuwenden, weshalb Prüfungen ab diesem Zeitpunkt daher auf Grundlage der Anforderungen der DORA durchgeführt werden. Übergangfristen sind für das IKT-Drittparteienrisikomanagement nicht vorgesehen.

Wird es eine zentral gültige Übersetzung von DORA und der nachgeordneten Rechtsakte und Durchführungsrechtsakte geben?

Ja, eine Übersetzung der Rechtstexte erfolgt durch die Europäische Kommission in allen Amtssprachen der Europäischen Mitgliedstaaten und wird gemeinsam mit dem englischen Dokument auf der Internetseite der Europäischen Kommission veröffentlicht. Die Übersetzung der DORA beispielsweise ist hier abrufbar.

Wird es seitens der BaFin Konkretisierungsrundschreiben zu DORA geben?

Da es sich bei der DORA um eine europäische Verordnung handelt, haben die nationalen Aufsichtsbehörden keine eigene Regelungskompetenz. Demnach erfolgen Konkretisierungen auf europäischer Ebene insbesondere über die Delegierten Verordnungen, technischen Regulierungsstandards (RTS) und technischen Durchführungsstandards (ITS) sowie Leitlinien.

In welchem Verhältnis stehen die DORA-Regelungen zur NIS-2-Richtlinie (Verordnung (EU) 2022/2554)?

DORA ist gemäß ihrem Art. 1 Abs. 2 in Bezug auf Finanzunternehmen ein sektorspezifischer Rechtsakt der Union i.S.d. Art. 4 der NIS-2-Richtlinie. Dies bedeutet, dass die Vorgaben der DORA Anwendungsvorrang gegenüber den NIS-2-Vorgaben zum Cybersicherheitsrisikomanagement und zum Meldewesen für erhebliche Sicherheitsvorfälle haben und diese insoweit verdrängen. Da es sich beim der NIS-2-Richtlinie um eine europäische Richtlinie handelt, muss diese in nationales Recht umgesetzt werden. Dazu bereitet die Bundesregierung unter Federführung des Bundesministeriums des Innern und für Heimat (BMI) ein Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung (NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz) vor. Informationen zum Stand des Gesetzgebungsverfahren erhalten Sie hier.

Für wen gelten die BAIT jetzt (ab dem 17.01.2025) noch?

Mit dem Beginn der Anwendung von DORA am 17.01.2025 wurde der Anwendungsbereich der BAIT angepasst. Für alle Aufsichtsobjekte, die 1. bisher die BAIT angewendet haben und 2. (noch) kein IKT-Risikomanagement nach DORA betreiben müssen gelten die BAIT weiterhin. Das betrifft zum einen (I.) Aufsichtsobjekte, die durch das FinmadiG der DORA unterworfen wurden und während einer Übergangsfrist bis zum 01.01.2027 lediglich den Meldepflichten unterliegen, und zum anderen (II.) solche, die gar nicht von DORA erfasst werden.

I.

Unter das FinmadiG und die Übergangsregelung des § 1a Abs. 2a iVm § 65a Abs. 3 KWG (Neufassung gemäß FinmadiG) fallen vor allem:

  • Bürgschaftsbanken,
  • Drittstaatenzweigstellen,
  • Finanzdienstleistungsinstitute (insbesondere Finanzierungsleasing- und Factoringinstitute, Kryptowertpapierregisterführer
  • Wohnungsunternehmen mit Spareinrichtung,
  • Zweigstellen nach § 53 KWG (Stand: Januar 2025).

Ab dem 01.01.2027 müssen diese Aufsichtsobjekte auch ein IKT-Risikomanagement nach Art. 16 DORA betreiben und werden damit ab diesem Datum nicht mehr von den BAIT erfasst. (Wer das Einlagen- und Kreditgeschäft erbringt, ist ein CRR-Kreditinstitut und fällt nach Art. 2 Abs. 1 lit. a DORA seit dem 17.01.2025 unter DORA).

II.

Zu den Aufsichtsobjekten, die weder jetzt unter DORA fallen noch sich derzeit in einer Übergangsfrist befinden und ab 01.01.2027 DORA anwenden müssen, gehören beispielsweise Finanzholdings. Für sie gelten die BAIT ebenfalls.

Zusatzinformationen

Rechtsgrundlagen

Mehr zum Thema

Finanzmarktdigitalisierungsgesetz

BaFin-Veranstaltung „IT-Aufsicht im Finanzsektor: Was bedeutet DORA in der Praxis?“ (26.09.2024)

BaFin-Workshops „DORA Informationsregister“ (21.06.2024)

BaFin-Workshop „DORA für IKT-Drittdienstleister“ (29.02.2024)

BaFin-Veranstaltung „IT-Aufsicht im Finanzsektor: Was bedeutet DORA in der Praxis?“ (05.12.2023)

Fanden Sie den Beitrag hilfreich?

Wir freuen uns über Ihr Feedback

Es hilft uns, die Webseite kontinuierlich zu verbessern und aktuell zu halten. Bei Fragen, für deren Beantwortung wir Sie kontaktieren sollen, nutzen Sie bitte unser Kontaktformular.

Wir freuen uns über Ihr Feedback