BaFin - Navigation & Service

Springe direkt zu:

Datum: 17.07.2024Müssen auch KWG-Institute, die keine CRR-Kreditinstitute sind, die Anforderungen der DORA erfüllen?

Im Rahmen des Gesetzes über die Digitalisierung des Finanzmarktes (kurz FinmadiG) wird der § 1a Absatz 2 KWG neu gefasst und der Geltungsbereich für die Durchführung der DORA-Verordnung festgelegt. Zum Stand des Gesetzgebungsverfahren können Sie sich hier erkundigen: Gesetz über die Digitalisierung des Finanzmarktes

Im Dokumentations- und Informationssystem des Deutschen Bundestages (DIP - Gesetz über die Digitalisierung des Finanzmarktes (Finanzmarktdigitalisierungsgesetz - FinmadiG) (bundestag.de)) finden Sie die entsprechenden im Rahmen des parlamentarischen Verfahrens diskutierten Bestimmungen:

Art. 3 Nr. 3 FinmadiG: § 1a Absatz 2 wird wie folgt gefasst: „(2a) Für Institute, die nicht nach Artikel 2 der Verordnung (EU) 2022/2554 im Geltungsbereich der Verordnung (EU) 2022/2554 liegen, gelten die Vorgaben der Verordnung (EU) 2022/2554 und die Vorgaben der auf Grundlage der Verordnung (EU) 2022/2554 erlassenen Rechtsakte sowie die Bestimmungen dieses Gesetzes, die auf Vorgaben der Verordnung (EU) 2022/2554 verweisen so, als wären diese Institute CRR-Kreditinstitute. Abweichend von Satz 1 finden:

  1. Anstelle der Vorgaben der Artikel 5 bis 15 der Verordnung (EU) 2022/2554 die Vorgaben des vereinfachten Informations- und Kommunikationstechnologien-Risikomanagementrahmen nach Artikel 16 der Verordnung (EU) 2022/2554 Anwendung.
  2. Die Vorgaben an die Durchführung der bedrohungsgeleiteten Penetrationstests nach Artikel 26 und 27 der Verordnung (EU) 2022/2554 keine Anwendung.
  3. Die Vorgaben an das IKT-Drittparteienrisikomanagement nach Artikeln 28 bis 30 der Verordnung (EU) 2022/2554 auf Kleinstunternehmen im Sinne von Artikel 3 Nummer 60 der Verordnung (EU) 2022/2554 keine Anwendung.“

Art. 3 Nr. 18 FinmadiG: Nach § 65 wird folgender § 65a eingefügt: „[…] (3) § 1a Absatz 2a ist ab dem 01.01.2027 anzuwenden. Die Anforderungen an das Meldewesen nach Kapitel III der Verordnung (EU) 2022/2554 sind ab dem 17.01.2025 anzuwenden.“

Wenn der zitierte Gesetzentwurf wie vorgesehen in Kraft tritt, wird das Meldewesen ab dem 17.01.2025 von den betroffenen Instituten anzuwenden sein, und die übrigen DORA-Regelungen mit Ausnahme der bedrohungsgeleiteten Penetrationstests und – im Falle von Kleinstunternehmen - der Vorgaben für das IKT-Drittparteienrisiko ab dem 01.01.2027. Dabei gilt der vereinfachte IKT-Risikomanagementrahmen nach Art. 16 DORA.

Fanden Sie den Beitrag hilfreich?

Wir freuen uns über Ihr Feedback

Es hilft uns, die Webseite kontinuierlich zu verbessern und aktuell zu halten. Bei Fragen, für deren Beantwortung wir Sie kontaktieren sollen, nutzen Sie bitte unser Kontaktformular. Hinweise auf tatsächliche oder mögliche Verstöße gegen aufsichtsrechtliche Vorschriften richten Sie bitte an unsere Hinweisgeberstelle.

Wir freuen uns über Ihr Feedback