Frau Land, Frau Leitterstorf, Sie haben sich 2024 intensiv mit dem Digital Operational Resilience Act (DORA) auseinandergesetzt. Die Übersicht zu den Dokumentationsanforderungen stammt von Ihnen. Was ist der Hintergrund?

Melanie Land (auf dem Foto rechts): DORA enthält viele Dokumentationsanforderungen für die Unternehmen – in der Verordnung selbst, aber auch in den dazugehörigen Technischen Regulierungs- und Durchführungsstandards (Regulatory Technical Standards – RTS und Implementing Technical Standards – ITS). Diese Anforderungen finden ab dem 17. Januar 2025 Anwendung. Von da an prüft die BaFin dann auch, ob die Unternehmen sie erfüllen.

Sandra Leitterstorf: Wir haben festgestellt, dass die DORA-Dokumentationsanforderungen sehr vielfältig sind. Außerdem sind sie in den unterschiedlichen Rechtstexten verstreut. Wir wollten die Anforderungen gerne so darstellen, dass sie möglichst auf einen Blick erfasst werden können – um den Finanzunternehmen, aber auch uns als Aufsicht die Arbeit mit den Rechtstexten zu erleichtern. Deshalb haben wir eine strukturierte Übersicht erstellt. Ich denke, sie bietet allen Beteiligten einen Mehrwert.

Wie sind Sie dabei vorgegangen?

Leitterstorf: DORA hat ja eine bestimmte Struktur und enthält selbst bereits einige Anforderungen. Bei den Technischen Regulierungs- und Durchführungsstandards haben wir geschaut: Was fordern sie? Dann haben wir sie den Themen aus DORA zugeordnet.

Land: Vielleicht noch eine Ergänzung zum Vorgehen, die auch für das Verständnis der Übersicht wichtig ist: Einige detailliertere Anforderungen leiten sich von übergeordneten Themen ab. Zum Beispiel soll die IKT-Geschäftsfortführungsleitlinie, die DORA fordert, ein fester Bestandteil der allgemeinen Geschäftsfortführungsleitlinie des Unternehmens sein. In der Übersicht wird der Bezug der beiden Dokumente zueinander durch einen blauen Kasten angezeigt, der sich in einem braunen Kasten befindet.

Sind die Dokumentationsanforderungen alle neu?

Land: Nein, nicht alle sind neu. Viele Dokumentationsanforderungen gibt es schon lange, etwa in unseren Rundschreiben, den aufsichtlichen Anforderungen an die IT von Banken, Versicherern und anderen Beaufsichtigten. Die BaFin hat mit diesen Rundschreiben schon früh Akzente gesetzt, indem sie Anforderungen an die IT-Sicherheit für die einzelnen Finanzsektoren harmonisiert hat. Die BaFin plant, diese Rundschreiben aufzuheben – um Komplexität und Doppelregulierung zu vermeiden. DORA verwendet bei einigen Anforderungen bloß andere Begrifflichkeiten als unsere Rundschreiben, andere Anforderungen wurden nur ergänzt. Aber klar: Manche Themen sind auch komplett neu.

Leitterstorf: Ein gutes Beispiel für eine Änderung ist die IKT-Geschäftsfortführungsleitlinie. Darüber haben wir ja eben schon gesprochen. Bisher mussten Unternehmen dokumentieren, dass sie ein (IT-)Notfallmanagement haben. Sie mussten es unter anderem in einem (IT-)Notfallkonzept beschreiben. Unter DORA sprechen wir jetzt vom IKT-Geschäftsfortführungsmanagement. Das ähnelt dem Business Continuity Management (BCM), das viele Unternehmen kennen dürften, konzentriert sich aber auf IKT-Aspekte.

Müssen die Unternehmen all diese Dokumente bei der BaFin einreichen?

Leitterstorf: Nein, für die Dokumente, die wir in der Übersicht aufgeführt haben, gibt es gegenüber der BaFin grundsätzlich keine Einreichungspflichten – mit Ausnahme des Informationsregisters. Natürlich gibt es unter DORA auch Meldepflichten, die sind aber nicht Gegenstand der Übersicht. Wichtig ist, dass die Unternehmen die Dokumentation erstellen – und dass sie DORA auch leben. Denn darauf kommt es schließlich an, dass sie die Anforderungen aus DORA wirklich umsetzen.

Land: Wenn die Unternehmen diese Dokumente erstellen, sollten sie aber auch den Grundsatz der Verhältnismäßigkeit berücksichtigen, also Artikel 4 DORA. Das heißt: Die Ausgestaltung und vor allem der Umfang der Dokumentation sollten zur Größe und zum Gesamtrisikoprofil des Unternehmens passen.

Ist die Übersicht denn verpflichtend?

Land: Nein, sie ist einfach eine Hilfestellung, die nicht verpflichtend ist. Wir hoffen aber, dass sich die Finanzunternehmen damit einen schnellen Überblick über die Dokumentationsanforderungen aus DORA verschaffen können.

Leitterstorf: Sonderregelungen, zum Beispiel für Kleinstunternehmen oder auch zum Threat-led Penetration Testing, sind in der Übersicht allerdings nicht enthalten. Die BaFin hat mit der Übersicht auch keine verbindliche Auslegung vorgenommen. Die Übersicht soll einfach für alle Beteiligten eine Orientierungshilfe sein.