Frau Kosche-Steinbrecher, worum geht es in der Aufsichtsmitteilung zu DORA, dem Digital Operational Resilience Act?

Wir geben darin Hinweise, wie die Unternehmen die DORA-Anforderungen an das Informations- und Kommunikationstechnologie (IKT)-Risikomanagement und an das IKT-Drittparteienrisikomanagement umsetzen können. Wichtig ist: Die Umsetzungshinweise sind nicht verpflichtend. Den Unternehmen steht es frei, sie zu nutzen – oder eben auch nicht.

Bisher sind solche Anforderungen in Rundschreiben der BaFin enthalten.

Genau, zum Beispiel in den bankaufsichtlichen und versicherungsaufsichtlichen Anforderungen an die IT, kurz BAIT und VAIT. In diesen Rundschreiben macht die BaFin schon seit Langem deutlich, was sie in Sachen IT-Risikomanagement von den Banken bzw. den Versicherern und Pensionsfonds erwartet.

Wie ist die Aufsichtsmitteilung entstanden?

Wir haben die BAIT und die VAIT mit den Anforderungen aus DORA an das IKT-Risikomanagement und an das IKT-Drittparteienrisikomanagement verglichen. Diese Anforderungen sind wichtige Bestandteile von DORA. Zwischen unseren Rundschreiben und den Anforderungen aus DORA gibt es große Schnittmengen. Die Unternehmen, die unsere Rundschreiben vollständig umgesetzt haben, sind daher meistens gut aufgestellt.

…aber?

Es gibt natürlich Unterschiede zwischen diesen Regelwerken. Diese haben wir analysiert. Das Ergebnis sind unsere Umsetzungshinweise für die beaufsichtigten Unternehmen. Sie sind, wie schon gesagt, nicht verpflichtend, aber ich gehe davon aus, dass sie in der Praxis einen großen Mehrwert bieten – nicht zuletzt, weil die Industrie intensiv daran mitgearbeitet hat.

Was heißt das konkret?

Vergangenes Jahr haben wir sechs Arbeitsgruppen eingerichtet. Mit dabei waren Vertreterinnen und Vertreter der Industrie, der Deutschen Bundesbank und der BaFin. Jede Arbeitsgruppe hat einen Themenkomplex behandelt – deshalb ist unsere Aufsichtsmitteilung in sechs Abschnitte unterteilt. Die Arbeitsgruppen haben die Unterschiede zwischen den BAIT und VAIT und DORA herausgearbeitet und daraus abgeleitet, was das für die betroffenen Unternehmen bedeuten kann.

Wie ging es dann weiter?

Mein Team aus der IT-Aufsicht hat die Arbeitsergebnisse gebündelt. Die Arbeitsgruppen hatten unabhängig voneinander gearbeitet. Deshalb mussten wir deren Ergebnisse aufeinander abstimmen und einige Dopplungen und Widersprüche beseitigen. Zum Schluss haben wir die Aufsichtsmitteilung allen Beteiligten zur Kommentierung gegeben. Damit haben wir noch mehr Transparenz hergestellt. Das Feedback war sehr positiv, das hat uns sehr gefreut.

Die Juristin Ira Kosche-Steinbrecher leitet seit 2018 das Referat GIT 3 der IT-Aufsicht der BaFin. Sie hat mit ihrem Team die Workshops mit der Industrie organisiert und federführend die Aufsichtsmitteilung entwickelt. (c) Armin Hoehner/BaFin

Wie haben Sie die Industrievertreterinnen und –vertreter ausgewählt?

Gar nicht. Wir tauschen uns schon lange mit der Industrie zu verschiedenen IT-Themen aus: Mit Vertreterinnen und Vertretern von Kreditinstituten und Verbänden im Fachgremium IT und mit der Versicherungsbranche und Einrichtungen der betrieblichen Altersversorgung im Expertengremium IT. Wir haben die Mitglieder der beiden Gremien gebeten, selbst Vertreterinnen und Vertreter für die Arbeitsgruppen auszuwählen.

Wie viel Input kam von der Industrie?

Unsere Sparringspartner aus der Industrie haben wahnsinnig viel Zeit investiert und extrem viel Input geliefert, wir hatten allein über 30 gemeinsame Workshops! Das waren für uns alle arbeitsintensive Wochen und Monate. Aber die Zusammenarbeit war sehr, sehr wertvoll.

Warum dieser Aufwand?

Wir wollten keine Umsetzungshinweise entwickeln, die nur die Einschätzung der deutschen Aufsicht widerspiegeln. Eine Hilfestellung, die in der Praxis funktioniert, sollte mit den Betroffenen erarbeitet werden. Und das sind nun mal die beaufsichtigten Unternehmen. Ein weiterer Pluspunkt: Nun sollte es im Nachgang keine Diskussionen geben, ob die deutsche Aufsicht bestimmte Punkte richtig eingeschätzt hat oder nicht.

Hat die BaFin auch profitiert?

Wir hoffen, dass die Aufsichtsmitteilung auch für unsere Kolleginnen und Kollegen in der Aufsicht und für unsere Prüferinnen und Prüfer hilfreich ist. Vor allem aber war das Ergebnis für uns extrem wichtig. Wir haben gesehen, dass die Anforderungen der BAIT und VAIT im Wesentlichen in den Anforderungen der DORA an das reguläre IKT-Risikomanagement und an das IKT Drittparteienrisikomanagement einschließlich der einschlägigen technischen Regulierungsstandards abgebildet sind. Das war Basis für unsere Entscheidung, unsere aufsichtlichen Rundschreiben an die IT aufzuheben. Wir arbeiten jetzt an der Umsetzung. Zu DORA gehört eben auch, sich von Altbewährtem zu lösen.

Die Analyse basiert auf den BAIT und den VAIT. Sind die Erkenntnisse auf die Kapitalverwaltungsaufsichtlichen und die Zahlungsdiensteaufsichtlichen Anforderungen an die IT (KAIT und ZAIT) übertragbar?

Grundsätzlich ja. Wir haben uns zwar nur die BAIT und die VAIT angeschaut, weil dies die maßgeblichen Rundschreiben für die Vertreterinnen und Vertreter der Industrie sind, die mitgearbeitet haben. Sie kommen ja so gut wie alle aus der Banken- und Versicherungsbranche. Kapitalverwaltungsgesellschaften und Zahlungs- und E-Geld-Institute können sich aber auch an unserer Aufsichtsmitteilung orientieren, denn die Anforderungen sind oft vergleichbar.

Was sind die wichtigsten Erkenntnisse?

Wie schon erwähnt: Die Anforderungen der BAIT und der VAIT finden sich im Wesentlichen in DORA wieder. Es gibt aber auch Unterschiede, manchmal verschieben sich auch die Akzente. Ein Beispiel: Durch DORA bekommt das Leitungsorgan eines Unternehmens deutlich mehr Aufgaben. Ein anders Beispiel: Das IKT-Risikomanagement wird durch DORA gegenüber der Informationssicherheit im Unternehmen stärker betont. Wir haben die wesentlichen Unterschiede nach Themen gegliedert zusammengefasst. So können die beaufsichtigten Unternehmen Stück für Stück erkennen, welche Aufgaben sich aus unserer Sicht ergeben könnten.