Herr Obermöller, als Leiter der Gruppe IT-Aufsicht der BaFin sind Sie in die Umsetzung des Digital Operational Resilience Act (DORA) in der BaFin involviert. Was hat das vergangene Jahr vor allem geprägt?

2024 war auch für uns die heiße Phase der DORA-Umsetzungsarbeiten. Wir haben eine Reihe von neuen Aufgaben, auf die wir uns im vergangenen Jahr weiter vorbereitet haben. Wir haben nochmal zusätzliche Expertise aufgebaut – durch den Austausch mit den Unternehmen und mit anderen Behörden und durch neues Personal. Ich denke, wir sind jetzt gut aufgestellt.

Bei DORA hatten wir den Vorteil, dass wir von Anfang an – also seit 2018 – aktiv mitwirken konnten. Erst in kleinem, später im größeren Umfang. Wir haben unsere Expertise auf den verschiedenen Stufen der europäischen Gesetzgebung eingebracht und versucht, so auch selbst immer ein kleines Stückchen vor der Welle zu bleiben.

Da standen 2024 aber auch ganz praktische Projekte an. Zum Beispiel mussten wir die technischen Lösungen für die DORA- Meldepflichten vorbereiten und unsere internen Prüfungsleitlinien für aufsichtliche IT-Prüfungen anpassen.

Eine besondere Herausforderung war, dass Anfang 2024 noch nicht alle europäischen Detailvorgaben final verabschiedet waren. Da konnten wir zum Teil nur mit Annahmen arbeiten.

Was das Jahr 2024 auch sehr stark geprägt hat: Wir haben die Unternehmen und Institute des deutschen Finanzsektors umfassend über die Anforderungen von DORA informiert. Es war uns von Beginn an wichtig, unser DORA-Wissen schnell an die Finanzindustrie weiterzugeben. 2024 haben wir da nochmal einen Zacken zugelegt.

Was haben Sie unternommen?

Wir haben auf unserer Website viele aktuelle Informationen und Fachartikel rund um DORA zur Verfügung gestellt und werden das auch weiterhin tun. Wir haben auch eigens eine DORA-Subpage eingerichtet, wo wir unsere Informationen bündeln.

Wir sind aber auch intensiv in den direkten Austausch mit der Finanzindustrie gegangen und haben in ganz vielen Gesprächen, Workshops und Veranstaltungen versucht, die Unternehmen bei der Vorbereitung auf DORA zu unterstützen. Wir haben auch schon frühzeitig Themen identifiziert, bei denen wir den Eindruck hatten: Hier haben die Unternehmen noch Informationsbedarf. Wir haben dann Umsetzungshinweise zu DORA veröffentlicht, wir haben FAQ-Listen auf unserer DORA-Subpage publiziert, die wir laufend aktualisiert haben. Und im Dezember haben wir eine Übersicht der Mindestdokumente publiziert, die DORA vorsieht. Das sind nur einige von vielen Beispielen.

Da kommt offensichtlich einiges auf die Unternehmen zu.

Ja, das ist so. Aber insgesamt haben wir beobachtet, dass die Finanzunternehmen, die zuvor schon unsere sektorspezifischen aufsichtlichen Anforderungen an die IT eingehalten haben, vieles in den DORA-Anforderungen wiedererkennen. DORA ist also für die Unternehmen, die wir als BaFin beaufsichtigen, zumindest nicht komplettes Neuland. Das ist eine vergleichsweise komfortable Ausgangsposition.

Die Rundschreiben der BaFin zu den aufsichtlichen Anforderungen an die IT, gehören aber mit DORA der Vergangenheit an.

Genau. Wir wollen Doppelregulierung vermeiden und Komplexität reduzieren. Deshalb haben wir VAIT, ZAIT und KAIT, also unsere versicherungs-, kapitalverwaltungs- und zahlungsdiensteaufsichtlichen Anforderungen an die IT, mit Ablauf des 16. Januars 2025 aufgehoben. Die BAIT, die bankaufsichtlichen Anforderungen an die IT, gibt es zwar noch bis zum 31. Dezember 2026. Sie gelten aber nicht mehr für die Institute, die ab dem 17. Januar 2025 DORA anwenden müssen.

Warum dieses schrittweise Vorgehen bei den BAIT?

Für einige Institute gibt es eine Übergangsfrist. Sie müssen DORA erst ab dem 1. Januar 2027 vollständig anwenden. Das regelt das KWG, das Kreditwesengesetz. Nach der Übergangsfrist heben wir die BAIT dann auch vollständig auf. Wer genau betroffen ist und welche DORA-Anforderungen wann erfüllt werden müssen, ist im Finanzmarktdigitalisierungsgesetz festgelegt worden. Das ist Ende 2024 verabschiedet worden, und das KWG wird nun entsprechend angepasst.

Lassen Sie uns noch einmal kurz über das Thema Doppelregulierung sprechen. DORA doppelt sich an einigen Stellen mit anderer Regulierung. Wie geht die BaFin damit um?

Wir haben beispielsweise Überschneidungen mit den Anzeigepflichten zu Auslagerungen bzw. Ausgliederungen in den sektoralen Vorgaben. Wir haben unsere Aufsichtspraxis so gestaltet, dass wir die Institute und Unternehmen entlasten. Die Details können Sie in einem Artikel meines Kollegen Benedikt Queng auf unserer Website lesen.

Auch wenn die deutschen Unternehmen viele Vorgaben aus den aufsichtlichen Anforderungen an die IT der BaFin schon kennen: DORA ist ein Paradigmenwechsel.

Das kann man schon sagen. Aus meiner Sicht gibt es vor allem drei grundsätzliche Neuerungen.

Zum einen liegt der Fokus von DORA nicht primär auf der Prävention von Vorfällen. Im Mittelpunkt steht die Frage, ob die Unternehmen für den Akutfall vorbereitet sind. Es geht um Resilienz. Das ist eine neue Perspektive.

Zum anderen natürlich die Tatsache, dass DORA nun sektorübergreifend einheitliche Anforderungen stellt. Das ist angesichts der engen Vernetzung des Finanzsektors absolut begrüßenswert. Das ist aber für den heterogenen deutschen Finanzsektor einigermaßen schwerer Stoff. Vor allem für die vielen kleinen und mittelgroßen Finanzunternehmen bringt DORA einige Herausforderungen mit sich. Das Gute ist: DORA bietet meines Erachtens ausreichend Spielraum für eine proportionale Umsetzung. Und die Dopplungen mit der sektoralen Regulierung haben wir durch unsere Aufsichtspraxis im Griff, wie gerade schon beschrieben.

Eine weitere Neuerung, die ich für einen großen Fortschritt halte: Dank DORA können wir nun explizit grenzübergreifend kritische Drittdienstleister der IKT beaufsichtigen, also der Informations- und Kommunikationstechnologie. Das sind IKT-Dienstleister, von denen viele Finanzunternehmen Dienstleistungen beziehen. Wenn sich aus dieser Konzentration auf einzelne Anbieter ein systemisches Risiko für den Finanzmarkt ergeben kann, schauen wir genauer hin. Hierfür wird ja mit dem Start von DORA eine entsprechende europäische Überwachungsfunktion etabliert. Meine Kollegin Dr. Sibel Kocatepe hat das gerade in ihrem Artikel auf unserer Website erläutert.

Sind denn jetzt alle Unternehmen wirklich startklar?

Das sollten sie sein, denn die Anwendung ist seit dem 17. Januar 2025 Pflicht. Wir haben den Eindruck, dass ein Großteil der Unternehmen gut vorbereitet ist. Da DORA keine Schonfristen vorsieht, wird es bei bestimmten Themen aber auch noch Herausforderungen geben, die neuen Anforderungen umzusetzen. Ich denke da vor allem an das Management des IKT-Drittparteienrisikos.

Was heißt das konkret?

DORA stellt zum Beispiel eine ganze Reihe neuer Anforderungen an die Ausgestaltung von Vertragsbeziehungen. Unter Umständen haben noch nicht alle Unternehmen sämtliche Verträge mit IKT-Drittdienstleistern angepasst, obwohl DORA eigentlich schon angewendet werden muss. In solchen Fällen erwarten wir, dass uns die Unternehmen einen sinnvollen, risikoorientierten Zeitplan für die Vertragsanpassungen vorlegen.

Wie geht es denn jetzt insgesamt weiter mit DORA?

Nun, zum einen sind aktuell leider immer noch nicht alle technischen Regulierungsstandards zu DORA veröffentlicht. Damit meine ich vor allem die Regulierungsstandards zum Threat-Led Penetration Testing und zu Subdienstleistern. Ich gehe aber davon aus, dass die Europäische Kommission dies kurzfristig macht. Da gilt es dann noch ganz konkret zu prüfen, welche Folgen sich für die Unternehmen und für unsere Arbeit ergeben.
Und dann wird es natürlich auch noch Auslegungsfragen zu DORA und den technischen Regulierungsstandards und Leitlinien geben. Hier werden wir uns intensiv in die entsprechenden europäischen Prozesse einbringen und unsere Perspektive und Expertise einbringen.

Im Jahr 2028 steht dann schließlich eine grundsätzliche Überprüfung des DORA-Rahmenwerks auf EU-Ebene an. Das sind noch einige Jahre, aber das müssen wir bereits jetzt im Blick haben.
Als Aufsicht werden wir natürlich prüfen, welche Fortschritte die Unternehmen bei der Umsetzung von DORA gemacht haben. Erste Erkenntnisse dazu erwarte ich gegen Ende 2025.
Und wir werden unsere Kommunikation mit den Unternehmen umstellen.

Inwiefern?

Bisher haben wir uns im Fach- und Expertengremium IT vor allem mit Banken und Versicherern ausgetauscht. Dieser Dialog war extrem wertvoll, fand aber mit den einzelnen Sektoren des Finanzmarkts statt. Das ergibt unter DORA keinen Sinn mehr.

Von jetzt an tauschen wir uns in einem sektorübergreifenden Gremium aus. Darin wollen wir regelmäßig mit der Finanzindustrie unter anderem über die digitale operationale Resilienz sprechen. Wir platzieren dort auch weitere Themen, die für die IT-Aufsicht der BaFin strategisch wichtig sind.

DORA ist ein europäisches Rahmenwerk. Hilft das bei einem Thema, das weltweit relevant ist?

Es ist auf jeden Fall ein wichtiger Baustein, um grenzüberschreitend resilienter zu werden in Sachen Informations- und Kommunikationstechnologie. Und DORA ist hier international durchaus eine Benchmark. Man wird nicht darum herumkommen, das Thema Cybersicherheit auch global anzugehen.

Beteiligt sich die BaFin daran?

Ja, die BaFin engagiert sich zum Beispiel seit Jahren in der G7-Cyber Expert Group. Das ist ein Forum der für den Finanzsektor relevanten Behörden. Aber auch Unternehmen der G7-Staaten sind dort vertreten.
Diese Arbeiten und der dauerhafte Dialog mit unseren G7-Partnern haben wesentlich dazu beigetragen, in den G7-Staaten für konvergentere Aufsichtspraktiken beim Thema Cybersicherheit zu sorgen. Das Gremium gibt gleichzeitig über die G7 hinaus Impulse in Richtung einer global einheitlichen Regulierung.

Wir haben aber gemeinsam mit unseren G7-Partnern auch operative Vorbereitungen für den Umgang mit einem größeren Cybervorfall im Finanzsektor getroffen. Dazu machen wir auch regelmäßig gemeinsame Krisenübungen. Im April 2024 haben wir beispielsweise über zwei Tage geübt, wie wir koordiniert reagieren, wenn es einen groß angelegten Cyberangriff auf Finanzmarktinfrastrukturen- und einrichtungen in allen G7-Ländern gibt.

Gibt es weitere länderübergreifende Aktionen?

Ein weiteres aktuelles Beispiel ist das Projekt „FIRE “ des Financial Stability Boards. FIRE definiert globale Standards für das Melden von Cybervorfällen. Ein effektiver und schneller Austausch von Informationen ist essenziell – nicht nur im Krisenfall. In das FIRE-Projekt sind die Erfahrungen aus der Erarbeitung der DORA-Standards zum Vorfallsmeldewesen eingeflossen. Was dafür gesorgt hat, dass FIRE als globale Initiative auch kompatibel zu DORA ist. Das ist mit Blick auf die globale Dimension von Cyberbedrohungen und die Dynamik der Bedrohungslage von immenser Bedeutung.

Welche neuen Bedrohungen sehen Sie denn? Kann man da einen Ausblick wagen?

Das ist natürlich ähnlich wie ein Blick in die Glaskugel, aber natürlich können wir sagen, dass die Bedrohung durch neue Technologien wie Künstliche Intelligenz steigt. Solche Technologien nutzen bekanntlich nicht nur die Guten. Auch Angreifer nutzen KI, etwa um hocheffiziente Angriffsmethoden und Schadcodes zu entwickeln.

Doch es geht nicht nur um KI. Auch Quantumcomputing ist eine mächtige Technologie, auf die man sich bereits heute vorbereiten muss. Quantencomputer bedrohen die IT-Sicherheit, indem sie klassische Verschlüsselungsverfahren überwinden. Viele Unternehmen unterschätzen diese Bedrohung. Unternehmen des Finanzsektors sollten sich also bereits heute mit entsprechenden Schutzmaßnahmen auseinandersetzen. Es gibt ja klare Post-Quantum-Kryptographie-Standards. Daran können sich Unternehmen orientieren. Auch hier muss niemand bei null anfangen.