Erscheinung:08.07.2024 | Thema Digitalisierung BaFin veröffentlicht Umsetzungshinweise zu DORA
Die meisten beaufsichtigten Unternehmen müssen künftig DORA anwenden. Was bedeutet dies für Banken und Versicherer? Das zeigt eine Aufsichtsmitteilung der BaFin zum IT-Risikomanagement und IT-Drittparteienrisikomanagement.
Derzeit wenden die von der BaFin beaufsichtigten Unternehmen des Banken- und Versicherungssektors die bank- bzw. die versicherungsaufsichtlichen Anforderungen an die IT (BAIT bzw. VAIT) an. Vom 17. Januar 2025 an müssen die meisten dieser Unternehmen das reguläre Risikomanagementrahmenwerk des Digital Operational Resilience Act (DORA) anwenden. Sie müssen also ihre Risiken der Informations- und Kommunikationstechnologie (IKT) gemäß den Anforderungen aus DORA managen. An diese Unternehmen richten sich die Umsetzungshinweise der Aufsichtsmitteilung.
Die Aufsichtsmitteilung ist eine nicht verpflichtende Hilfestellung. Sie soll die Unternehmen dabei unterstützen, die Anforderungen aus DORA an das reguläre IKT-Risikomanagement und das IKT-Drittparteienrisikomanagement umzusetzen. Dabei berücksichtigt sie auch die einschlägigen technischen Regulierungsstandards. Die Umsetzungshinweise enthalten auch eine Übersicht der Mindestvertragsinhalte, die beaufsichtigte Unternehmen mit IKT-Drittdienstleistern vereinbaren müssen.
Die Umsetzungshinweise nehmen nur auf die BAIT und die VAIT Bezug. Die betrachteten Anforderungen sind jedoch häufig vergleichbar mit den aufsichtlichen Anforderungen an die Kapitalverwaltungsgesellschaften (KAIT) und an die Zahlungs- und E-Geld-Institute (ZAIT). Die Ergebnisse lassen sich also in der Regel übertragen.
Ergebnis enger Zusammenarbeit mit Industrie
Grundlage der Umsetzungshinweise sind die Ergebnisse von sechs Arbeitsgruppen mit Vertreterinnen und Vertretern der Industrie, der Deutschen Bundesbank und der BaFin. Die BaFin hatte die Arbeitsgruppen 2023 gegründet. Die gemischten Teams stellten in mehr als 30 Sitzungen die Anforderungen von DORA denen der BAIT und der VAIT gegenüber. Dabei identifizierten sie wesentliche Unterschiede und leiteten Handlungsbedarfe ab.
Zum Hintergrund: Die Europäische Union hat mit DORA eine finanzsektorübergreifende, europäische Regulierung für die Themen digitale operationale Resilienz, IKT-Risiken und Cybersicherheit geschaffen. Viele Anforderungen aus DORA decken sich mit den BaFin-Rundschreiben BAIT, VAIT, ZAIT und KAIT. Daher beabsichtigt die BaFin, diese Rundschreiben aufzuheben.
Über die Entstehung der Aufsichtsmitteilung und den Hintergrund berichtet Ira Kosche-Steinbrecher von der BaFin-IT-Aufsicht in einem Interview.