Marcus Michel, Vorstand FCH AG
Mit der Einführung der EU-Verordnung über die digitale operationale Resilienz (Digital Operational Resilience Act, DORA) am 17.01.2025 werden die bisherigen nationalen IT-Aufsichtsanforderungen durch ein einheitliches europäisches Regelwerk ersetzt. Dieses zielt darauf ab, die digitale Widerstandsfähigkeit von Finanzinstituten zu stärken und ein harmonisiertes Niveau der IT-Sicherheit im gesamten europäischen Finanzsektor zu gewährleisten.
Aufhebung nationaler Regelungen
Um Überschneidungen und Doppelregulierungen zu vermeiden, hebt die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) die bisherigen nationalen Rundschreiben schrittweise auf:
- KAIT, VAIT und ZAIT: Die Kapitalverwaltungsaufsichtlichen Anforderungen an die IT (KAIT), die Versicherungsaufsichtlichen Anforderungen an die IT (VAIT) und die Zahlungsdiensteaufsichtlichen Anforderungen an die IT (ZAIT) werden mit Ablauf des 16.01.2025 außer Kraft gesetzt. Ab dem 17.01.2025 gelten ausschließlich die DORA-Vorgaben.
- BAIT: Die Bankaufsichtlichen Anforderungen an die IT (BAIT) werden in zwei Phasen aufgehoben:
- Reduzierung des Anwenderkreises (ab 17.01.2025): Institute, die ab diesem Datum ein IKT-Risikomanagement gemäß DORA betreiben müssen, fallen nicht mehr unter die BAIT. Kapitel 11 der BAIT wird vollständig gestrichen. Für Unternehmen, die nicht unter den unmittelbaren Anwendungsbereich von DORA fallen, gelten die BAIT weiterhin.
- Vollständige Aufhebung (ab 01.01.2027): Durch das Finanzmarktdigitalisierungsgesetz (FinmaDiG) wird der Anwendungsbereich von DORA erweitert. Ab dem 01.01.2027 müssen zusätzliche Institute die DORA-Vorgaben umsetzen. Bis dahin bleiben die BAIT für diese Institute in Kraft. Mit Ablauf des 31.12.2026 treten die BAIT endgültig außer Kraft.
Anforderungen und Auswirkungen von DORA
DORA bringt für Finanzinstitute umfassende Anforderungen mit sich, darunter:
- IKT-Risikomanagement: Institute müssen ein robustes Risikomanagement für ihre IT-Systeme etablieren, um potenzielle Bedrohungen frühzeitig zu erkennen und zu reagieren.
- IKT-Drittparteienrisikomanagement: Die Risiken, die durch die Zusammenarbeit mit Drittanbietern entstehen, müssen sorgfältig bewertet und überwacht werden. Dies erfordert transparente Verträge und regelmäßige Überprüfungen der Dienstleister.
- Rolle des Leitungsorgans: Die Verantwortung des Managements wird gestärkt. Vorstände und Geschäftsführungen sind für die Genehmigung, Überwachung und Implementierung der IKT-Risiko- und Resilienzstrategien verantwortlich.
- IKT-Risiko- und Kontrollfunktion: Die Einrichtung spezialisierter Funktionen zur Überwachung und Steuerung von IKT-Risiken wird verpflichtend. Dies kann eine Anpassung der bisherigen Rollen, wie die des Informationssicherheitsbeauftragten (ISB), erfordern.
PRAXISTIPPS
- Frühzeitige Implementierung eines umfassenden IKT-Risikomanagements
- Anpassung bestehender Anweisungen der SFO an das sich verändernde Regelwerk der Aufsicht
- Schulung des Managements und der Mitarbeiter
Die Einführung von DORA markiert einen bedeutenden Schritt hin zu einer stärkeren digitalen Resilienz in den Kreditinstituten!
Beitragsnummer: 22867