Mit der Anwendung der DORA-Verordnung seit Januar 2025 rückt die digitale Resilienz im Finanzsektor in den Fokus. Die BaFin hat im August 2025 eine neue Aufsichtsmitteilung veröffentlicht, die konkrete Hinweise zur Umsetzung des vereinfachten IKT-Risikomanagementrahmens gemäß Artikel 16 DORA liefert.

Wer ist betroffen?

Der vereinfachte Rahmen betrifft kleine Wertpapierinstitute, kleine Einrichtungen der betrieblichen Altersversorgung (EbAV) sowie Versicherungsholdings.

Erleichterungen im vereinfachten Rahmen

Der vereinfachte IKT-Risikomanagementrahmen bietet spürbare Entlastungen gegenüber den bisherigen BAIT/VAIT-Vorgaben:

• Keine IT-Strategie erforderlich: Unternehmen müssen keine umfassende IT-Strategie mehr vorlegen.
• Wegfall der Wesentlichkeitsgrenze: Alle Änderungen an IKT-Systemen sind zu managen, ohne dass eine Unterscheidung nach Relevanz erfolgt.
• Keine Pflicht zur IKT-Risikokontrollfunktion: Anders als im regulären Rahmen entfällt diese organisatorische Vorgabe.
• Reduzierte Anforderungen an Dokumentation und Governance: Weniger Detailvorgaben, mehr Flexibilität.
• Keine Pflicht zur IKT-Drittparteienrisikostrategie: Auch die zugehörige Leitlinie entfällt.
• Vereinfachte Anforderungen an Geschäftsfortführung: Es ist kein IT-Notfallkonzept mehr erforderlich, sondern es genügen fokussierte Wiederherstellungsmaßnahmen.
• Keine Berechtigungskonzepte im Identitätsmanagement: Das „Need-to-use“-Prinzip ersetzt aufwendige Prüfprozesse.

Neuerungen in der BaFin-Aufsichtsmitteilung

Die aktuelle Mitteilung schafft zusätzliche Klarheit und Orientierung:

• Konkretisierung der Aufgaben des Leitungsorgans: Verantwortung für Resilienz, Budget, Klassifizierung und Kommunikation wird deutlich hervorgehoben.
• Stärkere Betonung von Schulung und Sensibilisierung: IKT-Kompetenz wird zur Pflicht für alle Mitarbeitenden.
• Erweiterte Vertragsanforderungen bei Drittparteien: Neue Mindestinhalte, Prüfrechte und Regelungen für Unterauftragsvergaben.
• Automatisierte Schwachstellenerkennung: Neu eingeführte Pflicht zur kontinuierlichen Überwachung und Patch-Management.
• Schutz von Daten auch während der Verarbeitung: Ein Novum mit hohem Umsetzungsaufwand.