Am 26. September 2024 fand die digitale BaFin-Konferenz “IT-Aufsicht im Finanzsektor: Was bedeutet DORA in der Praxis?” statt. Die EU-Verordnung DORA (Digital Operational Resilience Act) tritt am 17. Januar 2025 in Kraft und muss ab diesem Zeitpunkt von Finanzunternehmen angewendet werden. Die BaFin informierte in ihrer Veranstaltung über das IKT-Drittparteienrisikomanagement, das Überwachungsrahmenwerk, das IKT-Vorfallsmeldewesen und das Thema Rund um das Informationsregister.

Im Rahmen der Präsentation zum Thema IKT-Drittparteienrisikomanagement wurde zunächst klargestellt, welche relevanten RTS/ITS bereits durch die EU-Kommission veröffentlicht wurden und welche noch als finaler Bericht auf Prüfung und endgültige Veröffentlichung warten. Hierzu gehören der finale Bericht zum RTS-Entwurf zur Untervergabe von IKT-Dienstleistungen, die kritische oder wichtige Funktionen unterstützen (Art. 30 Abs. 5 DORA) und der finale Bericht zum ITS-Entwurf über die Erstellung einer Standardvorlage für das Informationsregister.

Neben einer Präzisierung zur Abgrenzung von IKT-Dienstleistungen und einer beispielhaften Governance-Struktur zum IKT-Drittparteienrisikomanagement, bestehend aus einer strategischen Ebene, Steuerung und Kontrolle, sowie der operativen Ebene wurden in der Veranstaltung zahlreiche Tipps wie sich Finanzunternehmen auf den 17. Januar 2025 vorbereiten können.

Vor diesem Hintergrund sollten alle Finanzunternehmen in der Lage sein, die folgenden Fragen für sich zu beantworten:

1. Sind Analysen und Bewertungen aktualisiert (Bestimmung kritischer oder wichtiger Funktionen, Risikobewertung, Due Diligence)?
2. Wurde die Governance (Strategien, Leitlinien & Aufbauorganisation) angepasst?
3. Wurden neue Verträge mit den IKT-Drittdienstleistern geschlossen bzw. aktualisiert?
4. Wurde bereits die neue Vorgehensweise für Unterauftragsvergaben umgesetzt?

Insbesondere im Hinblick auf die Regelungen zur Unterauftragsvergabebei der Unterstützung kritischer oder wichtiger Funktion bleibt es weiter abzuwarten, wann mit den finalen Veröffentlichungen der EU-Kommission zu rechnen ist und mit welchen Änderungen sichdie Finanzunternehmen in den letzten Zügen der Projektumsetzung letztlich noch konfrontiert sehen werden.