Der „Digital Operational Resilience Act“ (DORA) tritt im Januar 2025 in Kraft. Für die betroffenen regulierten Unternehmen des europäischen Finanzsektors bedeutet dies eine schnellstmögliche Umsetzung der Anforderungen. Um zusammenfassende Informationen rund um DORA geben zu können, hat die BaFin bereits vor einiger Zeit eine entsprechende Info-Seite veröffentlicht. Da sich im Zuge der Umsetzung der DORA-Anforderungen immer mehr Fragen bei den Unternehmen ergeben, ergänzte die BaFin die Info-Seite um einen Abschnitt, in dem sie Antworten auf häufig gestellte Fragen liefert.

Der Fragenkatalog zu DORA vermittelt einen ersten Überblick über die wichtigsten Fragen zu DORA und deren Umsetzung. Der Fragenkatalog wird laufend aktualisiert.

Auch zum Thema IKT-Drittparteienmanagement wurden einige Fragen beantwortet. Die Abkürzung „IKT“ wird von der BaFin umfassend als Informations- und Kommunikationstechnologie definiert. So wurde beispielsweise klargestellt, dass IKT-Drittdienstleister selbstverständlich weiterhin von den Unternehmen selbst überwacht werden müssen, auch wenn die Aufsicht eine Einstufung von kritischen IKT-Drittdienstleistern vornimmt und diese einer gesonderten Überwachung unterzieht. Zudem erfahren die beaufsichtigten Unternehmen unter anderem, welche Kriterien darüber entscheiden, was ein kritischer Dienstleister ist und wann Finanzunternehmen einen IKT-Vorfall melden müssen.

Entgegen vieler Prognosen stellt die BaFin auch klar, dass Anbieter von Cloud-Dienstleistungen zwar klar im Fokus von DORA stehen, jedoch nicht jeder Cloud-Anbieter automatisch unter das Überwachungsrahmenwerk der europäischen Aufsichtsbehörden fällt. Vielmehr würde die Auswertung der Informationsregister der Finanzunternehmen im Jahr 2025 zeigen, ob der Einstufungsprozess zur Bestimmung kritischer IKT-Drittdienstleister auch dazu führt, dass Cloud-Dienstleister zukünftig überwacht werden. Gemäß Aussage der BaFin handelt es sich hierbei stets um eine Einzelfallentscheidung.

Letztlich hat sich außerdem die Vermutung bestätigt, dass das von der BaFin eingeführte MVP-Portal, das zur Meldung von wesentlichen Outsourcing-Sachverhalten dient, auch zur Meldung von schwerwiegenden IKT-bezogenen Vorfällen verwendet werden soll.