Ab dem 17. Januar 2025 wird die EU-Verordnung Digital Operational Resilience Act (DORA) europaweit verbindlich und löst in Deutschland die bestehenden nationalen Vorgaben ab. Mit DORA verfolgt die EU das Ziel, eine einheitliche und robuste Basis für den Schutz vor IT-Risiken in Finanzunternehmen zu schaffen. Doch was bedeutet das konkret für Unternehmen und die bisherigen Vorgaben der BaFin?

Der Digital Operational Resilience Act (DORA) ist eine EU-Verordnung, die IT-Risiken und Cyber-Resilienz für Finanzunternehmen, Banken, Versicherer und IT-Dienstleister reguliert. Die Verordnung umfasst u. a.:

• IKT-Risikomanagement: Unternehmen müssen ihre Informations- und Kommunikationstechnologien (IKT) analysieren und Absicherungsmaßnahmen treffen.
• Meldepflichten: IT-Sicherheitsvorfälle sind standardisiert und zeitnah zu melden.
• Konzentrationsrisiken: Der Umgang mit Drittanbietern wird strenger reguliert, um Risiken durch Abhängigkeiten zu minimieren.
• Tests der operativen Resilienz: Regulatorisch vorgeschriebene Tests (z. B. Penetrationstests) sollen Schwachstellen aufdecken.
• IKT-Drittanbieterüberwachung: Unternehmen müssen sicherstellen, dass ihre Dienstleister den regulatorischen Anforderungen entsprechen.

Um eine Doppelregulierung zu vermeiden, wird die BaFin ihre bestehenden IT-Anforderungen schrittweise zurücknehmen:

Die Kapitalverwaltungsaufsichtlichen Anforderungen an die IT (KAIT), die Versicherungsaufsichtlichen Anforderungen an die IT (VAIT) und die Zahlungsdiensteaufsichtlichen Anforderungen an die IT (ZAIT) werden mit Ablauf des 16. Januar 2025 aufgehoben. Ab dem 17. Januar 2025 gelten ausschließlich die Vorgaben aus DORA.

Die Bankaufsichtlichen Anforderungen an die IT (BAIT) werden in Etappen zurückgenommen:

• Ab dem 17. Januar 2025 gelten die BAIT nicht mehr für Institute, die unter die DORA-Vorgaben für IKT-Risikomanagement (Artikel 5–15) fallen.
• Kapitel 11 der BAIT, das spezifische Anforderungen an IT-Systeme regelt, wird ebenfalls gestrichen.

Mit Ablauf des 31. Dezember 2026 werden die BAIT vollständig aufgehoben, da ab dem 1. Januar 2027 alle relevanten Institute DORA anwenden müssen. Grundlage hierfür ist die Anpassung des § 1a Absatz 2 Kreditwesengesetz durch das Finanzmarktdigitalisierungsgesetz (FinMaDiG).

Für Finanzunternehmen und IT-Dienstleister bedeutet die Einführung von DORA erhebliche Veränderungen, aber auch Chancen. Die Umsetzung der umfassenden Anforderungen von DORA erfordert erhebliche Investitionen in IT-Sicherheitsmaßnahmen, neue Prozesse und Systeme. Insbesondere kleinere Unternehmen könnten vor personelle und finanzielle Herausforderungen gestellt werden. Durch die europaweite Harmonisierung werden jedoch regulatorische Unterschiede zwischen den EU-Staaten reduziert. Unternehmen, die bereits über robuste IT-Risikomanagement-Systeme verfügen, können somit von Effizienzgewinnen und internationaler Anerkennung profitieren. Zudem können Unternehmen durch Meldepflichten und regelmäßige Tests schneller auf Cyberbedrohungen reagieren und ihre Systeme widerstandsfähiger machen.

Mit DORA wird die IT-Sicherheit nicht nur zur Pflicht, sondern auch zum strategischen Vorteil für Unternehmen, die ihre digitale Resilienz proaktiv gestalten.