Die EU-Verordnung über die digitale operative Resilienz im Finanzsektor (DORA) gilt bereits seit dem 17. Januar 2025 und ist für die von ihr regulierten Unternehmen umzusetzen. Auch noch über 7 Monate nach dem Inkrafttreten sind längst nicht alle Rechtsfragen, die sich aus der DORA ergeben, geklärt. Die zuständige Behörde für die meisten deutschen Finanzunternehmen ist die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin). Der Begriff des Finanzunternehmens im Sinne der DORA umfasst dabei einen umfangreichen Katalog verschiedener Unternehmen der Finanzbranche, zum Beispiel Kreditinstitute, Zahlungsinstitute, Kontoinformationsdienstleister, E-Geld-Institute, Wertpapierfirmen, Anbieter von Krypto-Dienstleistungen, Versicherungs- und Rückversicherungsunternehmen, Datenbereitstellungsdienste und viele weitere. Damit ist die DORA der zentrale Rechtsakt für die Stärkung der digitalen operativen Resilienz des Finanzsektors beim Einsatz von Informations- und Kommunikationstechnologien (IKT). Eine der Grundfesten der DORA ist dabei die Verpflichtung der Finanzunternehmen, einen IKT-Risikomanagementrahmen aufzubauen, aufrechtzuerhalten und kontinuierlich zu verbessern. Genauso vielfältig wie die Anzahl der regulierten Unternehmen, die als Finanzunternehmen in Betracht kommen, können dabei auch die Risiken sein, denen ein Finanzunternehmen im Einzelfall ausgesetzt ist. Daher setzt die DORA auf den Grundsatz der Verhältnismäßigkeit. Dieser ist in Art. 4 DORA ausdrücklich verankert und fordert unter anderem, dass bei der Erfüllung der Anforderungen zum IKT-Risikomanagement Größe und Gesamtrisikoprofil des Finanzunternehmens sowie Art, Umfang und Komplexität der Dienstleistungen, Tätigkeiten und Geschäfte Rechnung zu tragen ist. Der Verhältnismäßigkeitsgrundsatz zeigt sich weiter in der Unterscheidung zwischen dem grundsätzlich geltenden IKT-Risikomanagementrahmen und dem vereinfachten Risikomanagementrahmen, der nur für bestimmte, meist kleinere Finanzunternehmen gilt. Zum in Art. 16 DORA beschriebenen vereinfachten IKT-Risikomanagementrahmen hat die BaFin nun in einer neuen Aufsichtsmitteilung vom 21. August 2025 einige hilfreiche Hinweise gegeben.
Für welche Finanzunternehmen gilt der vereinfachte IKT-Risikomanagementrahmen?
Auf welche Unternehmen der vereinfachte IKT-Risikomanagementrahmen in Deutschland anzuwenden ist, ergibt sich zum einen direkt aus der DORA und zum anderen aus den nationalen Gesetzen. Nach Art. 16 DORA sind in Deutschland kleine, nicht verflochtene Wertpapierfirmen und kleine Einrichtungen der betrieblichen Altersversorgung erfasst. Darüber hinaus ist der vereinfachte IKT-Risikomanagementrahmen auf nationaler Ebene durch das Gesetz über die Digitalisierung des Finanzmarktes (Finanzmarktdigitalisierungsgesetz – FinmadiG) auf weitere Finanzunternehmen des Banken- und Versicherungssektors ausgedehnt worden. So werden durch eine Neufassung des Versicherungsaufsichtsgesetzes (§ 293 Abs. 5 VAG) nun auch bestimmte Versicherungsholdings den Anforderungen des Artikels 16 DORA unterstellt. Ferner verpflichtet eine Anpassung im Kreditwesengesetz (§ 1a Abs. 2a KWG) alle Institute, die nicht bereits unter DORA fallen, die Verordnung ab dem 1. Januar 2027 anzuwenden. Für diese letztgenannten Institute, zu denen beispielsweise Bürgschaftsbanken sowie Finanzdienstleistungsinstitute wie Leasing- und Factoringunternehmen und Kryptowertpapierregisterführer zählen, gelten bis Ende 2026 weiterhin die BAIT.
Welche Hinweise hat die BaFin konkret gegeben und worauf müssen Finanzunternehmen weiter achten?
Die Aufsichtsmitteilung der BaFin umfasst eine Übersicht über die Dokumentationsanforderungen an Finanzunternehmen gemäß Art. 16 DORA. Aus dieser Übersicht lässt sich entnehmen, welche Dokumentationen, Sicherheitsmaßnahmen, Verfahren, Pläne, Prozesse und Leitlinien nach Auffassung der BaFin notwendig sind, um den Anforderungen von Art. 16 DORA und den ergänzenden technischen Regulierungsstandards (RTS) zur Festlegung der Tools, Methoden, Prozesse und Richtlinien für das IKT-Risikomanagement sowie des vereinfachten IKT-Risikomanagementrahmens zu genügen. Die BaFin betont in diesem Zusammenhang, dass es sich um eine nicht verpflichtende Hilfestellung handelt und dass die Übersicht keine verbindliche Auslegung der BaFin darstellt. Dennoch spiegelt die Übersicht im Ergebnis wider, wie die BaFin als zuständige Aufsichtsbehörde die DORA-Verordnung auslegt, und gibt den betroffenen Finanzunternehmen damit einen konkreten Fahrplan auf dem Weg zur DORA-Compliance. Die Übersicht lässt jedoch offen, wie die aufgeführten Dokumente inhaltlich auszugestalten sind. Dies ist auch sinnvoll, da die Anforderungen in jedem Einzelfall nach dem Grundsatz der Verhältnismäßigkeit zu bestimmen sind. Außerdem ist es für Finanzunternehmen, auch wenn sie unter den vereinfachten IKT-Risikomanagementrahmen fallen, wichtig, im Blick zu behalten, dass es trotz der Vereinfachungen durch den IKT-Risikomanagementrahmen keine Erleichterungen bei den sonstigen Anforderungen der DORA gibt. So müssen die betroffenen Unternehmen beispielsweise dennoch die in den Artikeln 28 bis 30 DORA festgelegten Prinzipien für ein solides Management des IKT-Drittparteienrisikos einhalten.
Rechtsanwalt Anton Schröder
Newsletter abonnieren-
FIN LAW als Gastgeber des Annual Meeting des Fintech Legal Network
FIN LAW durfte als Gastgeber des Annual Meeting des Fintech Legal Network die Mitglieder in der Kanzlei in der Senckenberganlage begrüßen. -
Gelungener Booklaunch bei FIN LAW für das neue MiCAR Handbuch von Dr. Johannes Meier
Vorstellung des neuen MiCAR Handbuchs von Dr. Johannes Meier auf der Booklaunch Veranstaltung von FIN LAW. -
Die neue FIN LAW Website – Gewohnte Qualität im neuen Gewand
Wir freuen uns die neue Website von FIN LAW präsentieren zu können. Unsere Website ist nun schneller und moderner als jemals zuvor.
