DORA

Von Basistests bis zu bedrohungsgeleiteten Penetrationstests – seit Januar 2025 müssen Finanzunternehmen ihre digitale Resilienz nach strengen EU-Vorgaben prüfen. Doch was bedeutet das konkret für Testprogramme und wer ist von den anspruchsvollen TLPTs betroffen?

DORA unterscheidet klar zwischen Bedrohungen, Vorfällen und Angriffen – doch welche Meldepflichten lösen sie aus? Ein Überblick über die neuen Anforderungen.

IKT-Verträge nach DORA: Zwischen Mindeststandards und Machtverschiebung. Die Verordnung stellt nicht nur hohe Anforderungen an die digitale Resilienz, sondern verändert auch die Dynamik in Vertragsverhandlungen. Finanzunternehmen müssen nun strenge Vorgaben durchsetzen – doch welche Dienstleistungen fallen überhaupt unter DORA, und wie lassen sich Exit-Strategien, Audit-Rechte und Risikomanagement vertraglich wasserdicht regeln?

DORA-Umsetzung: BaFin konkretisiert Anforderungen an den vereinfachten IKT-Risikomanagementrahmen: Die BaFin gibt Finanzunternehmen eine Übersicht zu Dokumentationen, Sicherheitsmaßnahmen und Prozessen für den vereinfachten IKT-Rahmen, betont aber, dass die inhaltliche Ausgestaltung im Einzelfall am Verhältnismäßigkeitsgrundsatz auszurichten ist.

DORA zielt darauf ab, Risiken aus der digitalen Transformation zu minimieren, doch die Umsetzung der komplexen Anforderungen bleibt eine Hürde für viele Finanzunternehmen. Es werden dringend weitere Auslegungshinweise und praktische Hilfsmittel benötigt.

DORA has been in force since 17 January 2025, and financial companies must submit their Registers of Information to BaFin in accordance with DORA requirements by 11 April 2025. Financial companies should prepare themselves in advance and ensure that the registers are submitted in the correct form.

Die DORA bringt ab Januar 2025 einheitliche Vorgaben für die IKT-Sicherheit, doch Ausnahmen für kleinere Finanzunternehmen sorgen für Erleichterungen. Dennoch bleiben durch nationale Umsetzungsspielräume Unterschiede zwischen EU-Mitgliedstaaten bestehen.

DORA bringt neue Anforderungen an die digitale Resilienz von Finanzunternehmen, während die Abgrenzung zwischen Finanz- und IKT-Dienstleistungen im einzelnen Fragen aufwirft. Klare Auslegungsgrundsätze für die Interpretation der Regelungen werden dringend benötigt, um rechtliche Sicherheit für die Branche zu schaffen.

Die DORA schränkt die vertraglichen Freiheiten der Finanzunternehmen und IKT-Drittdienstleister erheblich ein, indem sie eine Reihe zwingender Vorgaben zur Vertragsgestaltung macht. Dadurch könnten gerade mittelständische Finanzunternehmen in eine stärkere Verhandlungsposition rücken, während selbst große IKT-Anbieter verpflichtet werden, die neuen Vorgaben umzusetzen.

Die DORA verpflichtet Finanzunternehmen, dass IKT-Drittparteienrisiko durch eine angemessene Vertragsgestaltung zu managen. Hierzu gibt die DORA Mindestinhalte vor, die die Position des Finanzinstituts stärken und die Sicherheit erhöhen sollen. Doch welche Folgen hat dies auf künftige und bestehende Verträge?

Die DORA verlangt von den betroffenen Finanzunternehmen die Durchführung regelmäßiger Tests ihrer digitalen operationalen Resilienz. Doch was sehen diese Tests eigentlich vor und müssen alle Finanzunternehmen dieselben Tests durchführen?

Die BaFin beaufsichtigt eine große Zahl von Finanzunternehmen und stellt an diese eine Reihe von Anforderungen an die eingesetzte IT. Nun steht das Inkrafttreten der DORA kurz bevor. In Zukunft wird sich der Umgang mit Informations- und Kommunikationstechnologie (IKT) nach den Vorgaben der DORA richten. Doch inwieweit unterscheidet sich die DORA in ihren Anforderungen von denjenigen, deren Einhaltung die BaFin bereits jetzt fordert?