IKT

DORA-Umsetzung: BaFin konkretisiert Anforderungen an den vereinfachten IKT-Risikomanagementrahmen: Die BaFin gibt Finanzunternehmen eine Übersicht zu Dokumentationen, Sicherheitsmaßnahmen und Prozessen für den vereinfachten IKT-Rahmen, betont aber, dass die inhaltliche Ausgestaltung im Einzelfall am Verhältnismäßigkeitsgrundsatz auszurichten ist.

Nach den aktuellen Entwürfen der noch fehlenden technischen Regulierungsstandards (RTS) zur DORA verbleiben Unklarheiten, insbesondere bei der Einordnung von Finanzunternehmen als IKT-Drittdienstleister. Die EIOPA hat nun Auslegungshinweise herausgegeben, um diese Unklarheiten zu reduzieren. Bewegung gab es auch zum Thema RTS für die Vergabe von Unteraufträgen. Ein Überblick.

Die DORA bringt ab Januar 2025 einheitliche Vorgaben für die IKT-Sicherheit, doch Ausnahmen für kleinere Finanzunternehmen sorgen für Erleichterungen. Dennoch bleiben durch nationale Umsetzungsspielräume Unterschiede zwischen EU-Mitgliedstaaten bestehen.

Die DORA schränkt die vertraglichen Freiheiten der Finanzunternehmen und IKT-Drittdienstleister erheblich ein, indem sie eine Reihe zwingender Vorgaben zur Vertragsgestaltung macht. Dadurch könnten gerade mittelständische Finanzunternehmen in eine stärkere Verhandlungsposition rücken, während selbst große IKT-Anbieter verpflichtet werden, die neuen Vorgaben umzusetzen.

Die DORA verpflichtet Finanzunternehmen, dass IKT-Drittparteienrisiko durch eine angemessene Vertragsgestaltung zu managen. Hierzu gibt die DORA Mindestinhalte vor, die die Position des Finanzinstituts stärken und die Sicherheit erhöhen sollen. Doch welche Folgen hat dies auf künftige und bestehende Verträge?

Die DORA legt Finanzunternehmen eine Reihe neuer Pflichten auf. Dies kann besonders für kleine Unternehmen eine hohe Belastung darstellen. Doch wer fällt eigentlich in den Anwendungsbereich der Verordnung und sind die Spielregeln für alle Betroffenen dieselben?