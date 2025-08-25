Die Bafin veröffentlicht neue Hinweise zur Umsetzung des Digital Operational Resilience Act (Dora). Besonders kleinere Institute sollen von den Erleichterungen profitieren.

Es ist ein sperriger Name für ein komplexes Regelwerk: Der Digital Operational Resilience Act, kurz Dora, wirbelt seit Januar die europäische Finanzbranche durcheinander. Während die großen Banken und Versicherer bereits seit Monaten ihre IT-Systeme auf die neuen Anforderungen ausrichten, stehen viele kleinere Finanzdienstleister noch vor der Herausforderung der praktischen Umsetzung. Eine Dora-Checkliste für Vermögensverwalter finden Sie hier.

Die Bundesanstalt für Finanzdienstleistungsaufsicht (Bafin) hat nun ihre zweite Aufsichtsmitteilung zu Dora veröffentlicht. Auf 30 Seiten zeigt die Behörde detailliert auf, wie Unternehmen die vereinfachten Anforderungen des Artikels 16 umsetzen können. Etwa 1.100 Finanzunternehmen fallen unter diese erleichterten Bestimmungen.

Zwei Gruppen von Unternehmen betroffen

Die Aufsichtsmitteilung richtet sich an zwei unterschiedliche Gruppen: Zum einen an Institute, die nicht unter die Kapitaladäquanzverordnung fallen und ab Januar 2027 die vereinfachten Dora-Anforderungen anwenden müssen. Diese ersetzen dann die bisherigen Bankaufsichtlichen Anforderungen an die IT (BAIT).

Zum anderen wendet sich die Bafin an kleine Einrichtungen der betrieblichen Altersvorsorge, kleine Wertpapierinstitute und Versicherungsholdings, die bereits seit Anfang 2025 unter die vereinfachten Dora-Bestimmungen fallen.

Systematischer Vergleich mit bestehenden Regelungen

Die Bafin vergleicht in ihrer Mitteilung die bekannten Rundschreiben BAIT und VAIT systematisch mit den neuen Dora-Vorschriften. Unternehmen, die bereits die deutschen IT-Rundschreiben vollständig umgesetzt haben, sind demnach gut auf Dora vorbereitet und können beim IKT-Risikomanagementrahmen von Vereinfachungen profitieren.

Fokusverschiebung zu IKT-Risikomanagement

Dora verschiebt den Schwerpunkt von der reinen Informationssicherheit hin zum Management von IKT-Risiken und zur digitalen operationalen Resilienz. „Die Akzente sind verschoben“, erläutert Bafin-Expertin Silke Brüggemann die Unterschiede zwischen den Regelwerken.

Zentrale Aufgaben bleiben jedoch bestehen: Unternehmen müssen ihre IKT- und Informationsassets klassifizieren, Geschäftsfortführungspläne erstellen und ihre Abhängigkeiten von IT-Drittdienstleistern managen. Diese Anforderungen werden stärker risikoorientiert und weniger detailliert geregelt.

Erweiterte Verantwortung der Führungsebene

Dora konkretisiert die Aufgaben des Leitungsorgans deutlicher als die bisherigen deutschen Vorschriften. Es trägt die Gesamtverantwortung für das IKT-Risikomanagement und muss die erforderlichen Budgetmittel zuweisen. Zudem muss es die Ziele für die Informationssicherheit festlegen und die entsprechenden Verfahren genehmigen.

Drittparteienrisikomanagement weniger vereinfacht

Während beim IKT-Risikomanagement erhebliche Erleichterungen greifen, fallen die Vereinfachungen beim Management von Drittparteienrisiken geringer aus. Unternehmen müssen zwar keine umfassende IKT-Drittparteienrisikostrategie entwickeln, jedoch werden die Vertragsanforderungen teilweise ausgeweitet. Die Bafin hat bereits eine detaillierte Liste der Mindestvertragsbestandteile auf ihrer Website veröffentlicht.

Umsetzungsfristen variieren

Die Umsetzungsfristen unterscheiden sich je nach Unternehmenstyp. Versicherungsholdings wenden die neuen Anforderungen bereits seit Anfang 2025 an. Institute, die nicht unter die Kapitaladäquanzverordnung fallen, müssen bis Ende 2026 von den BAIT auf Dora umstellen.

Die Bafin betont, dass ihre Umsetzungshinweise nicht verbindlich sind, aber die Verwaltungspraxis der Aufsicht transparent machen. Sie sollen Unternehmen bei der praktischen Umsetzung der Dora-Anforderungen unterstützen.