Suche Event Calendar Icon EVENTKALENDER Newsletter Icon Newsletter Icon Newsletter Abonnieren
  • Startseite
  • Dora-Verordnung: Der Stichtag ist kaum einzuhalten

Von in NewsLesedauer: 5 Minuten
Security
Serverraum: Die Dora-Verordnung soll für mehr Cybersicherheit bei europäischen Finanzfirmen sorgen. | Foto: Imago Images

Dezember ist angebrochen, bald ist der 3. Advent. Da pirscht sich im Windschatten von Weihnachten ein weiterer Termin heran: der 17. Januar 2025, Stichtag für die Dora-Verordnung. Dora steht kurz für Digital Operational Resiliance Act, die Verordnung trägt die Nummer (EU) 2022/2554.

Dora soll Banken, Versicherer und Fondsgesellschaften in der EU sicherer und widerstandsfähiger gegen Cyberrisiken und Systemausfälle machen. Laut der Finanzaufsichtsbehörde Bafin betrifft Dora allein in Deutschland 3.600 Finanzunternehmen – darunter sind laut BVI auch 144 Fondsgesellschaften. „Dora ist auch für unsere Branche ein riesiges Projekt“, meint BVI-Hauptgeschäftsführer Thomas Richter. Die Mammutregulierung erinnere ihn an die Finanzvertriebsrichtlinie Mifid II, sagt Richter im Podcast-Gespräch mit BVI-Risikomanagement-Leiterin Peggy Steffen. Nur: „Dora ist, was den Umsetzungsaufwand angeht, noch größer.“

Wie so oft, wenn ein wichtiger Regulierungstermin ansteht, wird es hektisch. Das zeigt allein schon die Zahl der Suchanfragen bei Google. In den Monaten zu Ende des laufenden Jahres suchen Nutzer besonders häufig nach den Stichwörtern „Dora Verordnung“. 

Google-Suchanfragen zu Dora schnellen in die Höhe

Die Grafik zeigt die Anzahl der monatlichen Suchanfragen nach „Dora Verordnung“ seit 2019
Die Grafik zeigt die Anzahl der monatlichen Suchanfragen nach „Dora Verordnung“ seit 2019. © Mangools kwfinder

 

In wenigen Wochen soll Dora nun in Kraft treten. Doch aus der Fondsbranche heißt es, dass die Deadline für die Unternehmen kaum einzuhalten sei, berichten Richter und Steffen im Podcast. Wo hakt es genau? Steffen erläutert: „Dora ist kompliziert in der Umsetzung, weil es so viele verschiedene Bereiche betrifft – von Reporting über Risikomanagement bis zum Vertragsmanagement.“

Neben dem Rahmenwerk, der eigentlichen Verordnung, müssen die Aufsichtsbehörden diverse Detailvorgaben vorschlagen und beschließen. Die Details folgen eine Ebene darunter, auf Level 2. „Woran es hakt, sind die sogenannten Level-2-Maßnahmen. Das sind insgesamt 14 Rechtsakte, die von der EU-Kommission verabschiedet werden müssen“, erläutert Steffen. 

Ein Rechtsakt, auf den die Dora-Verpflichteten lange warten mussten, wurde Ende November veröffentlicht: die Detailregeln zu den Informationsregistern über die sogenannten IKT-Drittdienstleister.

>> Hier geht es zu dem Dokument der EU-Kommission

Das Informationsregister ist ein zentraler Bestandteil von Dora. Unternehmen sollen dort alle Verträge auflisten, die sie mit externen Informations- und Kommunikationsdienstleistern geschlossen haben. So sollen Konzentrationen am Markt sichtbar werden. 

Bild

1.200% Rendite in 20 Jahren?

Die besten ETFs und Fonds, aktuelle News und exklusive Personalien erhalten Sie in unserem täglichen Newsletter – gratis direkt in Ihr Postfach. Jetzt abonnieren!

Go

LEI versus EU-ID 

Steffen weist auf ein Problem hin, das den Unternehmen zu schaffen macht: Es gibt Unstimmigkeiten beim Legal Identifier, LEI. Der LEI ist ein 20-stelliger Code, der juristische Personen im Finanzwesen ausweisen soll. Beantragen lässt er sich bei verschiedenen Stellen, die unter Aufsicht des international tätigen Finanzstabilitätsrats stehen. Er kostet eine zwei- bis niedrig dreistellige Gebühr. Die europäischen Aufsichtsbehörden (Esas) hatten vorgeschlagen, dass zukünftig auch alle IKT-Drittdienstleister, die Banken, Versicherungen und Fondsgesellschaften zuarbeiten, einen LEI beantragen sollen.

Allerdings hat die EU-Kommission ein eigenes Identifikationssiegel entwickelt – den „European Unique Identifier“. Der EU-ID ist im Gegensatz zum LEI kostenlos. Dienstleister sollten wahlweise auch diesen nutzen können, wünscht man sich in Brüssel. „Dann müssen die Fondsgesellschaften aber erst einmal nachsehen, welchen Identifier der Dienstleister jeweils hat“, ärgert sich Steffen. Zudem ist der EU-ID – im Gegensatz zum zentral erfassten LEI – nur dezentral über die Amtsgerichte verfügbar. 

Insgesamt falle den Fondsgesellschaften das Management rund um die externen IKT-Dienstleister, darunter das Aufbereiten und Anpassen von Dienstleistungsverträgen besonders schwer, schätzt Steffen. 

Dora: Einige Projekte erst in zwei bis drei Jahren fertig

Dass das Thema nicht nur bei den Fondsgesellschaften, sondern auch anderen Dora-Verpflichteten (wer genau unter die Verordnung fällt, steht hier) Probleme in der Umsetzung auslöst, beobachtet auch Christian Brockhausen: „Dora fordert zu viel in zu kurzer Zeit. Die Vorschriften bringen viele Unternehmen an ihre Grenze. Gerade kleinere Unternehmen haben große Probleme mit der Umsetzung", so der Unternehmensberater von der Kanzlei Wavestone. „Zwar gibt es in Dora den Proportionalitätsansatz. Dennoch wird von kleineren Unternehmen sehr viel gefordert – bei gleichzeitig begrenztem Personal.“

Wünschenswert wäre seiner Einschätzung nach eine stufenweise Einführung gewesen. Brockhausen schätzt: „Es wird einige Unternehmen geben, die ihre Dora- Projekte erst in zwei oder drei Jahren abschließen werden.“

Umsetzungsgesetz fehlt

Mit dem Bruch der Ampelkoalition ist darüber hinaus das deutsche Umsetzungsgesetz für die Dora-Verordnung, das FinmadiG (Finanzmarktdigitalisierungsgesetz), auf der Strecke geblieben. Dort stehen unter anderem Vorgaben zur Abschlussprüfung: Wirtschaftsprüfer brauchen erst in ihren Prüfberichten für 2026 zu erfassen, wie Unternehmen die Dora-Regeln 2025 eingehalten haben. Das würde den Unternehmen mehr Zeit für die Umsetzung lassen. Allein: Ob und wann das Gesetz beschlossen wird, ist unklar. 

Das ändert allerdings nichts daran, dass Dora ab dem 17. Januar auch in Deutschland wirksam wird, erinnert Steffen. Beim BVI will man insgesamt am Ball bleiben. „Wir führen Gespräche mit Bafin und EU-Kommission, um offene Fragen zu klären“, versprechen die Verbands-Verantwortlichen.

Wie hat Ihnen der Artikel gefallen?
Danke für Ihre Bewertung
Leser bewerteten diesen Artikel durchschnittlich mit 0 Sternen
PDF nur für Sie. Weitergabe? Fragen Sie uns.
Newsletter Titelbild
Ja, ich möchte den/die oben ausgewählten Newsletter mit Informationen über die Kapitalmärkte und die Finanzbranche, insbesondere die Fonds-, Versicherungs-und Immobilienindustrie abonnieren. Hinweise zu der von der Einwilligung mitumfassten Erfolgsmessung, dem Einsatz der Versanddienstleister June Online Marketing und Mailingwork, der Protokollierung der Anmeldung, der neben der E-Mail-Adresse weiter erhobenen Daten, der Weitergabe der Daten innerhalb der Verlagsgruppe und zu Ihren Widerrufsrechten finden Sie in der Datenschutzerklärung. Diese Einwilligung können Sie jederzeit für die Zukunft widerrufen.
+
Anmelden