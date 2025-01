Die Uhr tickt für Deutschlands Finanzunternehmen: Am 17. Januar wird die europäische Dora-Verordnung wirksam. So weit, so bekannt. Jetzt hat die Bafin einen weiteren Termin verkündet: Bis zum 11. April 2025 sollen alle Dora-Verpflichteten ihre Informationsregister bei der Behörde einreichen.

Dora zielt darauf ab, den Finanzsektor digital widerstandsfähiger zu machen. Als erste große Aufgabe sollen Unternehmen offenlegen, auf welche externen IT- und Kommunikationsunternehmen („IKT-Drittdienstleister“) sie zurückgreifen. Damit wollen die Aufseher einen Überblick gewinnen, welche Abhängigkeiten zwischen der Finanzbranche und ihren IT-Dienstleistern bestehen und wo es kritische Konzentrationen gibt.

Zweistufiges Bewertungsverfahren geplant

„Nicht jede Konzentration ist ein Risiko“, betont Sibel Kocatepe von der Bafin-IT-Aufsicht in einem Beitrag auf der Internetseite der Behörde. „Dora richtet den Fokus auf die Dienstleister aus der Informations- und Kommunikationstechnologie, von denen viele Finanzunternehmen Dienstleistungen beziehen.“

Im Fokus stehen also solche Dienstleister, deren Ausfall einen potenziell umfangreichen Schaden verursachen würde. Als Beispiel verweist die Bafin auf große Cloud-Anbieter aus den USA – Unternehmen wie Amazon, Microsoft oder Google.

Die Bafin teilt auch mit, was mit den eingereichten Registern geschehen soll: In einem zweistufigen Bewertungsprozess wollen die Aufseher ermitteln, welche Dienstleister sie als „kritisch“ ansehen. „Anhand quantitativer und qualitativer Kriterien wird ermittelt, welche Relevanz der IKT-Drittdienstleister auf dem europäischen Finanzmarkt hat“, heißt es von der Behörde. So sollen jene Anbieter herausgefiltert werden, „von deren Angebot ein bedeutender Teil des Finanzmarktes abhängig ist".

1.200% Rendite in 20 Jahren? Die besten ETFs und Fonds, aktuelle News und exklusive Personalien erhalten Sie in unserem täglichen Newsletter – gratis direkt in Ihr Postfach. Jetzt abonnieren! Ja, ich möchte den/die oben ausgewählten Newsletter mit Informationen über die Kapitalmärkte und die Finanzbranche, insbesondere die Fonds-, Versicherungs-und Immobilienindustrie abonnieren. Hinweise zu der von der Einwilligung mitumfassten Erfolgsmessung, dem Einsatz der Versanddienstleister June Online Marketing und Mailingwork, der Protokollierung der Anmeldung, der neben der E-Mail-Adresse weiter erhobenen Daten, der Weitergabe der Daten innerhalb der Verlagsgruppe und zu Ihren Widerrufsrechten finden Sie in der Datenschutzerklärung . Diese Einwilligung können Sie jederzeit für die Zukunft widerrufen. JETZT ANMELDEN Sie haben Post! Wir haben Ihnen eine Bestätigungs-E-Mail geschickt. Mit einem Klick auf den darin enthaltenen Button aktivieren Sie Ihr Abonnement. Tipp: Nichts bekommen? Schauen Sie auch in ihrem Spam-Ordner nach.

Von besonderem aufsichtlichen Interesse seien auch solche Anbieter, deren Dienste andere Anbieter gar nicht oder nur schwer erbringen könnten.

Die europäischen Aufsichtsbehörden (Esas) haben ihrerseits angekündigt, bis wann sie die Register der nationalen Aufsichten benötigen: Sie sollen dort zum 30. April vorliegen.

Liste kritischer Dienstleister folgt im zweiten Halbjahr 2025

Die Ergebnisse der Analyse sollen nicht lange unter Verschluss bleiben: „Eine Liste kritischer IT-Dienstleister wollen die europäischen Aufsichtsbehörden in der zweiten Jahreshälfte 2025 veröffentlichen“, kündigt die Bafin an.

Allerdings würden auch nicht alle Dienstleister unter die Lupe genommen. Ausgenommen sind beispielsweise Finanzunternehmen, die selbst der Finanzaufsicht unterliegen, sowie konzern- oder verbundinterne Dienstleister von Banken und Versicherungen: Ihr Ausfall würde nur punktuellen Schaden anrichten. Diese Anbieter blieben daher unter nationaler Aufsicht, heißt es von der Bafin.

So skizziert die Bafin den Überwachungsrahmen unter Dora