Die laufenden Jahresabschlussprüfungen zeigen wie wichtig die Schulung von Geschäftsführungen von Kapitalverwaltungsgesellschaften und Wertpapierinstituten zum Nachweis ihrer DORA-Kompetenz sind.
In unserer Geschäftsführerschulung zur DORA-Verordnung erhalten Sie einen kompakten Überblick darüber, welche Pflichten die Geschäftsführung hierbei zu erfüllen hat und welche Haftungsfragen sich ergeben können.
Unsere Referentinnen und Referenten informieren Sie bspw. über:
Die Gründe für DORA (Allgemein)
Einführung in die DORA-Verordnung
Zentrale Vorschriften und Umsetzung von DORA
Abgrenzung DORA zu anderen Regelungen der Informationssicherheit
Verantwortungsbereich des Leitungsorgans
Besonderheiten der schriftlich fixierten Ordnung, IKT-Informationsregisters, IKT-Vorfallsmanagement, IKT-Drittparteienmanagement, etc. (im Allgemeinen)
Operatives Arbeitsmodell (inkl. Quartärlicher IKT-Berichterstattung, Integration des IKT-Risikomanagements in das unternehmensweite Risikomanagement)
Aufgaben des IKT-Risikomanagers
Aus unserer bisherigen intensiven Schulungserfahrung zu diesem Thema veranschlagen wir 90 Minuten, um die Geschäftsführung zum Thema abzuholen und auf wesentliche und vor allem auch kritische Aspekte der DORA aus der Sicht eines Geschäftsführers hinzuweisen.
Selbstverständlich bringen wir hier auch unsere gesammelten Erfahrungen aus bereits vorliegenden Prüfungsergebnissen und Rückmeldungen von Wirtschaftsprüfern, Internen Revisionen oder der Aufsicht und – damit einhergehend – deren Anforderungen zur Umsetzung der DORA bei regulierten Finanzunternehmen ein.
Sollten wir mit unseren Ausführungen ihr Interesse für einen weiteren Austausch geweckt haben oder sollten sie Rückfragen haben, kommen sie jederzeit auf uns zu.
Seit über einem Jahr ist nun DORA (Digital Operational Resilience Act) verbindlich von Finanzunternehmen anzuwenden.
Erfahrungsberichte zur DORA‑Einführung zeigen ein relativ einheitliches Muster: Viele Finanzunternehmen unterschätzen den Aufwand, insbesondere in der operativen Umsetzung. DORA wird als deutliche Verschärfung gegenüber bisherigen IT‑Rundschreiben (z.B. BAIT oder KAIT) empfunden, insbesondere wegen der neuen Detailtiefe und des EU‑weit einheitlichen Anspruchs. DORA-Compliance bedeutet aber nicht nur die Erstellung von Dokumenten, sondern Prüfer und Aufsicht erwarten vielmehr, dass digitale Resilienz tatsächlich im Tagesgeschäft gelebt wird.
Aufsichtsbehörden kündigen zudem an, DORA als Schwerpunkt in (Sonder-)Prüfungen zu setzen.
Wie wichtig der deutschen Aufsicht das Thema ist, zeigen auch mittlerweile regelmäßig von der BaFin stattfindende Veranstaltungen zum Thema. Zuletzt am 4. Februar 2026 kündigte sie unter dem Titel „DORA: BaFin-Workshop zur Einreichung der Informationsregister 2026“ für den 24. und 26. Februar 2026 zwei Online-Workshops über die Anforderungen an Informationsregister an; ein Schwerpunkt soll hierbei die Erfahrungen aus dem vergangenen Jahr 2025 sein.
Bereits am 4. Dezember 2025 hatte die BaFin in einem virtuellen Event unter dem Titel „IT‑Aufsicht im Finanzsektor: Das erste Jahr DORA“ über 4 500 Teilnehmer:innen über ihre Erwartungshaltung zu DORA informiert. Gemeinsam mit Nikolas Speer, Exekutivdirektor Bankenaufsicht der BaFin, wurden hierbei zentrale Erkenntnisse aus dem ersten Jahr DORA gezogen. Die BaFin hat anhand der Praxiserfahrung deutlich gemacht, dass DORA nicht nur formale Vorgabe ist, sondern aktiv im täglichen Risikomanagement verankert werden muss. Insbesondere mit Blick auf vermehrte IKT-Vorfälle und -Konzentrationsrisiken stellt die BaFin klare Erwartungen an die Branche und positioniert sich selbst als zentraler Akteur zur Beobachtung und Steuerung dieser Risiken.
Die Erwartungshaltung der BaFin spiegelt sich auch im bereits im August 2025 vom Institut der Wirtschaftsprüfer veröffentlichten Entwurf des IDW EPS 528 wider, der die Prinzipien für Abschlussprüfer zur Beurteilung der Einhaltung der DORA im Finanzsektor und damit auch Kapitalverwaltungsgesellschaften und Wertpapierinstituten festlegen wird. Mit der Finalisierung des Standards wird in den nächsten Wochen gerechnet. Zwar hat die BaFin mit den IDW-Erleichterungen für das Prüfungsjahr 2025 in dem Sinne vereinbart, über im Jahr der Erstprüfung der Umsetzung der DORA-Anforderungen festgestellte Mängel bei betroffenen Finanzunternehmen, die bereits während dieses Jahres vollständig behoben werden, nicht näher berichten zu müssen; dies gilt aber nicht für die zum Ende des Berichtszeitraums weiterhin bestehenden Mängel.
Die VIVACIS Consulting GmbH hat sich bereits frühzeitig als Beratungshaus auf die Umsetzung der neuen DORA-Regelungen spezialisiert. Zwischenzeitlich können wir auf eine Praxiserfahrung von sehr zahlreichen DORA-Umsetzungsprojekten insbesondere bei Kapitalverwaltungsgesellschaften und Wertpapierinstituten aller Größenklassen zurückschauen. Unsere Beauftragung erfolgte zuletzt auch als Reaktion zur Beseitigung von stattgefundenen § 44-Sonderprüfungen der BaFin zum Thema DORA. Die Ergebnisse unserer Umsetzungsprojekte haben in den letzten Wochen zudem bereits zahlreiche Überprüfungen von (Konzern-)Revisionen, Vorprüfungen der Big4 oder Next15 Wirtschaftsprüfer oder die sog. „Quick Checks“ von anderen Beratungshäusern durchlaufen, in denen sich jeweils unser hoher Qualitätsstandard in der Umsetzung herausgestellt hat.
Ergänzt wird unsere DORA-Expertise durch die Übernahme der mit DORA neu geschaffenen Funktion des „IKT-Risikomanagers“, den wir operativ im Zuge der Auslagerung im Sinne von § 36 KAGB bzw. § 40 WpIG bei unseren Kunden übernehmen. Beginnend mit dem DORA-Reporting in Q1/2025 haben sich bisher bereits zahlreiche Gesellschaften für diese Zusammenarbeit mit der VIVACIS entschieden.
Neben der Durchführung von eigenen Schulungen von Geschäftsführungen und Mitarbeitern von Kapitalverwaltungsgesellschaften und Wertpapierinstituten zum Nachweis der DORA-Kompetenz, besuchen unsere Mitarbeiter ebenfalls regelmäßig Zertifikatslehrgänge zu DORA und arbeiten in Fachgremien von Verbänden mit, um ihr Wissen stets aktuell zu halten.
Sollten wir mit unseren Ausführungen ihr Interesse für einen weiteren Austausch geweckt haben oder sollten sie Rückfragen haben, kommen sie jederzeit auf uns zu.
Die Finanzbranche steht vor bedeutenden Veränderungen durch die neuen regulatorischen Entwicklungen im Bereich der Bekämpfung von Geldwäsche und Terrorismusfinanzierung (kurz AML/CFT). Die im Sommer 2024 verabschiedete AML-Verordnung (EU) 2024/1620 und die 6. AML-Richtlinie (EU) 2024/1640 bringen weitreichende Änderungen mit sich, die sowohl Chancen als auch Herausforderungen für alle Finanzinstitute darstellen.
Um die neue Dringlichkeit in diesem regulatorischen Themenfeld zu erhöhen, befindet sich aktuell mit der Authority for Anti-Money Laundering and Countering the Financing of Terrorism (AMLA) eine neue und thematisch eigenständige Europäische Aufsichtsbehörde im operativen Aufbau. Die europäische Finanzindustrie blickt daher zukünftig nicht nur wegen der Europäischen Zentralbank EZB nach Frankfurt am Main, sondern auch zur AMLA.
Die AML-Verordnung und die AML-Richtlinie zielen darauf ab, die Bekämpfung von AML/CFT innerhalb der EU zu stärken und zu harmonisieren. Sie markieren einen Paradigmenwechsel in der Geldwäschebekämpfung innerhalb der EU. Die AML-Verordnung wird Juli 2027 unmittelbar in allen Mitgliedsländern der EU gelten. Die 6. AML-Richtlinie ergänzt und ersetzt die bisherigen Geldwäsche-Richtlinien und erfordert die Umsetzung in nationales Recht innerhalb von drei Jahren. Das bisherige Geldwäschegesetz (GwG) verliert somit an Bedeutung.
Ein zentrales Thema vieler Diskussionen ist die (künftige) Rolle der AMLA und das neue AML/CFT Single Rulebook, das EU-weit einheitliche Regelungen für die Bekämpfung von AML/CFT schafft. In ihrer in Fachkreisen viel beachteten Rede anlässlich des „European Anti-Financial Crime Summit“ am 7. Mai 2025 in Dublin hat AMLA Chair Bruna Szego die Kernaufgaben der Aufsicht sowie deren erste Prioritäten skizziert. Dabei wird die Notwendigkeit einer engen Zusammenarbeit zwischen Finanzinstituten und Aufsichtsbehörden betont, um eine effektive Umsetzung zu gewährleisten. Damit in der Bekämpfung der Finanzkriminalität zukünftig „europäisch“ gesprochen wird, strebt die AMLA ein Aufbrechen der nationalen Interpretationen an; so hat die BaFin hat mit ihrer vermutlich letzten großen Novellierung ihrer Auslegungs- und Anwendungshinweise zum GwG im November 2024 bereits deren Auslaufen ab Mitte 2027 angekündigt.
Besonders hervorzuheben ist die Bedeutung von Technologie und Innovation bei der Bekämpfung von Finanzkriminalität. Die AMLA hat den eigenen Anspruch kommuniziert, zukünftig eine Vorreiterrolle in der Nutzung sicherer und effizienter digitaler Tools einzunehmen und vorzuleben – um technologisch auf Augenhöhe mit denjenigen zu sein, denen sie das Handwerk legen möchte. Die AMLA wird sich an der Dublin-Rede ihrer Vorsitzenden messen lassen müssen. Welche Erwartungshaltungen die AMLA daraus an die Verpflichteten ableiten wird, wird mit Spannung erwartet.
Zusätzlich werden die europäischen Financial Intelligence Units (FIUs) – die Zentralstellen für Finanztransaktionsuntersuchungen und Verdachtsmeldungen im Bereich Geldwäsche – strategisch gestärkt, da die AMLA zusätzlich auch die zentrale Koordinierungsrolle über die FIUs übernehmen wird. Somit wurde die AMLA mit Zuständigkeiten in einem breiten Kompetenzspektrum befugt, von dem weitere Synergieeffekte zu erwarten sind.
Mit der AML-Verordnung rückt darüber hinaus ein zusätzliches Themenfeld in den in den Blickpunkt von Aufsicht und Prüfern: Sanktionen (Sanctions). Für Verpflichtete wird ab Juli 2027 zusätzlich die explizite Pflicht bestehen, das Risiko der Nichtumsetzung und Umgehung gezielter finanzieller Sanktionen zu mindern und zu steuern. Bisher ergaben sich rechtliche Verpflichtungen lediglich aus dem Außenwirtschaftsgesetz (AWG), flankiert durch erläuternde Erwartungshaltungen der Deutschen Bundesbank. Dass nun AML/CFT/Sanctions den Dreiklang der AML-Verordnung bilden, wird zwangsläufig mit methodischen Brüchen in der Umsetzung verbunden sein. Während sich in Hinblick auf AML/CFT der risikobasierte Ansatz als Leitmotiv herausgebildet hat, liegt dem Themenfeld Sanctions eine binäre Logik zugrunde – entweder ist eine natürliche bzw. juristische Person mit gezielten finanziellen Sanktionen belegt und wird auf Sanktionslisten geführt oder eben nicht. Sanctions-Screening wird somit zur unerlässlichen Teildisziplin aufgewertet und ist von allen Verpflichteten umfassend in der Ablauforganisation zu integrieren; dies kann insbesondere kleinere Marktteilnehmer vor Herausforderungen stellen.
Verpflichtete müssen ein Mitglied des Leitungsorgans in seiner Leitungsfunktion benennen, das dafür verantwortlich ist, sicherzustellen, dass insbesondere die AML-Verordnung und von Aufsehern erlassene Verwaltungsakte eingehalten werden. Falls das Leitungsorgan in seiner Leitungsfunktion für seine Entscheidungen kollektiv verantwortlich ist, so ist das benannte Mitglied dafür zuständig, es zu unterstützen, zu beraten sowie Entscheidungen vorzubereiten. Hinsichtlich AML/CFT/Sanctions haftet die Geschäftsleitung künftig in vergleichbarer Weise zur DORA-Regulierung.
Mit der neuen Geldwäscheregulierung kommen neue Transparenz- und Sorgfaltspflichten auf die Finanzinstitute zu. Umfassende Änderungen hinsichtlich der Compliance- und Risikomanagementstrategien müssen von den betroffenen Gesellschaften vorgenommen werden. Neue interne Kontrollmechanismen sind zu implementieren und geeignete Schulungskonzepte innerhalb der Gesellschaften zu entwickeln, um den neuen Anforderungen gerecht zu werden.
Vor dem Hintergrund des Komplexitätsgrades der Vorgaben und des tiefen Hineinwirkens in die Aufbau- und Ablauforganisation der Verpflichteten ist eine zeitnahe proaktive Auseinandersetzung mit dem neuen Geldwäscheregime wesentlich für eine erfolgreiche Umsetzung. Dass zum aktuellen Zeitpunkt noch nicht alle technischen Regulierungsstandards, Leitlinien etc. ausformuliert vorliegen, ist als Chance zu begreifen, sich als Verpflichteter gemeinsam mit der Regulatorik weiterzuentwickeln – um von der zu erwartenden Dynamik nicht überrollt zu werden, wenn die AMLA als europäischer Standardsetzerin mit ihrer angestrebten Personalstärke von größer 400 Mitarbeitenden erst einmal operativ volle Fahrt aufgenommen haben wird.
Die VIVACIS Consulting GmbH möchte Sie dabei unterstützen, die Neuerungen zu verstehen, die Einhaltung der hiermit verbunden Vorschriften sicherzustellen und eine dauerhaft, nachhaltige Umsetzung zu gewährleisten.
Unterstützungsleistungen der VIVACIS bei der planvollen und effizienten Umsetzung der neuen Vorgaben im Themenkomplex Geldwäsche, Terrorismusfinanzierung und Sanktionen (AML/CFT/Sanctions)
Unterstützung bei der vollständigen Umsetzung der Vorgaben
Zur vollständigen Abarbeitung der sich aus den neuen Vorgaben ergebenden Herausforderungen hat die VIVACIS einen Vier-Phasenansatz entwickelt.
Durchführung AML/CFT/Sanctions-Readiness Checks zur Qualitätssicherung
Wurden von der betroffenen Gesellschaft bereits Umsetzungsmaßnahmen zum neuen Regulierungsregime bzgl. AML/CFT/Sanctions vorgenommen, bietet die VIVACIS die Durchführung eines Readiness Checks zur Qualitätssicherung an. Dieser gliedert sich in drei Projektschritte:
Schritt 1: Projekt-Kick-Off
Schritt 2: Review GAP-Analyse VIVACIS führt einen Review der bisher gemachten Ergebnisse der GAP-Analyse durch. Themenschwerpunkte sind hierbei u.a.: Governance- und Kontrollrahmen (einschließlich interne Strategien und Verfahren), Risikomanagementrahmen bzgl. AML/CFT/Sanctions (einschließlich unternehmensweite Risikobewertung), Sorgfaltsmaßnahmen gegenüber Kunden (KYC), Abklärung des Wirtschaftlichen Eigentümers, Maßnahmen in Bezug auf die Umsetzung gezielter finanzieller Sanktionen, Verdachtsmeldewesen, Aufzeichnungspflichten, ggf. Berücksichtigung von gruppenweiten Anforderungen. In der Bewertung der VIVACIS werden die kunden- bzw. assetklassenspezifischen Gegebenheiten berücksichtigt sowie die Auswirkungen der Anforderungen auf die Organisation und Prozesse des Verpflichteten beurteilt. Im Rahmen von Reviews gibt die VIVACIS auch Hinweise zu ggfs. noch zu regelnden Aspekten. Die Ergebnisse des Reviews werden schriftlich (in Excel) dokumentiert, anschließend besprochen und finalisiert.
Schritt 3: Review der bereits erstellten AML/CFT/Sanctions-Dokumentation bzw. Umsetzungsmaßnahmen Zunächst erfolgt ein Festlegen des Dokumentenuniversums (Teile der „Schriftlich Fixierten Ordnung“ (SFO)), welches im Rahmen des Reviews untersucht werden soll. Anschließend erfolgt die Durchführung des Reviews durch die VIVACIS hinsichtlich der definierten SFO zu AML/CFT/Sanctions.
Die Ergebnisse des Reviews werden schriftlich dokumentiert, anschließend besprochen und finalisiert.
Nach erfolgter Umsetzung der Anforderungen bzgl. AML/CFT/Sanctions übernimmt die VIVACIS die Funktion des Geldwäschebeauftragten. Unsere langjährigen Funktionsträger sind in der Szene bestens vernetzt, bei Prüfern anerkannt und engagieren sich in einschlägigen Berufsverbänden, wie z.B. im Bundesverband Geldwäscheprävention e.V.. Um am Puls der regulatorischen Zeit zu bleiben, nehmen unsere Spezialisten regelmäßig an relevanten Fachveranstaltungen und Kongressen teil, wirken an Stellungnahmen zu Konsultationen von Aufsichtsbehörden oder Gesetzesentwürfen mit und werden regelmäßig als externe Referenten angefragt.
Sollten wir Interesse geweckt haben oder Fragen zur Umsetzung der neuen Vorgaben im Bereich AML/CFT/Sanctions haben, kommen Sie gerne auf uns zu.
DORA ist seit dem 17. Januar 2025 in der Finanzwelt anzuwenden. Die Umsetzung der DORA-Anforderungen war und ist weiterhin aufwendig, unternehmensintern wie -extern werden enorme Ressourcen gebunden, vielfach sind die Transformationsprozesse nicht abgeschlossen.
Unter dem Motto „100 Tage DORA – Lessons Learned“ werden wir im Rahmen eines Webcasts pointiert aus unserer Praxis zu den „Painpoints“ der Umsetzung berichten, damit Sie die Ziellinie zur DORA-Compliance erreichen oder erste Verbesserungsmaßnahmen anstoßen können.
Neben einem kurzen regulatorischen Update werden wir Ihnen Lösungsansätze für eine effiziente organisatorische und prozessuale Verankerung von DORA vorstellen.
Darüber hinaus werden wir zu unseren Erfahrungen berichten hinsichtlich der Implementierung der Schlüsselposition des IKT-Risikomanagers sowie zum ersten Quartalsreporting betreffend das IKT-Risikomanagement. Eingehen werden wir im Übrigen zu den Do´ s & Dont´s bei der Gestaltung von IKT-Verträgen sowie dem Ausfüllen des IKT-Informationsregisters. Der Fokus der Veranstaltung richtet sich vor allem auf kleine und mittlere Wertpapierinstitute sowie Kapitalverwaltungsgesellschaften.
Datum:
Montag, den 19. Mai 2025
Zeit:
11:30 Uhr bis 12:00 Uhr
Referent:innen:
Expert:innen von Luther Rechtsanwaltsgesellschaft mbH, KnowledgeRiver GmbH und VIVACIS Consulting GmbH
Plattform:
Microsoft Teams
Falls Sie gerne an unserer, für Sie kostenfreien, Online-Veranstaltung teilnehmen möchten, melden Sie sich gerne bei uns (jasmin.oliveira@vivacis.de). Sie erhalten anschließend einen Link, mit dem Sie dem Meeting beitreten können.
Künstliche Intelligenz (KI) kommt bereits in vielen Unternehmen „probeweise“ oder bereits gezielt zur Vereinfachung der täglichen Abläufe und zur Steigerung der Effizienz zum Einsatz. Allen voran stehen Lösungen wie Microsoft Copilot oder ChatGPT von OpenAI. Trotzdem stehen wir beim Einsatz von KI und der Nutzung seiner Chancen erst am Anfang einer sich weiter beschleunigenden Entwicklung.
Doch mit KI sind auch zahlreiche Risiken verbunden. Vor diesem Hintergrund ist seit dem 1. August 2024 ist die EU-Verordnung (EU) 2024/1689 über harmonisierte Vorschriften für künstliche Intelligenz (KI-Verordnung, Englisch: EU AI-Act) in Kraft. Die KI-Verordnung zielt darauf ab, die Risiken für Gesundheit, Sicherheit, Grundrechte, Demokratie, Rechtsstaatlichkeit und Umwelt zu mindern. Sie macht klare Vorgaben für die Entwicklung und Nutzung von KI gesetzt und legt Regeln fest, um den Einsatz von KI-Technologien sicherer und transparenter zu gestalten und das Vertrauen in KI-Systeme zu stärken.
Als Verordnung musste Deutschland die neuen Regeln nicht erst in deutsches Recht umsetzen. Nach eingeräumten Übergangsfristen gelten nun seit dem 2. Februar 2025 umfassende Regelungen für den Einsatz von KI in Deutschland. Die Sanktionen im Rahmen der KI-Verordnung sind hoch und dienen als starkes Mittel, um die Einhaltung der Vorschriften zu erzwingen.
Die VIVACIS Consulting GmbH möchte sie dabei unterstützen, die Bedingungen der KI-Verordnung zu verstehen, die Einhaltung der hiermit verbunden Vorschriften sicherzustellen und eine dauerhaft, nachhaltige Umsetzung zu gewährleisten.
Unser praxiserprobtes Vorgehen haben wir dabei wie folgt unterteilt:
Governance und Compliance gewährleisten:
Alle eingesetzten KI-Systeme müssen den neuen Vorgaben entsprechen. Wir unterstützen sie mit unserer Expertise und unseren hieraus abgeleiteten Empfehlungen gerne dabei, effiziente Governancestrukturen in ihrem Unternehmen zu implementieren, diese im Rahmen ihrer Schriftlich fixierten Ordnung – ggfs. ergänzt um Toolsets – zu verankern und so eine reibungslose und regelkonforme Umsetzung der KI-Verordnung zu erreichen.
KI-Fachwissen entwickeln:
Seit dem 2. Februar 2025 gelten KI-Schulungspflichten, die sich aus der KI-Verordnung ergeben und umfassende Kenntnisse und fundiertes Know-how im Umgang mit KI verlangen. Betreiber & Anbieter von KI-Systemen müssen gemäß Art. 4 KI-Verordnung sicherstellen, dass „ihr Personal und andere Personen, die in ihrem Auftrag mit dem Betrieb und der Nutzung von KI-Systemen befasst sind, über ein ausreichendes Maß an KI-Kompetenz verfügen“.
VIVACIS unterstützt sie gerne dabei ein KI-Schulungskonzept zu entwickeln und regelmäßige interne Schulungen in ihrem Unternehmen durchzuführen.
Sollten wir Interesse geweckt haben oder Fragen zur Umsetzung der KI-Verordnung haben, kommen sie gerne auf uns zu.
