Navigation
23. Januar 2025
von Stefanie-K

DORA findet Anwendung und xAITs treten ab


Die Verordnung (EU) 2022/2554 über die digitale operationale Resilienz im Finanzsektor (im Folgenden: Digital Operational Resilience Act, DORA) ist am 16. Januar 2023 in Kraft getreten. Sie findet seit dem 17. Januar 2025 Anwendung auf die betroffenen Gesellschaften. Mit DORA, hat die Europäische Union eine finanzsektorweite Regulierung für die Themen Cybersicherheit, Informations- und Kommunikationstechnologie (IKT) – Risiken und digitale operationale Resilienz geschaffen. DORA soll wesentlich dazu beitragen, den europäischen Finanzmarkt gegenüber Cyberrisiken und Vorfällen der IKT zu stärken. Um Doppelregulierung zu vermeiden, hat die Bundesaufsicht für Finanzdienstleistungsinstitute (BaFin) über ihr Informationsscheiben vom 19. Dezember 2024 – mit der Anwendung von DORA – die aufsichtlichen Anforderungen an die IT (xAIT) zum Ablauf des 16. Januar 2025 für alle Institute und KVGen aufgehoben, die nicht nach dem Finanzmarktdigitalisierungsgesetz (FinMaDig) reguliert sind.
Die BaFin hat zudem zum 16. Dezember 2024 aktualisierte „Bankaufsichtliche Anforderungen an die IT (BAIT)“ veröffentlicht. Mit Ablauf des 16. Januar 2025 werden hiernach Institute, die ab dem 17. Januar 2025 ein Risikomanagement für die IKT nach Artikel 5 bis 15 oder Artikel 16 DORA betreiben müssen, aus dem Anwenderkreis der BAIT ausgenommen. Die neue Fassung der BAIT berücksichtigt damit bereits die Übergangsregelungen und Anforderungen im Zusammenhang mit DORA.

Konkret gilt es zu beachten:

  • Aufhebung KAIT, VAIT und ZAIT (ab 17. Januar 2025)

Die Regelungen aus KAIT, VAIT und ZAIT treten mit Ablauf des 16. Januar 2025 außer Kraft. Ab dem 17. Januar 2025 gelten ausschließlich die DORA-Vorgaben.

  • Reduzierung des Anwenderkreises der BAIT (ab 17. Januar 2025)

Institute, die ab diesem Datum ein IKT-Risikomanagement gemäß DORA (Artikel 5–15 oder Artikel 16) betreiben müssen, fallen nicht mehr unter die BAIT. Kapitel 11 (Kundenbeziehungen mit Zahlungsdienstnutzern) der BAIT wird vollständig gestrichen. Für Unternehmen, die nicht unter den unmittelbaren Anwendungsbereich von DORA fallen, gelten die BAIT weiterhin.

  • Vollständige Aufhebung der BAIT (ab 1. Januar 2027)

Durch das am 27. Dezember 2024 beschlossene FinmaDiG wird der Anwendungsbereich der DORA erweitert. Ab dem 1. Januar 2027 müssen zusätzliche Institute die DORA-Vorgaben umsetzen. Bis dahin bleiben die BAIT für diese Institute in Kraft, um eine Regelungslücke zu vermeiden. Mit Ablauf des 31. Dezember 2026 treten die BAIT endgültig außer Kraft.

Unterstützungsleistungen der VIVACIS bei der planvollen und effizienten Umsetzung der DORA-Vorgaben

  • Unterstützung bei der vollständigen Umsetzung der DORA-Vorgaben

Zur vollständigen Abarbeitung der sich aus der DORA ergebenden Herausforderungen hat die VIVACIS einen Vier-Phasenansatz entwickelt.

Praxiserprobte Templates, ermöglichen – adaptiert auf die jeweiligen Kundenbedarfe – ein zügiges Aufzeigen und Abarbeiten von Handlungsbedarfen.

  • Durchführung DORA-Readiness Checks zur Qualitätssicherung

Wurden von der betroffenen Gesellschaft bereits Umsetzungsmaßnahmen zu DORA vorgenommen, bietet die VIVACIS die Durchführung eines DORA-Readiness Checks zur Qualitätssicherung an. Dieser gliedert sich in vier Projektschritte:

Schritt 1: Projekt-Kick-Off

Schritt 2: Review Betroffenheitsanalyse
Anschließend führt die VIVACIS einen Review der bisher erstellten Betroffenheitsanalyse durch. Ergebnisse des Reviews werden schriftlich dokumentiert, anschließend besprochen und finalisiert.

Schritt 3: Review GAP-Analyse
Basierend auf den Ergebnissen zur Betroffenheitsanalyse führt die VIVACIS einen Review der bisher gemachten Ergebnisse der GAP-Analyse durch; Themenschwerpunkte sind hierbei u.a.: Governance- und Kontrollrahmen, IKT-Risikomanagementrahmen, Meldewesen (IKT-Vorfälle), Resilienztests Penetrations-, Backup/Restore- & Disaster-Recovery-Tests), IKT-Drittparteien (Vertragswesen/Auslagerung), Berichtswesen. In der Bewertung der VIVACIS werden die kundenspezifischen Gegebenheiten sowie ggf. eine Marktrelevanz berücksichtigt sowie die Auswirkungen der Anforderungen auf die Organisation und Prozesse des Kunden beurteilt. Im Rahmen Reviews gibt die VIVACIS auch Hinweise zu ggfs. noch zu regelnden Aspekten.
Die Ergebnisse des Reviews werden schriftlich (in Excel) dokumentiert, anschließend besprochen und finalisiert.

Schritt 4: Review der bereits erstellten DORA-Dokumentation bzw. Umsetzungsmaßnahmen
Zunächst erfolgt ein Festlegen des Dokumentenuniversums (Teile der „Schriftlich Fixierten Ordnung“ (SFO)), welches im Rahmen des Reviews untersucht werden soll. Anschließend erfolgt die Durchführung des Reviews durch die VIVACIS hinsichtlich:
– der definierten SFO zu DORA,
– dem angedachten Dienstleister-Setup und Vertragswesen (ggfs. unter Einschaltung eines Legal Advisor),
– der erstellten von Fach und IT-Konzepte (z.B. Testing).

Die Ergebnisse des Reviews werden schriftlich dokumentiert, anschließend besprochen und finalisiert.

  • Operative Übernahme der Funktion des IKT-Risikomanagers

Nach erfolgter Umsetzung der DORA-Anforderungen übernimmt die VIVACIS die Funktion des IKT-Risikomanager gemäß DORA. Zur Untermauerung unserer Dienstleistungskompetenz hat sich hierzu das DORA-Team der VIVACIS erfolgreich als „IKT-Manager/-in Digital Operational Resilience Act (DORA)“ zertifizieren lassen.

  • Ihr Ansprechpartner bei VIVACIS

Wir unterstützen und beraten Ihr Unternehmen bei der Überprüfung bzw. Umsetzung der Anforderungen aus der neuen Regulierung. Erfahren Sie mehr über unser Dienstleistungsangebot – oder sprechen Sie uns an:

Anna Schäfer
jeweils zertifizierte Datenschutzbeauftragte, Informationssicherheitsbeauftragte und IKT-Risikomanagerin
Mail: anna.schaefer@vivacis.de

3. November 2023
von Martin-16

Zusatztermin Webcast: Fit4DORA – Hintergründe, Ziele und Herangehensweise

Am 16. Januar 2023 ist der „Digital Operational Resilience Act“ (VO (EU) 2022/2554 vom 14. Dezember 2022) – kurz DORA – in Kraft getreten. Die Verordnung wurde von der EU-Kommission im Wesentlichen mit dem Ziel verabschiedet, die bestehenden Regeln im Bereich Betriebsstabilität digitaler Systeme im Finanzsektor EU-weit zu harmonisieren und die Informations- und Kommunikationstechnologie (IKT) im gesamten EU-Finanzsektor widerstandsfähiger zu machen. Nun haben die in Deutschland vom Geltungsbereich der Verordnung betroffenen Unternehmen nur weniger als zwei Jahre Zeit, die DORA-Anforderungen, die durch weitere Rechtsakte in Teilen noch spezifiziert werden, umzusetzen. Dies ist eine enorme Herausforderung, die es neben den laufenden Umsetzungsmaßnahmen zur Compliance mit Verwaltungsvorgaben beispielsweise aus KAIT, BAIT und VAIT zu stemmen gilt.

Getreu dem Motto „Jetzt wird’s ernst“ werden wir im Rahmen eines Webcast die wesentlichen Zielsetzungen und Inhalte von DORA darstellen und erläutern. Wir geben Ihnen einen Ausblick auf die zu bearbeitenden Themenfelder in Ihrem Unternehmen sowie Empfehlungen zu einer möglichen Herangehensweise für die Bewältigung der bevorstehenden Transformation.

Aufgrund der großen Nachfrage bei unserer letzten Veranstaltung, bieten wir gerne einen weiteren Termin wie folgt an:

Datum:Donnerstag, den 9. November 2023
Zeit:11:30 Uhr bis 12:00 Uhr
Referent:innen:Expert:innen von Luther Rechtsanwaltsgesellschaft mbH,
KnowledgeRiver GmbH und VIVACIS Consulting GmbH
Plattform:Microsoft Teams

Falls Sie gerne an unserer, für Sie kostenfreien, Online-Veranstaltung teilnehmen möchten, melden Sie sich gerne bei uns (claudia.ahner@vivacis.de). Sie erhalten anschließend einen Link, mit dem Sie dem Meeting beitreten können.

Wir freuen uns über Ihr Interesse!

15. September 2023
von Martin-16

Webcast: Fit4DORA – Hintergründe, Ziele und Herangehensweise

Am 16. Januar 2023 ist der „Digital Operational Resilience Act“ (VO (EU) 2022/2554 vom 14. Dezember 2022) – kurz DORA – in Kraft getreten. Die Verordnung wurde von der EU-Kommission im Wesentlichen mit dem Ziel verabschiedet, die bestehenden Regeln im Bereich Betriebsstabilität digitaler Systeme im Finanzsektor EU-weit zu harmonisieren und die Informations- und Kommunikationstechnologie (IKT) im gesamten EU-Finanzsektor widerstandsfähiger zu machen. Nun haben die in Deutschland vom Geltungsbereich der Verordnung betroffenen Unternehmen nur weniger als zwei Jahre Zeit, die DORA-Anforderungen, die durch weitere Rechtsakte in Teilen noch spezifiziert werden, umzusetzen. Dies ist eine enorme Herausforderung, die es neben den laufenden Umsetzungsmaßnahmen zur Compliance mit Verwaltungsvorgaben beispielsweise aus KAIT, BAIT und VAIT zu stemmen gilt.

Getreu dem Motto „Jetzt wird’s ernst“ werden wir im Rahmen eines Webcast die wesentlichen Zielsetzungen und Inhalte von DORA darstellen und erläutern. Wir geben Ihnen einen Ausblick auf die zu bearbeitenden Themenfelder in Ihrem Unternehmen sowie Empfehlungen zu einer möglichen Herangehensweise für die Bewältigung der bevorstehenden Transformation.

Der Fokus der Veranstaltung richtet sich vor allem auf kleine und mittlere Wertpapierinstitute sowie Kapitalverwaltungsgesellschaften.

Datum:Freitag, 29. September 2023
Zeit:11:30 Uhr bis 12:00 Uhr
Referent:innen:Expert:innen von Luther Rechtsanwaltsgesellschaft mbH,
KnowledgeRiver GmbH und VIVACIS Consulting GmbH
Plattform:Microsoft Teams

Falls Sie gerne an unserer, für Sie kostenfreien, Online-Veranstaltung teilnehmen möchten, melden Sie sich gerne bei uns (claudia.ahner@vivacis.de). Sie erhalten anschließend einen Link, mit dem Sie dem Meeting beitreten können.

Wir freuen uns über Ihr Interesse!

1. Juli 2021
von Martin-16

Webcast: Jetzt wird’s ernst – Neues Aufsichtsregime für Wertpapierinstitute ist in Kraft getreten

am 26. Juni 2021 ist das neue Wertpapiergesetz (WpIG) in Verbindung mit dem IFR in Kraft getreten und beschäftigt kleine bis große Wertpapierhäuser. Hiervon betroffen sind alle Finanzdienstleister, die ihren Sitz in Deutschland haben und bisher vom KWG und MiFID II Regime erfasst sind. Dabei handelt es sich insbesondere um alle Anlagevermittler, Anlageberater, Abschlussvermittler und Portfolioverwalter.

Getreu dem Motto „Jetzt wird’s ernst“ werden wir im Rahmen unseres Webcasts wichtige Neuerungen sowie die zukünftige Entwicklung der Aufsicht von Wertpapierinstituten darstellen. Dabei werden aus Compliance-Sicht u.a. folgende Fragen behandelt:

Welche To-Do´s haben sich aus der neuen Regulierung ergeben?
Wo besteht derzeit noch Anpassungsbedarf?
Wo wird die regulatorische Reise zukünftig hingehen?

Der Fokus der Veranstaltung auf unserer neuen Webinar-Plattform richtet sich vor allem auf kleine und mittlere Wertpapierinstitute.

Datum: Donnerstag, 8. Juli 2021
Zeit:      11:30 Uhr bis 12:00 Uhr
Experte:                  Aaron Otomann, VIVACIS Consulting GmbH
Plattform:Microsoft Teams

Falls Sie gerne an unserer, für Sie kostenfreien, Online-Veranstaltung teilnehmen möchten, melden Sie sich gerne bei uns (claudia.ahner@vivacis.de).  Sie erhalten anschließend einen Link, mit dem Sie dem Meeting beitreten können.

Wir freuen uns über Ihr Interesse!

21. Mai 2021
von Martin-16

Neues Aufsichtsregime für Asset Manager

Wertpapierfirmen unterliegen ab 26. Juni 2021 überwiegend nicht mehr dem Kreditwesengesetz (KWG) und der Capital Requirement Regulation (CRR). Sie erhalten mit dem neuen Wertpapierinstitutsgesetz (WpIG) und der dazugehörigen Verordnung 2019/2033/EU (Investment Firms Regulation – IFR) einen neuen aufsichtsrechtlichen Rahmen.

  • Große Wertpapierinstitute, welche nicht als CRR-Kreditinstitut eingestuft sind, aber neben dem WpIG und der IFR hauptsächlich weiterhin in den Anwendungsbereich der CRR und des KWG fallen.
  • Mittelgroße Wertpapierinstitute, welche vollständig von den Anforderungen des WpIG und der IFR erfasst werden.
  • Kleine Wertpapierinstitute, welche auf Grund ihres Geschäftsmodells und ihrer Größe Erleichterungen bei der Umsetzung der WpIG und der IFR genießen.

Das neue Aufsichtsregime ist als weiterer Baustein zur Umsetzung der Kapitalmarktunion an den Maßstäben Proportionalität und Risikoadäquanz ausgerichtet. Hierzu werden Wertpapierinstitute fortan in die nachfolgenden drei Kategorien unterteilt:

Der Bundestag hat hierzu am 14. April 2021 einen Regierungsentwurf eines Gesetzes zur Umsetzung der Richtlinie (EU) 2019/2034 über die Beaufsichtigung von Wertpapierinstituten veröffentlicht. Das Gesetz dient der Umsetzung der Richtlinie (EU) 2019/2034 über die Beaufsichtigung von Wertpapierfirmen (IFD).

Das WpIG regelt – vergleichbar zum KWG – insbesondere die Anforderungen:

  • Anfangskapital
  • (zusätzliche) Eigenmittel
  • Offenlegungs- und Meldepflichten
  • Risikomanagement 
  • Auslagerung und
  • Vergütungssystem

In Abhängigkeit von der anzuwendenden Kategorie fallen die Auswirkungen des neuen Aufsichtsregimes unterschiedlich stark für die Wertpapierinstitute aus. Mittlere Wertpapierinstitute müssen sich z.B. auf grundlegend überarbeitete Bestimmungen zu Internal Governance, Auslagerung, Offenlegungs- und Meldepflichten sowie Kapital- und Liquiditätsanforderungen einstellen. Kleine Wertpapierinstitute können hingegen von zahlreichen Erleichterungen profitieren.

Zu einer Anpassung der unterschiedlichen Wertpapierinstitutsgruppen in den bisher gültigen ergänzenden Rundschreiben der BaFin (z.B. MaRisk, BAIT und MaComp) wird es – nach derzeitigem Kenntnisstand – vor dem Inkrafttreten zum 26. Juni 2021 wohl nicht mehr kommen. Auch eine angekündigte neue Verordnung über die Vergütungsanforderungen für Wertpapierinstitute wird voraussichtlich erst nach dem 26. Juni 2021 zur Konsultation gestellt werden.

Da Wertpapierfirmen bereits unter dem KWG gesetzlich reguliert sind, verfolgt die BaFin einen pragmatischen Ansatz auf Basis der bislang für diese Unternehmen geltenden Vorschriften und wird für den Übergangszeitraum eine Aufsicht mit Augenmaß verfolgen.

Prüfen Sie Ihre Ausgangslage mit dem VIVACIS FitnessCheck

Wir haben für Sie einen FitnessCheck erstellt, der Ihnen Unterstützung bei der Einschätzung Ihres aktuellen Umsetzungsstands gibt. Wo sehen Sie Ihren persönlichen Leistungsstand bei der Umsetzung der Anforderungen aus dem WpIG und der IFR? Erfüllen Sie die wesentlichen Voraussetzungen vollständig oder sehen Sie noch Potential in der Durchführung? Fordern Sie unseren FitnessCheck unter info@vivacis.de an. Investieren Sie ein paar Minuten Zeit und überprüfen Sie anhand der Ergebnisse Ihren Leistungsstand.

Unser gesamtes Dienstleistungsspektrum im Überblick

Wir unterstützen und beraten Ihr Unternehmen bei der Überprüfung bzw. Umsetzung der Anforderungen aus der neuen Regulierung aus dem Wertpapierbereich. Erfahren Sie mehr über unser Dienstleistungsangebot – oder sprechen Sie uns an:

Michael Kispert
Mail michael.kispert@vivacis.de
Fon +49 170 340 3276