Die Verordnung (EU) 2022/2554 über die digitale operationale Resilienz im Finanzsektor (im Folgenden: Digital Operational Resilience Act, DORA) ist am 16. Januar 2023 in Kraft getreten. Sie findet seit dem 17. Januar 2025 Anwendung auf die betroffenen Gesellschaften. Mit DORA, hat die Europäische Union eine finanzsektorweite Regulierung für die Themen Cybersicherheit, Informations- und Kommunikationstechnologie (IKT) – Risiken und digitale operationale Resilienz geschaffen. DORA soll wesentlich dazu beitragen, den europäischen Finanzmarkt gegenüber Cyberrisiken und Vorfällen der IKT zu stärken. Um Doppelregulierung zu vermeiden, hat die Bundesaufsicht für Finanzdienstleistungsinstitute (BaFin) über ihr Informationsscheiben vom 19. Dezember 2024 – mit der Anwendung von DORA – die aufsichtlichen Anforderungen an die IT (xAIT) zum Ablauf des 16. Januar 2025 für alle Institute und KVGen aufgehoben, die nicht nach dem Finanzmarktdigitalisierungsgesetz (FinMaDig) reguliert sind.
Die BaFin hat zudem zum 16. Dezember 2024 aktualisierte „Bankaufsichtliche Anforderungen an die IT (BAIT)“ veröffentlicht. Mit Ablauf des 16. Januar 2025 werden hiernach Institute, die ab dem 17. Januar 2025 ein Risikomanagement für die IKT nach Artikel 5 bis 15 oder Artikel 16 DORA betreiben müssen, aus dem Anwenderkreis der BAIT ausgenommen. Die neue Fassung der BAIT berücksichtigt damit bereits die Übergangsregelungen und Anforderungen im Zusammenhang mit DORA.
Konkret gilt es zu beachten:
- Aufhebung KAIT, VAIT und ZAIT (ab 17. Januar 2025)
Die Regelungen aus KAIT, VAIT und ZAIT treten mit Ablauf des 16. Januar 2025 außer Kraft. Ab dem 17. Januar 2025 gelten ausschließlich die DORA-Vorgaben.
- Reduzierung des Anwenderkreises der BAIT (ab 17. Januar 2025)
Institute, die ab diesem Datum ein IKT-Risikomanagement gemäß DORA (Artikel 5–15 oder Artikel 16) betreiben müssen, fallen nicht mehr unter die BAIT. Kapitel 11 (Kundenbeziehungen mit Zahlungsdienstnutzern) der BAIT wird vollständig gestrichen. Für Unternehmen, die nicht unter den unmittelbaren Anwendungsbereich von DORA fallen, gelten die BAIT weiterhin.
- Vollständige Aufhebung der BAIT (ab 1. Januar 2027)
Durch das am 27. Dezember 2024 beschlossene FinmaDiG wird der Anwendungsbereich der DORA erweitert. Ab dem 1. Januar 2027 müssen zusätzliche Institute die DORA-Vorgaben umsetzen. Bis dahin bleiben die BAIT für diese Institute in Kraft, um eine Regelungslücke zu vermeiden. Mit Ablauf des 31. Dezember 2026 treten die BAIT endgültig außer Kraft.
Unterstützungsleistungen der VIVACIS bei der planvollen und effizienten Umsetzung der DORA-Vorgaben
- Unterstützung bei der vollständigen Umsetzung der DORA-Vorgaben
Zur vollständigen Abarbeitung der sich aus der DORA ergebenden Herausforderungen hat die VIVACIS einen Vier-Phasenansatz entwickelt.
Praxiserprobte Templates, ermöglichen – adaptiert auf die jeweiligen Kundenbedarfe – ein zügiges Aufzeigen und Abarbeiten von Handlungsbedarfen.
- Durchführung DORA-Readiness Checks zur Qualitätssicherung
Wurden von der betroffenen Gesellschaft bereits Umsetzungsmaßnahmen zu DORA vorgenommen, bietet die VIVACIS die Durchführung eines DORA-Readiness Checks zur Qualitätssicherung an. Dieser gliedert sich in vier Projektschritte:
Schritt 1: Projekt-Kick-Off
Schritt 2: Review Betroffenheitsanalyse
Anschließend führt die VIVACIS einen Review der bisher erstellten Betroffenheitsanalyse durch. Ergebnisse des Reviews werden schriftlich dokumentiert, anschließend besprochen und finalisiert.
Schritt 3: Review GAP-Analyse
Basierend auf den Ergebnissen zur Betroffenheitsanalyse führt die VIVACIS einen Review der bisher gemachten Ergebnisse der GAP-Analyse durch; Themenschwerpunkte sind hierbei u.a.: Governance- und Kontrollrahmen, IKT-Risikomanagementrahmen, Meldewesen (IKT-Vorfälle), Resilienztests Penetrations-, Backup/Restore- & Disaster-Recovery-Tests), IKT-Drittparteien (Vertragswesen/Auslagerung), Berichtswesen. In der Bewertung der VIVACIS werden die kundenspezifischen Gegebenheiten sowie ggf. eine Marktrelevanz berücksichtigt sowie die Auswirkungen der Anforderungen auf die Organisation und Prozesse des Kunden beurteilt. Im Rahmen Reviews gibt die VIVACIS auch Hinweise zu ggfs. noch zu regelnden Aspekten.
Die Ergebnisse des Reviews werden schriftlich (in Excel) dokumentiert, anschließend besprochen und finalisiert.
Schritt 4: Review der bereits erstellten DORA-Dokumentation bzw. Umsetzungsmaßnahmen
Zunächst erfolgt ein Festlegen des Dokumentenuniversums (Teile der „Schriftlich Fixierten Ordnung“ (SFO)), welches im Rahmen des Reviews untersucht werden soll. Anschließend erfolgt die Durchführung des Reviews durch die VIVACIS hinsichtlich:
– der definierten SFO zu DORA,
– dem angedachten Dienstleister-Setup und Vertragswesen (ggfs. unter Einschaltung eines Legal Advisor),
– der erstellten von Fach und IT-Konzepte (z.B. Testing).
Die Ergebnisse des Reviews werden schriftlich dokumentiert, anschließend besprochen und finalisiert.
- Operative Übernahme der Funktion des IKT-Risikomanagers
Nach erfolgter Umsetzung der DORA-Anforderungen übernimmt die VIVACIS die Funktion des IKT-Risikomanager gemäß DORA. Zur Untermauerung unserer Dienstleistungskompetenz hat sich hierzu das DORA-Team der VIVACIS erfolgreich als „IKT-Manager/-in Digital Operational Resilience Act (DORA)“ zertifizieren lassen.
- Ihr Ansprechpartner bei VIVACIS
Wir unterstützen und beraten Ihr Unternehmen bei der Überprüfung bzw. Umsetzung der Anforderungen aus der neuen Regulierung. Erfahren Sie mehr über unser Dienstleistungsangebot – oder sprechen Sie uns an:
Anna Schäfer
jeweils zertifizierte Datenschutzbeauftragte, Informationssicherheitsbeauftragte und IKT-Risikomanagerin
Mail: anna.schaefer@vivacis.de