Frau Brüggemann, die sich mit der zweiten Benachrichtigung über Bafins Aufsicht über die europäische Verordnung Dora befasst, das Gesetz über den digitalen operativen Widerstand?
Mit den mit Informations- und Kommunikationstechnologien (TIC) verbundenen Risiken. Insbesondere bieten wir mit unserer neuen Überwachungsbenachrichtigung hauptsächlich kleinere und nicht komplexe Unternehmen, wie die DORA-Anforderungen für vereinfachte IKT-Risikomanagement-Frameworks implementiert werden und die Risiken der TIC-Dritte verwalten können. Rund 1.100 Unternehmen sind betroffen.
Wie bei unserer ersten Überwachungsbenachrichtigung zum üblichen IKT -Risikomanagement -Rahmen sind unsere Informationen nicht obligatorisch. Mit der Benachrichtigung der Aufsicht machen wir unsere Verwaltungspraxis transparent und möchten die Unternehmen bei der Umsetzung von Dora unterstützen. Unternehmen können sich allein entscheiden, wenn sie Hinweise verwenden.
Was sind diese für Unternehmen, die auf vereinfachte IKT -Risikomanagementrahmen angewendet werden können?
Wir unterscheiden zwischen zwei Unternehmensgruppen. Laut Dora werden die kleinen Institute von Wertpapieren und kleinen Einrichtungen für die Rentensysteme des Unternehmens in Deutschland profitieren.
Andererseits sind die Versicherungsbestände und die Institute, die nicht in die Regulierung des CRR CRRI -Kapitalbüros fallen, vom Gesetz der Digitalisierung des Finanzmarktes betroffen.
Die Versicherungsversicherung musste die neuen Anforderungen Anfang 2025 anwenden. Die betroffenen Institute ändern sich später. Bis zum 31. Dezember 2026, unser Köder, die Bankenanforderungen -Supervision dafür.
Wie hat sich die Überwachung angekündigt und wie profitieren Unternehmen?
Unsere erste Aufsichtsmeldung an Dora ist sehr gut auf dem Markt gekommen. Jetzt möchten wir auch die Unternehmen im Übergang unterstützen, der die vereinfachten Anforderungen von Artikel 16 Dora verwendet. Wir setzen den nachgewiesenen Vergleich zwischen unserem kreisförmigen oder vait- und dora -Köder fort. Diesmal der Schwerpunkt: Die Anforderungen an vereinfachte IKT -Risikomanagementrahmen und das dritte Risikomanagement.
Es gibt Schnittpunkte zwischen unserer Kreislauf und Dora. Die Unternehmen, die unseren Köder oder VAIT voll implementiert haben, sind bereits auf Dora gut vorbereitet. Sie profitieren nun von Vereinfachungen mit dem IKT -Risiko und in geringerem Maße auch mit dem Management von dritten Risiken. Wir wollen das klarstellen.
Ich bin sicher, dass unsere Implementierungsanweisungen mit Köder- oder VAIT -Vergleich in der Praxis einen hohen Mehrwert bieten.
Was bedeutet das speziell?
Die vereinfachte DORA basierend auf TIC -Risiken konzentriert sich auf das IKT -Risikomanagement und die damit verbundenen Maßnahmen zur Stärkung des digitalen Betriebswiderstandes. Im Vergleich dazu wird der Schwerpunkt auf der Sicherheit von Informationen im Köder und einem VAIT gelegt. Die Akzente werden verschoben.
Beispielsweise fordert DORA keinen Informationssicherheitsbeauftragten an, verfügt über detaillierte Informationen im Falle von TIC -Systemen und bietet kein Datensicherungskonzept an. Eine Datensicherung ist weiterhin erforderlich. Der Schwerpunkt liegt jedoch auf der technischen Implementierung.
Darüber hinaus müssen die Ziele der Fortsetzung der IKT -Aktivität innerhalb des vereinfachten IKT -Risikomanagements in den IKT -Geschäftsplänen vorgestellt werden. Nach dem Köder müssen sie im Rahmen des Notfallmanagements festgelegt werden, in dem im Rahmen des Notfallmanagements.
Die Anforderungen innerhalb des vereinfachten IKT -Risikomanagement -Frameworks sind natürlich weniger streng als die im gewöhnlichen Rahmen. Wir zeigen dies auch in unserer Überwachungsbenachrichtigung und zeigen die wesentlichen Unterschiede innerhalb der Dora.
Was sind die Hauptunterschiede zwischen dem üblichen und vereinfachten Rahmen der Annahme des TIC in Dora ?
Der vereinfachte IKT -Risikorahmen in Artikel 16 betont die aktiven Maßnahmen zur Stärkung des digitalen Betriebswiderstandes als im breiteren Framework -Management -Framework. Er verwandelt somit das Prinzip der Verhältnismäßigkeit, die direkt in Dora bestimmt ist.
Zum Beispiel sind Unternehmen nicht verpflichtet, eine Strategie für die digitale operative Widerstandsfähigkeit innerhalb des vereinfachten TIC -Risikos zu schaffen. Sie sollten auch nicht die Verantwortung für die Verwaltung und Überwachung der TIC -Risiken einer Kontrollfunktion zuweisen. Dies reicht nicht aus: Dora bittet Unternehmen nicht, mindestens einmal im Jahr den vereinfachten IKT -Risikorahmen zu dokumentieren und zu überprüfen, einen TIC Business Management -Leitfaden zu führen oder redundante IKT -Funktionen aufrechtzuerhalten.
Diese Beispiele zeigen deutlich, dass DORA nicht übermäßig kleinere und weniger komplexe Unternehmen im IKT -Risikomanagement nicht übereinstimmen, aber die risikoorientierten Anforderungen stellen.
