Mit der neuen Überwachungsbenachrichtigung fordert die Bafin Unternehmen auf, die Anforderungen des Digital Operational Resilience Act (Dora) im Rahmen des vereinfachten Risikomanagements für Informations- und Kommunikationstechnologie (IKT) gemäß Artikel 16 Dora und den IKT-Ziel Dritter gemäß Artikel 28-30 Dora zu implementieren. Dabei werden auch die relevanten technischen regulatorischen Standards berücksichtigt.
In ihrer Überwachungsmeldung richtet sich die Bafin an zwei Unternehmensgruppen:
- Sie appelliert an Institute, die nicht unter die Kapitalübernahmeverordnung (Capital Requirements Regulation – CRR) fallen, im Rahmen ihrer Aufsicht, ab Januar 2027 die Spezifikationen des vereinfachten IKT-Management-Frameworks für das Risikomanagement Dritter anzuwenden. Diese werden die Anforderungen der Banküberwachung durch die Überwachungsanforderungen für Informationstechnik (KÖDER) ersetzen.
- Außerdem werden kleine Einrichtungen für betriebliche Altersversorgung (EBav), kleine Wertpapier- und Versicherungsinstitutionen ab Anfang 2025 gemäß Artikel 16 Dora die Anforderungen zur Verwaltung ihrer IKT-Risiken nach den Vereinfachungen von Dora erfüllen müssen.
Transparenz im Vergleich
In ihren Implementierungsanweisungen vergleicht die Bafin die Bankaufsichtsanforderungen und Versicherungsaufsicht für Informationstechnik (KÖDER und Schweigen) mit den Anforderungen von Artikel 16 und den Artikeln 28-30 Dora.
Insbesondere bei den Anforderungen für das vereinfachte IKT-Management-Framework gemäß Dora ergeben sich manchmal Leuchtturm-Verstärker-Vereinfachungen. Im Bereich des Risikomanagements Dritter sind die Anforderungen niedriger, was Unternehmen von den vereinfachten Anforderungen profitieren lässt.
Es gibt wesentliche Vereinfachungen bei der Umsetzung von Dora, die die Bafin in ihrer Überwachungsbenachrichtigung im Vergleich zwischen regulären und vereinfachten Anforderungen des IKT-Management-Frameworks und des IKT-Risikomanagements darstellt. Die Liste der minimalen vertraglichen Komponenten wurde erweitert, um Unternehmen, die unter Artikel 16 Dora fallen, Vereinfachungen zu bieten.
Dokumentationsanforderungen für Artikel 16 Dora
Neben der Überwachungsmeldung hat die Bafin einen Überblick über die Dokumentationsanforderungen für Finanzunternehmen gemäß Artikel 16 Dora erstellt (weitere Informationen siehe).
Die Informationen in dieser Überwachungsbenachrichtigung beziehen sich ausschließlich auf KÖDER und Schweigen und sind nicht relevant für Unternehmen, die unter der Aufsicht des Zahlungsdienstes oder der Überwachungsanforderungen für das Kapitalmanagement (ICH oder Haken) fallen. Diese sind nicht durch Artikel 16 Dora erfasst.
Dora als eine Reihe von querschnittlichen Regeln
Die Europäische Union hat mit Dora einen sektorübergreifenden, europäischen Regulierungsrahmen für digitale operative Widerstandsfähigkeit, IKT-Risiken und Cybersicherheit geschaffen. Weitere allgemeine Informationen zu Dora finden sich auf der Website der Bafin.
Silke Brüggemann berichtet über den Hintergrund der neuen Überwachungsbenachrichtigung der Bafin-Aufsicht in einem Interview.
