DORA gilt ab sofort – Das kommt auf Finanzdienstleister zu

Finanzdienstleister profitieren vom Einsatz einer Vielzahl hochspezialisierter Informations- und Kommunikationstechnologien (IKT). Mit der DORA-Verordnung wird der regulatorische Rahmen für das Management IKT-bezogener Risiken europaweit harmonisiert. Der europäische Finanzsektor soll dadurch digital widerstandsfähiger werden.

Was bedeutet DORA für Finanzinstitute?

DORA stellt für Finanzinstitute umfassende Anforderungen an das Management von IKT-Risiken, unter anderem:

1. Robuste IT-Governance und Risikomanagement-Frameworks
2. Regelmäßige Tests der digitalen, operationalen Resilienz
3. Effektives Management von IKT-Drittdienstleistern und -Risiken

Dabei ist es unverzichtbar, bestehende IT-Systeme und -Prozesse zu überprüfen und anzupassen, damit der DORA-Fit gelingt. Dies betrifft Banken, Versicherungen, Investmentfirmen, Zahlungsdienstleister – aber auch Unternehmen, die zuvor nicht im Geltungsbereich der aufsichtlichen Anforderungen an die IT lagen (z. B. Ratingagenturen).

Nächster Meilenstein: Einreichung des Informationsregisters bei der BaFin

DORA führt für Finanzunternehmen strikte Anforderungen zur Überwachung und Steuerung von IKT-Drittanbietern ein. Eine zentrale Rolle spielt dabei das Register der Drittanbieter-Verträge, das Finanzinstitute verpflichtend führen müssen. Dieses Register dient der Kontrolle von Risiken, die sich aus der Nutzung von IKT-Drittanbietern ergeben.

Mit der Deadline für die Einreichung des Informationsregisters bei der BaFin steht der nächste Meilenstein in der Umsetzung von DORA ins Haus. Deutsche Finanzunternehmen müssen ihre Informationsregister bis zum 11. April 2025 bei der BaFin einreichen.

Anforderungen an das Register

Gemäß DORA müssen Finanzunternehmen ein vollständiges und aktuelles Register aller Verträge mit IKT-Drittanbietern führen. Die Inhalte umfassen unter anderem:

1. Details zu den Dienstleistungen: Eine klare Beschreibung der bereitgestellten IKT-Dienste, einschließlich der Identifikation kritischer oder wichtiger Funktionen.
2. Vertragsbedingungen: Angaben zu Laufzeiten, Exit-Strategien und Audit-Rechten.
3. Standorte: Regionen oder Länder, in denen die Dienstleistungen und Datenverarbeitung stattfinden.
4. Subcontracting: Transparenz über Untervergaben und die Bedingungen, unter denen diese erfolgen dürfen.

Ziel des Registers

Das Register dient nicht nur der internen Risikoüberwachung, sondern auch der Aufsicht durch Regulierungsbehörden. Es ermöglicht eine verbesserte Transparenz über Abhängigkeiten von Drittanbietern sowie potenzielle Konzentrationsrisiken. Insbesondere in Fällen, in denen viele Finanzinstitute dieselben Drittanbieter nutzen, hilft das Register dabei, Risiken für die Stabilität des Finanzsektors frühzeitig zu identifizieren.

Implikationen für Finanzinstitute

Die Führung dieses Registers erfordert nicht nur eine sorgfältige Erfassung der Vertragsdetails, sondern auch die kontinuierliche Aktualisierung und Überprüfung. Finanzinstitute müssen sicherstellen, dass alle relevanten Informationen vollständig und korrekt dokumentiert sind. Darüber hinaus fordert DORA, dass diese Daten in regelmäßigen Abständen auf potenzielle Risiken überprüft und mit strategischen Maßnahmen wie Exit-Strategien bedacht werden.

Das Informationsregister geht damit über die bisherigen Anforderungen an das Auslagerungsregister hinaus. Für Finanzinstitute bedeutet dies eine Ausweitung ihrer Dokumentationspflichten und eine engere Verzahnung von Risiko- und Vertragsmanagement. IT-Dienstleister sollten sich auf intensivere Prüfungen und eine stärkere Einbindung in Resilienzprogramme einstellen.

DORA vs. xAIT – Wie geht es mit den aufsichtlichen Anforderungen weiter?

In Deutschland findet der Digital Operational Resilience Act ab dem 17. Januar 2025 Anwendung. Die bisherigen aufsichtlichen Anforderungen (xAIT) an die IT werden (schrittweise) aufgehoben: Die KAIT, VAIT und ZAIT wurden zum 16. Januar 2025 außer Kraft gesetzt. Institute, die unter DORA fallen, sind ab dem 17. Januar 2025 von den BAIT ausgenommen. Kapitel 11 der BAIT wird ebenfalls ab diesem Datum aufgehoben. Mit der Neufassung des § 1a Absatz 2 Kreditwesengesetz durch das Finanzmarktdigitalisierungsgesetz (FinMadiG) müssen ab dem 1. Januar 2027 weitere Institute DORA anwenden. Daher werden die BAIT zum 31. Dezember 2026 vollständig aufgehoben.

Diese Ablösung der aufsichtlichen Anforderungen hat Implikationen für die interne Revision von Finanzdienstleistern in deren Anwendungsbereich. Durch die Umstellung auf DORA, muss das Audit Universe geprüft und angepasst werden. Dabei gilt es, die Anforderungen der BAIT gegen diejenigen der neuen Verordnung zu kartieren, und Lücken im bestehenden Prüfuniversum zu füllen.

DORA als Chance begreifen

DORA stellt eine regulatorische Herausforderung dar, bietet aber gleichzeitig die Möglichkeit, das Vertrauen der Stakeholder zu stärken. Eine proaktive Herangehensweise sichert nicht nur die Compliance, sondern verschafft auch einen Wettbewerbsvorteil in der digitalisierten Finanzwelt. 
Als erfahrene Spezialisten bieten wir umfassende Dienstleistungen zur DORA-Implementierung:

1. Health Checks und Gap-Analysen zur Identifizierung von Handlungsbedarf
2. Simulation von aufsichtlichen Sonderprüfungen
3. Support bei der Entwicklung und Implementierung von DORA-konformen IT-Risikomanagement-Frameworks
4. Schulungen und Workshops zu DORA-Anforderungen entlang der drei Verteidigungslinien

Wir unterstützen Sie bei der erfolgreichen DORA-Implementierung – sprechen Sie uns an!