Den ausführlichen Artikel der Bafin finden Sie hier.

Hintergrund: DORA

Warum DORA?

Die Digitalisierung hat den Finanzsektor grundlegend verändert. Finanzunternehmen nutzen zunehmend spezialisierte IT-Dienstleister, um ihre Effizienz zu steigern, Kosten zu senken und innovative Dienstleistungen anzubieten. Diese Auslagerungen bringen jedoch auch Risiken mit sich. Dabei besitzt die Abhängigkeit vieler Unternehmen von denselben IKT-Dienstleistern das Potenzial für Konzentrationsrisiken. Ein Ausfall oder eine Sicherheitsverletzung bei einem kritischen Dienstleister könnte weitreichende systemische Auswirkungen auf den gesamten Finanzsektor haben.

DORA adressiert auch diese Problematik, indem es ein umfassendes Rahmenwerk für die Überwachung und Regulierung von IKT-Risiken einführt. Es zielt darauf ab, sicherzustellen, dass Finanzunternehmen, ihre Dienstleister und der gesamte Sektor widerstandsfähig gegenüber digitalen Störungen und Cyberangriffen sind.

Gleichzeitig betont die BaFin, dass DORA nicht isoliert betrachtet werden sollte. Es ergänzt bestehende regulatorische Anforderungen wie die MaRisk, die EBA-Leitlinien zu Auslagerungen und die Datenschutzgrundverordnung (DSGVO). Unternehmen müssen daher sicherstellen, dass ihre Compliance-Strategie alle relevanten Vorschriften berücksichtigen.

Kernpunkte von DORA

DORA bringt wesentliche Themen mit sich, die sowohl Finanzunternehmen als auch IKT-Drittdienstleister betreffen:

1. IKT-Risikomanagement: Finanzunternehmen müssen robuste Systeme und Prozesse implementieren, um IKT-Risiken zu identifizieren, zu überwachen und zu kontrollieren. Dies umfasst präventive Maßnahmen sowie Notfall- und Wiederherstellungspläne.
2. Meldepflichten: Finanzunternehmen sind verpflichtet, der zuständigen Aufsichtsbehörde schwerwiegende IKT-Störungen zu melden. Dadurch wird eine schnelle und koordinierte Reaktion ermöglicht, um potenzielle Schäden zu minimieren.
3. Testanforderungen: Unternehmen müssen regelmäßige Tests durchführen, um die Belastbarkeit ihrer IKT-Systeme zu überprüfen. Dazu gehören Szenariotests, die mögliche Cyberangriffe oder Systemausfälle simulieren.
4. Überwachung von Drittdienstleister: DORA sieht vor, dass bestimmte IKT-Drittdienstleister als kritisch eingestuft werden können. Diese Dienstleister unterliegen dann einer direkten Überwachung durch die entsprechende europäische Aufsichtsbehörde.
5. Vereinbarungen über den Austausch von Informationen sowie Cyberkrisen- und Notfallübungen: DORA regt an, dass sich Finanzunternehmen hinsichtlich Cyberbedrohungen austauschen.

Herausforderungen und Chancen für Finanzunternehmen

Die Umsetzung von DORA stellt Finanzunternehmen vor erhebliche Herausforderungen. Sie müssen nicht nur ihre eigenen Systeme und Prozesse anpassen, sondern auch die Zusammenarbeit mit ihren IKT-Dienstleistern bewerten. Dies erfordert:

• Erhöhte Transparenz: Unternehmen müssen detaillierte Informationen über die Sicherheitsmaßnahmen und Resilienzpläne ihrer Dienstleister einholen.
• Vertragliche Anpassungen: Bestehende Verträge mit Dienstleistern müssen möglicherweise überarbeitet werden, um die neuen Anforderungen von DORA zu erfüllen.
• Zusätzliche Ressourcen: Die Einhaltung der neuen Vorschriften wird sowohl personelle als auch finanzielle Ressourcen erfordern.

Gleichzeitig bietet DORA auch Chancen. Unternehmen, die frühzeitig robuste IKT-Systeme und Prozesse implementieren, können ihre Wettbewerbsfähigkeit stärken und das Vertrauen ihrer Kunden erhöhen. Darüber hinaus fördert DORA eine stärkere Zusammenarbeit zwischen Finanzunternehmen und ihren Dienstleistern, was langfristig zu einer höheren Sicherheit und Stabilität im Finanzsektor beitragen kann.

Kritische IKT-Dienstleister im Fokus

Doppelte Konzentration: Risiken und Herausforderungen

Ein Risiko ergibt sich aus der Konzentration von IT-Dienstleistungen auf wenige Anbieter. Besonders Cloud-Hyperscaler, wie die großen Anbieter aus den USA, bedienen einen erheblichen Teil des deutschen und europäischen Finanzmarkts. Ein Ausfall bei einem solchen Dienstleister könnte schwerwiegende sektorübergreifende Folgen haben.

Das zweite Risiko liegt in der geographischen Konzentration. Viele dieser wenigen Anbieter haben ihren Sitz in Drittstaaten wie den USA. Dies birgt zusätzliche Risiken, insbesondere im Kontext geopolitischer Spannungen. Sanktionen, handelspolitische Konflikte oder andere Krisen könnten die Verfügbarkeit und Zuverlässigkeit dieser Dienstleister beeinträchtigen. Die BaFin betont, dass diese geographische Abhängigkeit eine besonders sorgfältige Bewertung und Risikominderung erfordert.

Wann ist ein Dienstleister kritisch?

Nicht jede Konzentration wird als Risiko betrachtet. DORA richtet den Fokus auf IKT-Drittdienstleister, deren Dienstleistungen von vielen Finanzunternehmen genutzt werden. Besondere Aufmerksamkeit erhalten Anbieter, bei denen eine starke Konzentration zu systemischen Risiken führen könnte – insbesondere solche, deren IT-Dienstleistungen schwer ersetzbar sind. Solche Anbieter werden als kritische IKT-Drittdienstleister eingestuft.

DORA führt einen zweistufigen Bewertungsprozess ein, um festzustellen, ob ein IKT-Drittdienstleister als kritisch eingestuft wird und somit einer europäischen Überwachung unterliegt. Dabei werden sowohl quantitative als auch qualitative Kriterien berücksichtigt. Ziel ist es, die Systemrelevanz eines Dienstleisters zu bewerten und herauszufinden, inwieweit der europäische Finanzmarkt von dessen Dienstleistungen abhängig ist. Dienstleister, deren Ausfall weitreichende Auswirkungen auf den Finanzsektor hätte, werden als kritisch eingestuft. Zu den Kriterien zählen beispielsweise

• Die Anzahl und Bedeutung der von ihnen bedienten Finanzunternehmen.
• Die Abhängigkeit des Finanzsektors von ihren Dienstleistungen.
• Die potenziellen systemischen Auswirkungen im Falle von Störungen.

Einmal als kritisch eingestuft, unterliegen diese Dienstleister einer direkten Aufsicht durch eine der drei europäischen Aufsichtsbehörden EBA (European Banking Authority), ESMA (European Securities and Markets Authority) oder EIOPA (European Insurance and Occupational Pensions Authority) – je nach dem Branchenschwerpunkt des Dienstleisters. Dies umfasst regelmäßige Prüfungen, Bewertungen ihrer Risikomanagementsysteme und die Möglichkeit, bei Mängeln Maßnahmen zu ergreifen. Ziel ist es, sicherzustellen, dass diese Dienstleister über ausreichende Ressourcen und Mechanismen verfügen, um ihre Dienste sicher und zuverlässig zu erbringen.

Einige Dienstleister fallen nicht unter die europäische Überwachung. Dazu gehören Finanzunternehmen, die selbst der Finanzaufsicht unterliegen.

• Finanzunternehmen, die dem Überwachungsrahmen zur Unterstützung des Europäischen Systems der Zentralbanken unterliegen.
• Konzern-, gruppen- oder verbundinterne Dienstleister, wie IT-Dienstleister innerhalb von Versicherungskonzernen oder Kreditinstituten.
• Finanzdienstleister, die demselben institutsbezogenen Sicherungssystem angehören

Diese Ausnahmen sind zum einen dadurch begründet, dass sie bereits überwacht werden und zum anderen aufgrund eines begrenzten Auswirkungsradius. Wenn die Dienstleistungen in erster Linie interne Systeme betreffen, bleibt ihre Überwachung auf nationaler Ebene durch die jeweilige nationale Aufsichtsbehörden.

Das Informationsregister

Um Abhängigkeiten von IKT-Dienstleistern zu analysieren, müssen Finanzunternehmen ein Informationsregister führen. Dieses Register dokumentiert alle vertraglichen Vereinbarungen mit IT-Dienstleistern und soll den Aufsichtsbehörden auf Anfrage zur Verfügung gestellt werden. Dies hilft den Behörden, ein umfassendes Bild der systemischen Risiken und Konzentrationen im Finanzsektor zu erhalten.

Die Unternehmen sind verpflichtet, dieses Informationsregister spätestens bis zum 11. April 2025 bei der BaFin einzureichen. Auf Basis der gesammelten Daten planen die europäischen Aufsichtsbehörden, eine Liste kritischer IT-Dienstleister in der zweiten Jahreshälfte 2025 zu veröffentlichen.

Haben Sie Ihre Register schon fertig?

Mit dem Digital Operational Resilience Act (DORA) stehen viele Finanzunternehmen vor der Herausforderung, bis spätestens 11. April 2025 ein vollständiges Informationsregister über ihre IT-Dienstleister zu erstellen und einzureichen. Die Erstellung dieser Liste ist ein wichtiger Schritt, um Abhängigkeiten und Risiken besser zu verstehen und regulatorische Anforderungen zu erfüllen.

Wir wissen, dass die Anforderungen komplex sind – doch Sie müssen das nicht allein bewältigen.

Wie Advisense Sie unterstützen kann:

• Beratung: Wir helfen Ihnen, die Anforderungen von DORA zu verstehen und umzusetzen.
• Datenaufbereitung: Unterstützung bei der Erfassung und Strukturierung Ihrer vertraglichen Vereinbarungen mit IT-Dienstleistern.
• Risikobewertung: Analyse potenzieller Konzentrationsrisiken und Identifikation kritischer Abhängigkeiten.
• Regelkonformität: Sicherstellung, dass Ihr Informationsregister den Vorgaben der BaFin entspricht.

Nutzen Sie die verbleibende Zeit optimal und profitieren Sie von unserer Expertise, um Ihre digitale Resilienz zu stärken.

Kontaktieren Sie uns noch heute
Wir erstellen gemeinsam mit Ihnen Ihre Liste – präzise, effizient und regelkonform.

Besuchen Sie unsere Dora-Seite, um mehr über diesen Themenbereich zu erfahren.

Monika Nauroth

Director

Send email

+49 173 295 60 55

^[i]https://www.bafin.de/SharedDocs/Veroeffentlichungen/DE/Fachartikel/2025/fa_250107_DORA_Auslagerungen_Finanzindustrie.html;jsessionid=F4B7EC7EAD7220244801B272F3399669.internet982