DORA: Umfassende Informationen zur Risikobewertung von IKT-Drittdienstleistern, eine neue Deadline für die Einreichung von Informationsregistern, Aufhebung von aufsichtlichen Anforderungen an die IT – die BaFin hält den Finanzsektor bereits zu Jahresbeginn ordentlich auf Trab. Wir haben die wichtigsten Infos für Sie zusammengefasst und unsere Expert*innen gefragt, wie betroffene Institute die Informationen der BaFin einordnen sollten.
Informationsregister spätestens am 11. April 2025 einreichen
Um den Grad der Abhängigkeit der Finanzinstitute von ihren IKT-Drittdienstleistern einstufen zu können, benötigen die Aufsichtsbehörden einen Überblick über deren vertragliche Vereinbarungen. Das von DORA geforderte Informationsregister soll diesen Überblick schaffen. Finanzunternehmen müssen dieses bis zum 17. Januar 2025 erstellt haben und es auf Anfrage ihrer zuständigen Behörde zur Verfügung stellen. In einer Pressemeldung gab die BaFin am 7. Januar bekannt, dass alle Finanzunternehmen in Deutschland ihr Informationsregister bis spätestens 11. April 2025 bei ihr einreichen müssen. Bis zum 30. April 2025 sollen die national zuständigen Behörden dann die gesammelten Register an die Europäischen Aufsichtsbehörden übermitteln. Denn diese planen für die zweite Jahreshälfte 2025 die Veröffentlichung einer Liste kritischer IKT-Drittdienstleister.
„Ich kann nicht empfehlen, sich auf dem Datum 11. April auszuruhen. Die regulatorische Pflicht, mit Stichtag am 17.01.2025 ein vollständiges Informationsregister vorliegen zu haben, bleibt unberührt. Außerdem spricht die BaFin von „spätestens“. Da die BaFin die Register konsolidieren und bis zum 30.04.2025 an die Europäischen Aufsichtsbehörden übermitteln muss, ist es gut möglich, dass bereits vor dem 11. April Register eingesammelt werden.“
Simon Weickart, Managing Security Consultant & Certified PECB DORA Lead Manager
Das Ende für KAIT, VAIT, ZAIT, BAIT – Aufsichtliche Anforderungen an die IT werden aufgehoben
Mit Anwendung von DORA ab dem 17. Januar ergäbe sich für viele Institute in Deutschland, die derzeit unter die aufsichtlichen Anforderungen an die IT der BaFin fallen, eine Doppelregulierung. Um dies zu vermeiden, gab die BaFin am 10. Januar bekannt, dass die Rundschreiben Kapitalverwaltungsaufsichtliche Anforderungen an die IT (KAIT), Versicherungsaufsichtliche Anforderungen an die IT (VAIT) und Zahlungsdiensteaufsichtliche Anforderungen an die IT (ZAIT) mit Ablauf des 16. Januar 2025 aufgehoben werden. Bei den Bankaufsichtlichen Anforderungen an die IT (BAIT) erfolgt die Aufhebung schrittweise für unterschiedliche Anwenderkreise bis zum 31. Dezember 2026. Institute, die ab dem 17. Januar 2025 ein IKT-Risikomanagement nach DORA betreiben müssen, sind ab dann von den BAIT ausgenommen.
Kapitel 11 (Management der Beziehungen mit Zahlungsdienstnutzern) der BAIT ist bereits in der aktuell gültigen Fassung vom 16. Dezember 2024 aufgehoben.
„Wie angekündigt hebt die BaFin mit der Anwendung von DORA die xAIT zum Ablauf des 16. Januar 2025 für alle Institute auf, die nicht nach FinMaDig reguliert sind. Ich gehe allerdings davon aus, dass Anforderungen aus den xAIT, die sich zwar nicht direkt in DORA wiederfinden, in den meisten Unternehmen aber bereits implementiert wurden, auch für künftige aufsichtliche Prüfungen als wichtige Best Practices eine Rolle spielen werden.“
Dr. Christian Schwartz, Head of InfoSec in Finance & Certified PECB DORA Senior Lead Manager
Sie haben Fragen zu DORA oder benötigen konkrete Unterstützung bei der Umsetzung in Ihrem Haus? Kontaktieren Sie uns, wir sind gerne für Sie da.
