admin

Soll-Maßnahmen-Katalog DORA: Von der Regulierung zur prüfbaren Umsetzung Die Verordnung (EU) 2022/2554 über die digitale operationale Resilienz im Finanzsektor, kurz DORA, verlangt von Finanzunternehmen weit mehr als allgemeine IT-Sicherheitsrichtlinien. Sie fordert konkrete, dokumentierte, getestete und nachweisbare Maßnahmen zur Steuerung von IKT-Risiken, IKT-Vorfällen, Wiederherstellung, Krisenkommunikation, Drittparteienrisiken, Testprogrammen und aufsichtsrechtlichen Abhilfemaßnahmen. Ein Soll-Maßnahmen-Katalog DORA dient dabei als strukturierte Brücke zwischen Rechtstext, IT-Betrieb und Prüfungspraxis. Er beantwortet drei zentrale Fragen: Damit wird DORA nicht nur formal umgesetzt, sondern operativ steuerbar und revisionssicher prüfbar. Warum ein Soll-Maßnahmen-Katalog für DORA notwendig ist DORA verwendet den Begriff „Maßnahme“ in unterschiedlichen Kontexten: Gegenmaßnahmen, Wiederherstellungsmaßnahmen, Korrekturmaßnahmen, Präventivmaßnahmen, Schutzmaßnahmen, Reaktionsmaßnahmen, Minderungsmaßnahmen, Abhilfemaßnahmen, Folgemaßnahmen, NotfallmaßnahmenRead More →

Quick-Check DORA für das Leitungsorgan Zentrale Fragen, um schwerwiegende Feststellungen von interner Revision, Wirtschaftsprüfer & BaFin zu vermeiden Governance & DOR-Strategie Liegt eine klar formulierte, vom Leitungsorgan genehmigte DOR-Strategie vor, die Ziele, Verantwortlichkeiten und Risikotoleranzen messbar definiert? Wenn NEIN → Häufigste Feststellung: „Strategie unscharf“, „Board-Accountability nicht umgesetzt“. Erhält die Geschäftsleitung quartalsweise ein konsistentes, KPI-basiertes DORA-Reporting (Resilienz, Risiken, Incident-Daten, Drittparteien, Tests, kwF)? Wenn NEIN → Risiko: fehlende Steuerung, DORA-Verstoß. Kritische oder wichtige Funktionen (kwF) Ist die Methode zur Identifikation kritischer und wichtiger Funktionen nachvollziehbar dokumentiert, prozessbasiert und vom Board freigegeben? Wenn NEIN → Häufigste Feststellung: „kwF nicht plausibel / unvollständig“. Liegt ein vollständiges, aktuelles kwF-Inventar vor,Read More →

Die 10 häufigsten und schwerwiegendsten DORA-Feststellungen der BaFin Nach dem ersten Jahr DORA ist klar: Die europäische Regulierung verändert die IT- und Resilienzaufsicht fundamentaler als jede Vorgängerregel. Die BaFin hat in ihren ersten Auswertungen, On-site-Prüfungen und Vorfallanalysen gezeigt, wo die Institute am häufigsten scheitern – und welche Versäumnisse sie als aufsichtlich besonders schwerwiegend bewertet. 1. Governance, DOR-Strategie & Rolle des Leitungsorgans Die größte Einzelbaustelle ist die Governance-Ebene.Typische Defizite: Warum kritisch? DORA ist ein Board-Accountability-Regime. Fehlende Governance wirkt sich auf alle anderen Bereiche unmittelbar aus: Drittparteien, kwF, BCM, SIEM, Incident-Response und Reporting. 2. Falsche oder unzureichende Definition kritischer oder wichtiger Funktionen (kwF) Kaum ein Punkt hatRead More →

IT-Aufsicht unter DORA: Was die BaFin nach 12 Monaten wirklich erwartet Die IT-Aufsicht unter DORA hat den deutschen und europäischen Finanzsektor in nur zwölf Monaten grundlegend verändert. Was früher „IT-Sicherheit“ hieß, ist heute digitale operationale Resilienz – ein umfassendes aufsichtsrechtliches Zielbild, das Governance, ICT-Risiken, Drittparteien, Cloud-Abhängigkeiten, Incident-Management und Business Continuity zusammenführt. Dieser Beitrag analysiert, wie die BaFin DORA im ersten Jahr interpretiert, welche Prüfschwerpunkte sich herauskristallisiert haben und wie sich Institute für die IT-Aufsicht 2026/27 vorbereiten sollten. Erstes Jahr DORA: Von Papier-Compliance zur Wirksamkeit Aus Sicht der BaFin war 2025 ein Aufbau- und Übergangsjahr. Die wichtigsten Grundlagen – von Leitlinien über Informationsregister bis zu VertragswerkenRead More →

Kritische IKT-Drittdienstleister Artikel 31 DORA – Einstufung kritischer IKT-Drittdienstleister Mit Artikel 31 der Verordnung (EU) 2022/2554 (Digital Operational Resilience Act – DORA) hat die EU erstmals ein Verfahren zur Einstufung von IKT-Drittdienstleistern als kritisch für den Finanzsektor geschaffen. Die Europäischen Aufsichtsbehörden (EBA, EIOPA, ESMA) führen diese Bewertung über den Gemeinsamen Ausschuss und das Überwachungsforum durch. Maßgebliche Kriterien sind: Die Einstufung folgt einem zweistufigen Verfahren (quantitative Filterung → qualitative Analyse). Nach erfolgter Einstufung wird der Anbieter in die jährliche EU-Liste kritischer IKT-Drittdienstleister aufgenommen und einer federführenden Überwachungsbehörde zugeordnet. Der europäische Überwachungsrahmen (Art. 32–44 DORA) Zielsetzung und Struktur Der Überwachungsrahmen nach DORA Kapitel V Abschnitt II (Art.Read More →

Anforderungen an die interne IKT-Revision nach DORA Mit der Verordnung (EU) 2022/2554, bekannt als DORA (Digital Operational Resilience Act), hat die Europäische Union erstmals ein einheitliches Regelwerk geschaffen, das die digitale operationale Resilienz von Finanzunternehmen umfassend reguliert.Ein zentrales Element dieses Regelwerks ist die interne IKT-Revision – sie stellt sicher, dass Governance-, Risiko- und Kontrollprozesse im Bereich der Informations- und Kommunikationstechnologie (IKT) effektiv, unabhängig und nachweisbar funktionieren. 1. Rechtlicher Rahmen und Zielsetzung Die Anforderungen an die interne IKT-Revision leiten sich direkt aus mehreren Artikeln und Erwägungsgründen der DORA ab: Damit schafft DORA erstmals eine verbindliche europäische Prüfarchitektur für IT- und Cyber-Resilienz im Finanzsektor. 2. Governance undRead More →

Aufsichtliche DORA-Prüfung im Rahmen der Abschlussprüfung Mit der Verordnung (EU) 2022/2554 (Digital Operational Resilience Act – DORA) hat die Europäische Union einen einheitlichen Rechtsrahmen für die digitale operationale Resilienz im Finanzsektor geschaffen. Seit dem 17. Januar 2025 müssen Finanzunternehmen nachweisen, dass sie ihre Informations- und Kommunikationstechnologie (IKT) sicher, widerstandsfähig und prüfbar betreiben. Deutschland hat diese Pflicht in allen wichtigen Finanzaufsichtsgesetzen verankert:Bei der Prüfung des Jahresabschlusses muss der Abschlussprüfer ausdrücklich beurteilen, ob die Institute ihren Verpflichtungen aus den Artikeln 5 bis 14, 16 bis 19, 23 bis 25, 28 bis 30 und 45 Abs. 3 DORA sowie den zugehörigen Delegierten Verordnungen nachgekommen sind. Kreditinstitute Der PrüferRead More →

RTS SUB: Neue DORA-Vorgaben für Untervergabe von IKT-Dienstleistungen Was regelt die Delegierte Verordnung (EU) 2025/532? Die Delegierte Verordnung (EU) 2025/532 der Europäischen Kommission vom 24. März 2025 ist ein zentraler Bestandteil der Umsetzung der Digital Operational Resilience Act (DORA) – Verordnung (EU) 2022/2554. Sie konkretisiert durch technische Regulierungsstandards (RTS SUB), welche Aspekte Finanzunternehmen bei der Untervergabe von IKT-Dienstleistungen bewerten und vertraglich regeln müssen – insbesondere wenn diese Dienste kritische oder wichtige Funktionen betreffen. Ziel ist es, die operative Resilienz zu stärken und systemische Risiken durch Sub-Outsourcing zu minimieren. Die Verordnung gilt ab dem 22. Juli 2025 und ist in allen EU-Mitgliedstaaten unmittelbar verbindlich. Wer istRead More →

XAIT – das Ende einer Ära Die deutschen Rundschreiben der BaFin zu den IT-Anforderungen im Finanzsektor – zusammengefasst als XAIT (BAIT, VAIT, ZAIT, KAIT) – haben jahrelang die IT-Sicherheitsstandards geprägt. Doch mit dem Inkrafttreten der Digital Operational Resilience Act (DORA) am 17. Januar 2025 endet diese Ära. In diesem Artikel beleuchten wir, warum die XAIT-Rundschreiben aufgehoben wurden, was dies für Unternehmen bedeutet und wie die Zukunft der IT-Regulierung aussieht. Was war XAIT? Die Rundschreiben BAIT, VAIT, ZAIT und KAIT legten spezifische Anforderungen für IT-Systeme und deren Sicherheitsmaßnahmen fest. Sie richteten sich an: XAIT bot klare Vorgaben, die Unternehmen halfen, ihre IT-Risiken zu minimieren und regulatorischeRead More →

Startschuss: DORA Am 17. Januar 2025 ist es soweit: Die EU-Verordnung Digital Operational Resilience Act (DORA) tritt offiziell in Kraft. Mit diesem Schritt wird die digitale Resilienz im europäischen Finanzsektor auf ein neues Level gehoben. Doch was bedeutet DORA konkret, und was müssen Unternehmen beachten? Warum DORA? Die Digitalisierung hat den Finanzsektor revolutioniert, bringt jedoch auch neue Risiken mit sich – von Cyberangriffen bis zu IT-Ausfällen. DORA adressiert diese Herausforderungen, indem sie einheitliche und sektorübergreifende Anforderungen an die Informations- und Kommunikationstechnologie (IKT) schafft. Das Ziel: Stärkung der digitalen Widerstandsfähigkeit und Schutz des Finanzsystems vor Störungen. Wen betrifft DORA? DORA gilt für alle Unternehmen im Finanzsektor,Read More →