BaFin und DORA: Wie die digitale Aufsicht den Finanzsektor neu formt

Allgemein

BaFin und DORA: Wie die digitale Aufsicht den Finanzsektor neu formt

Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) hat mit ihrer digitalen Konferenz „IT-Aufsicht im Finanzsektor: Was bedeutet DORA in der Praxis?“ ein klares Signal gesetzt: Die Zeit der Lockerheit bei IT-Risiken im Finanzsektor ist vorbei. Am 26. September 2024 fand diese digitale BaFin-Konferenz statt, die sich ganz auf die praktische Umsetzung der EU-Verordnung DORA (Digital Operational Resilience Act) konzentrierte. DORA tritt am 17. Januar 2025 in Kraft und verpflichtet Finanzunternehmen ab diesem Zeitpunkt zur umfassenden digitalen Resilienz. Doch was bedeutet das konkret für Banken, Versicherungen und Fintechs – und welche Unternehmen profitieren oder leiden unter dieser regulatorischen Wende?

Die Antwort liegt nicht in einer einzigen Maßnahme, sondern in einem tiefgreifenden Umbau der IT-Governance, des Drittparteienrisikomanagements und der Krisenfähigkeit. Wer jetzt nicht handelt, riskiert nicht nur Bußgelder, sondern auch Reputationsschäden und möglicherweise sogar die Lizenz. Für Investoren bedeutet das: Es wird eine klare Trennlinie zwischen denjenigen geben, die DORA als Chance begreifen, und denjenigen, die sie als lästige Pflicht empfinden.

Die BaFin-Konferenz: DORA in der Praxis

Die digitale BaFin-Veranstaltung vom 26. September 2024 diente als praxisorientierter Leitfaden für Finanzunternehmen auf dem Weg zur DORA-Konformität. Der Fokus lag dabei auf vier zentralen Bausteinen: IKT-Drittparteienrisikomanagement, Überwachungsrahmenwerk, IKT-Vorfallsmeldewesen und das Informationsregister. Interessanterweise stand dabei nicht KI-Risikomanagement im Mittelpunkt, sondern die ganz konkrete Umsetzung der DORA-Anforderungen im Alltag der Finanzinstitute.

Die BaFin nutzte die Gelegenheit, um zu klären, welche technischen Standards (RTS/ITS) bereits final von der EU-Kommission veröffentlicht wurden und welche noch ausstehen. Besonders relevant ist hier der finale Bericht zum RTS-Entwurf zur Untervergabe von IKT-Dienstleistungen, die kritische oder wichtige Funktionen unterstützen (Art. 30 Abs. 5 DORA), sowie der finale Bericht zum ITS-Entwurf über die Standardvorlage für das Informationsregister. Diese noch ausstehenden Texte sind für viele Institute der letzte Unsicherheitsfaktor vor der Umsetzung.

Was Unternehmen jetzt wissen müssen

Im Rahmen der Konferenz wurden Finanzunternehmen konkrete Fragen an die Hand gegeben, die sie bis zum 17. Januar 2025 für sich beantworten müssen. Diese Fragen sind praktisch ein Selbsttest auf DORA-Readiness:

  • Sind Analysen und Bewertungen aktualisiert (Bestimmung kritischer oder wichtiger Funktionen, Risikobewertung, Due Diligence)?
  • Wurde die Governance (Strategien, Leitlinien & Aufbauorganisation) angepasst?
  • Wurden neue Verträge mit den IKT-Drittdienstleistern geschlossen bzw. aktualisiert?
  • Wurde bereits die neue Vorgehensweise für Unterauftragsvergaben umgesetzt?

Gerade der letzte Punkt – die Unterauftragsvergabe bei kritischen oder wichtigen Funktionen – bleibt bis zur finalen Veröffentlichung der EU-Kommission ein offenes Thema. Viele Unternehmen befinden sich daher in einer Art „Warteposition“, in der sie zwar die Grundlagen schaffen, aber noch nicht alle Details finalisieren können.

Die zweite BaFin-Aufsichtsmitteilung: Vereinfachungen für kleinere Institute

Im August 2025 hat die BaFin ihre zweite Aufsichtsmitteilung zum Digital Operational Resilience Act veröffentlicht, die vor allem kleineren und weniger komplexen Instituten Orientierung bietet. Damit wird der Grundsatz der Verhältnismäßigkeit in der Praxis konkretisiert. Für diese Unternehmen gelten teilweise noch Übergangsfristen, etwa bis Ende 2026 für die BAIT (Bankaufsichtliche Anforderungen an die IT).

Die wichtigsten Vereinfachungen im Überblick:

  • Keine Pflicht zur umfassenden Resilienzstrategie.
  • Weniger organisatorische Vorgaben: keine jährliche Dokumentations- und Überprüfungspflicht, keine separate Kontrollfunktion erforderlich.
  • Keine zwingende Benennung eines Informationssicherheitsbeauftragten (anders als in BAIT/VAIT).
  • Reduzierte Detailanforderungen, etwa bei Änderungsprozessen von IKT-Systemen.
  • Fokus auf technische Umsetzung statt auf umfangreiche Konzepte, etwa bei der Datensicherung.

Die BaFin stellt in ihrer Mitteilung zudem einen direkten Vergleich zwischen BAIT, VAIT und DORA her. Unternehmen, die die Rundschreiben bereits umgesetzt haben, profitieren doppelt: Sie sind auf die DORA-Anforderungen gut vorbereitet und können durch die vereinfachten Regelungen Aufwand und Kosten reduzieren.

Neuer Wissenspunkt 1: Der DORA-Compliance-Check als Wettbewerbsfaktor

Die BaFin-Konferenz und die Aufsichtsmitteilung zeigen, dass DORA nicht nur eine Compliance-Aufgabe ist, sondern ein strategischer Wettbewerbsfaktor. Unternehmen, die frühzeitig einen strukturierten DORA-Compliance-Check durchführen, identifizieren nicht nur Lücken, sondern auch Optimierungspotenziale in ihrer IT-Architektur und ihren Prozessen. Dies führt zu einer höheren Effizienz und geringeren Betriebskosten auf lange Sicht.

Beispielsweise kann ein durchdachtes IKT-Risikomanagement dazu führen, dass redundante Systeme abgebaut und Cloud-Ressourcen effizienter genutzt werden. Für Investoren bedeutet das: Unternehmen mit einer starken IT-Governance und einem klaren DORA-Roadmap sind langfristig stabiler und profitabler.

Neuer Wissenspunkt 2: Das Informationsregister als zentrales Steuerungsinstrument

Ein zentraler Baustein von DORA ist das Informationsregister, das alle relevanten IKT-Drittparteien und deren Funktionen dokumentiert. Die BaFin hat in ihrer Konferenz klargestellt, dass dieses Register nicht nur ein formaler Compliance-Baustein ist, sondern ein lebendiges Steuerungsinstrument für das Drittparteienrisikomanagement.

Ein gut gepflegtes Informationsregister ermöglicht es, Risiken bei Cloud-Anbietern, IT-Dienstleistern und anderen kritischen Drittparteien frühzeitig zu erkennen und zu steuern. Für Unternehmen bedeutet das, dass sie nicht nur die technischen Aspekte im Blick haben müssen, sondern auch die Vertrags- und Governance-Strukturen mit ihren Partnern überarbeiten müssen.

Neuer Wissenspunkt 3: Drittparteienrisiken als systemisches Risiko

Die BaFin betont, dass Drittparteienrisiken – insbesondere bei Cloud-Anbietern und IT-Dienstleistern – zunehmend als systemisches Risiko für den Finanzsektor betrachtet werden. DORA verpflichtet Unternehmen daher, nicht nur ihre eigenen Systeme zu sichern, sondern auch die Resilienz ihrer wichtigsten Partner zu prüfen und zu überwachen.

Dies hat weitreichende Konsequenzen für die Lieferkette im Finanzsektor. Unternehmen, die auf wenige große Cloud-Anbieter setzen, müssen sicherstellen, dass diese die DORA-Anforderungen erfüllen. Gleichzeitig eröffnet sich hier eine Chance für spezialisierte Third-Party Risk Management (TPRM)-Anbieter, die Finanzunternehmen bei der Umsetzung unterstützen.

Welche Aktien gewinnen, welche verlieren?

Die DORA-Regulierung wird den Finanzsektor neu sortieren. Unternehmen, die bereits heute eine starke IT-Governance und ein professionelles Risikomanagement haben, werden von der regulatorischen Wende profitieren. Dazu gehören große Banken und Versicherungen, die in den letzten Jahren massiv in ihre IT investiert haben, etwa Deutsche Bank, Allianz oder Munich Re.

Im Gegenzug werden kleinere Institute, die bisher auf kostengünstige, aber weniger sichere IT-Lösungen gesetzt haben, unter Druck geraten. Hier drohen höhere Compliance-Kosten und möglicherweise auch eine Konsolidierung im Markt. Für Investoren bedeutet das: Aktien von Finanzinstituten mit klarer DORA-Strategie und guter IT-Infrastruktur sind langfristig attraktiv, während solche mit schwacher IT-Governance eher zu meiden sind.

Chancen und Risiken für die gesamte Wirtschaft

DORA hat das Potenzial, die gesamte Wirtschaft zu stärken, indem sie die digitale Resilienz des Finanzsektors erhöht. Ein stabiler Finanzsektor ist die Grundlage für Investitionen, Kreditvergabe und Wachstum. Gleichzeitig birgt die Regulierung aber auch Risiken, insbesondere für kleine und mittlere Unternehmen (KMU), die als Drittparteien für Finanzinstitute tätig sind.

Die Vorteile:

  • Erhöhte Stabilität des Finanzsystems durch bessere IT-Sicherheit und Krisenfähigkeit.
  • Stärkere Wettbewerbsfähigkeit europäischer Finanzinstitute im globalen Vergleich.
  • Impulse für den Markt für Cybersecurity-, GRC- und TPRM-Lösungen.

Die Nachteile:

  • Hohe Umsetzungskosten, insbesondere für kleinere Institute und ihre Drittparteien.
  • Risiko einer Überregulierung, die Innovation und Agilität bremst.
  • Mögliche Konsolidierung im Finanzsektor, wenn kleinere Institute die Compliance-Kosten nicht stemmen können.

Was in Zukunft zu erwarten ist

In den kommenden Monaten wird sich zeigen, wie die EU-Kommission die noch ausstehenden RTS/ITS zu DORA finalisiert. Sobald diese Texte vorliegen, werden die Finanzinstitute ihre Projekte finalisieren und die neuen Prozesse und Systeme in den Regelbetrieb überführen. Die BaFin wird dabei eine aktive Rolle spielen, indem sie durch Aufsichtsmitteilungen und gegebenenfalls auch durch Stichproben die Umsetzung überwacht.

Langfristig wird DORA zu einer neuen Normalität im Finanzsektor führen. Die IT-Aufsicht wird nicht mehr nur ein technisches Thema sein, sondern ein integraler Bestandteil der Geschäftsstrategie. Unternehmen, die dies früh erkennen und konsequent umsetzen, werden nicht nur regulatorisch sicher, sondern auch wettbewerbsstärker sein.

Investoren sollten daher auf Unternehmen setzen, die DORA nicht als lästige Pflicht, sondern als Chance begreifen. Das sind vor allem große Finanzinstitute mit klarer IT-Strategie, aber auch Technologieanbieter, die Lösungen für IKT-Risikomanagement, Third-Party Risk Management und Informationsregister anbieten. Unternehmen, die weiterhin auf kurzfristige Kosteneinsparungen statt auf langfristige Resilienz setzen, sollten hingegen eher gemieden werden.

Die BaFin-Konferenz „IT-Aufsicht im Finanzsektor: Was bedeutet DORA in der Praxis?“ zeigt, dass die digitale Aufsicht im Finanzsektor eine neue Qualität erreicht hat. DORA ist kein einmaliges Projekt, sondern ein dauerhafter Umbau der IT-Governance. Wer jetzt investiert – in Technologie, Prozesse und Kompetenz –, wird in den nächsten Jahren die Nase vorn haben. Für Investoren bedeutet das: Fokus auf IT-Stärke, Governance und Resilienz, nicht nur auf kurzfristige Renditen.

Ähnliche Beiträge

Kommentar abschicken

Das hast du vielleicht verpasst