Aktuelles
Datum: 

BaFin veröffentlicht DORA-Umsetzungshinweise für den vereinfachten IKT-Risikomanagementrahmen und Drittparteienrisiken


Mit der am 21. August 2025 veröffentlichten Aufsichtsmitteilung hat die BaFin detaillierte Hinweise zur Umsetzung der DORA-Verordnung (Digital Operational Resilience Act) vorgelegt. Darin werden nicht-verpflichtende Hilfestellungen zur Verwendung des vereinfachten IKT-Risikomanagementrahmens gemäß Artikel 16 DORA (inkl. RTS RMF Art. 28) sowie damit verbundene Erleichterungen im IKT-Drittparteienrisikomanagement (Art. 28–30 DORA) für die betreffenden Unternehmen gegeben. Die BaFin schließt damit an ihre Umsetzungshinweise zum vollständigen IKT-Risikomanagementrahmen und dem IKT-Drittparteienmanagement von Juni 2024 an.

In dieser Aufsichtsmitteilung werden nun die DORA-Anforderungen den vorherigen BAIT/VAIT-Anforderungen der BaFin gegenübergestellt. Damit werden insbesondere Vereinfachungen aufgezeigt. Ziel ist es, den Übergang zu den EU-Regelungen für zu erleichtern und für Klarheit bei den betroffenen Instituten zu sorgen.
 

Zielgruppe des vereinfachten IKT-Rahmens

Der vereinfachte IKT-Risikomanagementrahmen richtet sich an kleinere und weniger komplexe Institute, die bislang BAIT oder VAIT anwenden mussten. Konkret betrifft dies in Deutschland:

  • kleine und nicht-verflochtene Wertpapierinstitute,
  • kleine Einrichtungen der betrieblichen Altersversorgung,
  • bestimmte Versicherungsholdings (durch nationale Erweiterung des Anwendungsbereichs mittels des FinmadiG),
  • Nicht-CRR-Kreditinstitute (durch nationale Erweiterung des Anwendungsbereichs mittels des FinmadiG).

Achtung: Institute, die unter ZAIT oder KAIT fallen, sind von der Vereinfachung aus Art. 16 der DORA nicht erfasst.
 

Vereinfachter Rahmen – weniger Umfang, neue Schwerpunkte

Generell sind die Anforderungen des vereinfachten IKT-Risikomanagementrahmens im Vergleich zu den BAIT/ VAIT weniger umfangreich. Viele Detailvorgaben entfallen, dafür verschiebt sich der Fokus auf ein konsequentes IKT-Risikomanagement, die Stärkung der Governance und digitale Resilienz. Die BaFin hebt insbesondere folgende Punkte am vereinfachten IKT-Risikomanagementrahmen hervor:

Zum Vergrößern auf das Bild klicken

IKT-Drittparteienrisikomanagement (Art. 28-30 DORA)

DORA verpflichtet alle unterliegenden Institute zu einem umfassenden Management von Risiken aus externen IKT-Dienstleistungen. Dazu zählt der gesamte Lebenszyklus – von Auswahl und Risikoanalyse über Vertragsgestaltung, Monitoring bis hin zu Notfallplanung und Exit-Strategien. Es gibt jedoch auch hier einige Vereinfachungen: Aufwändige Governance-Pflichten wie eine eigene IKT-Drittparteienrisikostrategie sowie Leitlinien für kritische Dienste oder zentrale Stabsstellen entfallen. Feste Berichtsintervalle sind nicht vorgeschrieben; es reicht, wesentliche Abhängigkeiten zu erfassen und Verfahren flexibel zu gestalten. Die Erleichterungen für Artikel 16 wurden außerdem in einer neuen Spalte (G) der Übersicht der Mindestvertragsinhalte DORA berücksichtigt.

Die Meldepflichten inklusive Führung eines umfassenden Informationsregisters sowie die verschärften vertraglichen Mindestanforderungen der DORA gelten jedoch unverändert für alle Institute unter DORA. Verträge müssen formale Zusammenfassungen, Zusatzpflichten bei kritischen Funktionen, Kündigungs- und Prüfrechte, Subunternehmerregelungen inklusive Genehmigungsprozesse sowie hinreichende Vorankündigungsfristen unter anderem für Änderungen enthalten. Risikobewertungen umfassen alle relevanten Risiken, insbesondere IKT-Konzentrationsrisiken, Sicherheitsstandards und rechtliche Aspekte bei kritischen Funktionen. Ausstiegsstrategien müssen eine unterbrechungsfreie Fortführung des Geschäftsbetriebs sicherstellen und regelmäßig geprüft werden. Konzerninterne Auslagerungen unterliegen außerdem ebenfalls diesen Vorgaben, unter Beachtung der Verhältnismäßigkeit.

Dokumentationsanforderungen

Zur Umsetzung der Dokumentationsanforderungen an Finanzunternehmen gemäß Artikel 16 DORA stellt die BaFin eine strukturierte Übersicht als nicht verpflichtende Hilfestellung bereit. Diese Übersicht soll Unternehmen dabei unterstützen, die in DORA und den Technischen Standards (RTS/ITS) genannten Mindestdokumente zu identifizieren. Die einzelnen Dokumente sind über die Zeilen hierarchisch angeordnet und abgebildet, dabei spiegeln die einzelnen Spalten die relevanten Kapitel, Abschnitte und Artikel wider.

Übergangsfristen und Umsetzungshorizont

DORA ist EU-weit seit dem 17. Januar 2025 anzuwenden. Für bestimmte nicht-CRR-Institute gilt BAIT jedoch noch bis Ende 2026, bevor vollständig auf den vereinfachten Rahmen nach Art. 16 DORA umgestellt werden muss. Es empfiehlt sich, die Übergangszeit aktiv zu nutzen, um Prozesse, Risikoanalysen und Verträge DORA-konform anzupassen. Bestehende Auslagerungsverträge sollten zeitnah überprüft und angepasst werden, insbesondere im Hinblick auf Drittparteienrisiken.

Fazit

Mit der aktuellen Aufsichtsmitteilung präzisiert die BaFin die Erwartungen an die betroffenen Institute im Zuge von DORA. Der vereinfachte Rahmen reduziert die formalen Anforderungen, verstärkt jedoch zugleich Governance und Dokumentationspflichten. Besonders das Management von Drittparteienrisiken bleibt anspruchsvoll. Wer frühzeitig handelt, kann regulatorische Sicherheit schaffen – und die digitale Resilienz des eigenen Hauses nachhaltig stärken.

Unsere Expertinnen und Experten bei BDO verfügen über umfassende Erfahrung in der Umsetzung der regulatorischen Vorgaben von DORA, BAIT und VAIT. Wir unterstützen Sie gerne bei der Analyse bestehender Strukturen, der Einführung wirksamer Prozesse und der Erstellung einer zukunftssicheren Governance.

Dieser Artikel wurde verfasst von