Die Regulierung im Finanzsektor wird zunehmend komplexer – insbesondere im Hinblick auf IT-Sicherheit, operationale Resilienz und Risikomanagement. Drei zentrale Säulen in Deutschland und der EU sind hierbei: DORA, MaRisk und BAIT. Sie bilden zusammen den Rahmen für ein modernes, europaweit harmonisiertes Sicherheits- und Governance-Niveau.
1. Einführung in die Regelwerke
• DORA (Digital Operational Resilience Act): EU-Verordnung für digitale operationelle Resilienz, gilt ab 17. Januar 2025.
• MaRisk (Mindestanforderungen an das Risikomanagement): nationales Regelwerk der BaFin für Banken.
• BAIT (Bankaufsichtliche Anforderungen an die IT): BaFin-Rundschreiben zur Konkretisierung der IT-Anforderungen.
2. DORA – Digital Operational Resilience Act
DORA (Verordnung (EU) 2022/2554) gilt ab dem 17. Januar 2025 und betrifft Banken, Versicherer, Zahlungsdienstleister, Investmentgesellschaften sowie deren IT-Dienstleister. Ziel ist es, eine einheitliche Regulierung für IKT-Risiken im Finanzsektor zu schaffen. DORA legt Anforderungen an IT-Risikomanagement, Vorfallmeldung, Tests, Drittanbietersteuerung und Informationsaustausch fest.
3. MaRisk – Mindestanforderungen an das Risikomanagement
Die MaRisk sind ein nationales Regelwerk der BaFin, das organisatorische und prozessuale Anforderungen an das Risikomanagement von Banken definiert. Sie regeln u. a. Governance, interne Kontrollen, Notfallmanagement, Dokumentation und Outsourcing. Ziel ist die Sicherstellung eines wirksamen, risikoorientierten Managements nach § 25a KWG.
4. BAIT – Bankaufsichtliche Anforderungen an die IT
Die BAIT konkretisieren die Anforderungen der MaRisk im Bereich IT. Sie definieren Vorgaben zu Informationssicherheit, IT-Governance, Identity- und Access-Management, Notfallkonzepte und Systemüberwachung. BAIT war bis zur Einführung von DORA das zentrale IT-Regelwerk für Banken in Deutschland.
5. Zusammenspiel und Veränderungen durch DORA
Mit dem Inkrafttreten von DORA werden viele nationale Vorgaben, insbesondere in der
BAIT, durch EU-weite Regelungen ersetzt oder ergänzt. DORA schafft erstmals einheitliche
Anforderungen für den gesamten europäischen Finanzsektor. Die MaRisk bleiben weiterhin
relevant, da sie übergreifende Risikomanagementanforderungen abdecken.
Neuer Fokus / Verschärfung
Bedeutung
ICT-Risikomanagementrahmen
Einheitliche Vorgaben zur Identifikation, Bewertung und Steuerung von IT-Risiken.
ICT-Drittanbieter-Risiken
Strengere Anforderungen an Outsourcing- Verträge und Überwachung von IT- Dienstleistern.
Vorfallmeldung & Klassifizierung
Verbindliche Meldefristen für schwerwiegende ICT-Vorfälle.
Operational Resilience Testing
Verpflichtende Tests, z. B. Penetrationstests für kritische Systeme.
Informationsaustausch
Förderung des Austauschs über Cyber- Bedrohungen und Sicherheitsvorfälle.
6. Herausforderungen für Finanzinstitute
DORA erfordert tiefgreifende organisatorische Anpassungen. Banken und Versicherer müssen sicherstellen, dass ihre IT-Sicherheitskonzepte, Incident-Response-Prozesse und Dienstleisterverträge DORA-konform sind. Die Aufsicht in Deutschland liegt bei der BaFin, die im Rahmen des Finanzmarktdigitalisierungsgesetzes (FinmadiG) zusätzliche Kompetenzen erhält.
7. Handlungsempfehlungen für Institute
1. Gap-Analyse: Vergleich der bestehenden IT- und Governance-Strukturen mit den
Anforderungen von DORA.
2. Anpassung der Outsourcing-Verträge und Dienstleistersteuerung.
3. Aufbau eines Meldewesens für ICT-Vorfälle.
4. Durchführung regelmäßiger Resilienztests und Notfallübungen.
5. Schulung von Mitarbeitenden und Management zu DORA- und IT-Risiken.
6. Verzahnung von DORA mit MaRisk und BAIT, um Doppelarbeit zu vermeiden.
8. Fazit
Mit DORA, MaRisk und BAIT entsteht ein integrierter Regulierungsrahmen für die digitale Sicherheit im Finanzwesen. Während MaRisk und BAIT die nationale Grundlage bilden, setzt DORA neue europäische Standards. Für Finanzinstitute bedeutet das: Jetzt ist der richtige Zeitpunkt, um Strukturen, Prozesse und Verträge auf die neuen Anforderungen vorzubereiten und die digitale Resilienz langfristig zu stärken.
