Der Digital Operational Resiliency Act (DORA) hat die Anforderungen an die Informations- und Kommunikationstechnologie (IKT) im europäischen Finanzsektor grundlegend neu definiert. Während die meisten Finanzunternehmen in der EU bereits die umfassenden DORA-Anforderungen erfüllen müssen, verpflichtet das deutsche Finanzmarktdigitalisierungsgesetz (FinmadiG) auch Unternehmen, die nicht direkt unter den Anwendungsbereich von DORA fallen, dazu, Teile der Verordnung umzusetzen. Für diese spezifische Gruppe von Unternehmen gilt ein vereinfachter IKT-Risikomanagementrahmen.
Doch was genau bedeutet diese Vereinfachung für Ihr Unternehmen, und welche Pflichten bleiben unverändert bestehen?
1. Wer ist in Deutschland vom vereinfachten Rahmen betroffen?
Die DORA-Verordnung unterteilt die Anforderungen an Finanzunternehmen in vier wesentliche Kapitel, die von IKT-Risikomanagement über Vorfallmeldungen bis hin zum Testen der digitalen operationalen Resilienz reichen.
Für deutsche Institute, die nicht bereits DORA unterfallen – darunter bestimmte Kredit- und Finanzinstitute, die gemäß § 1a Abs. 2a KWG i.V.m. § 1 KWG betroffen sind, sowie bestimmte Versicherungsholdings nach § 293 VAG – gelten die DORA-Anforderungen mit wesentlichen Modifikationen:
- Vereinfachtes Risikomanagement: Statt der Regelungen in Art. 5 bis 15 DORA müssen diese Unternehmen lediglich den vereinfachten Risikomanagementrahmen nach Art. 16 DORA umsetzen.
- Keine erweiterten Tests: Es besteht keine Pflicht zur Durchführung erweiterter Tests der digitalen operationalen Resilienz.
- Ausnahme für Kleinstunternehmen: Kleinstunternehmen (weniger als 10 Beschäftigte und höchstens 2 Mio. Euro Jahresumsatz) sind vom Management des IKT-Drittparteienrisikos befreit.
2. Welche Fristen müssen Sie beachten?
Die Anforderungen des FinmadiG müssen deutsche Unternehmen grundsätzlich ab dem 1. Januar 2027 erfüllen (§ 65a Abs. 3 KWG).
Es gibt jedoch eine äußerst wichtige Ausnahme, die sofortiges Handeln erfordert: Die Pflichten hinsichtlich des Meldewesens für IKT-bezogene Vorfälle müssen bereits seit dem 17. Januar 2025 erfüllt werden. Dies ist derselbe Stichtag, der für die reguläre Umsetzung der DORA-Verordnung gilt.
3. Die Erleichterungen des vereinfachten IKT-Risikomanagements
Der vereinfachte IKT-Risikomanagementrahmen (Art. 16 DORA, konkretisiert durch die delegierte Verordnung (EU) 2024/1774, auch RTS RMF genannt) bietet im Vergleich zum regulären Rahmen erhebliche Vorteile, die sich primär auf Dokumentations- und Governance-Prozesse beziehen.
Weniger Bürokratie, mehr Flexibilität:
- Strategie und Governance: Es muss keine gesonderte Strategie für die digitale operationale Resilienz verfasst werden. Stattdessen ist ein interner Governance- und Kontrollrahmen erforderlich.
- Führungsgenehmigung: Die Geschäftsführung muss nicht mehr alle Verfahren, Protokolle und Tools genehmigen, sondern nur noch Kernbestandteile wie die Klassifizierung der IKT-Assets, die Liste der Hauptrisiken, die Business-Impact-Analyse und die Geschäftsfortführungspläne.
- Organisation: Es ist keine strikte Trennung nach dem Modell der drei Verteidigungslinien mehr erforderlich, um Interessenskonflikte zu vermeiden. Unabhängigkeit zwischen Kontrollfunktionen des IKT-Risikomanagements und der Revision muss jedoch gewährleistet bleiben. Eine fest vorgeschriebene IKT-Kontrollfunktion ist nicht mehr notwendig.
- Prüfungszyklen: Es entfällt die jährliche Prüfpflicht, wie sie Art. 6 Abs. 5 DORA für den regulären Rahmen vorschreibt. Prüfungen müssen lediglich regelmäßig sowie nach schwerwiegenden IKT-bezogenen Vorfällen durchgeführt werden.
- Aktualisierung: Ihr Unternehmen ist nicht verpflichtet, IKT-Systeme stets auf dem neuesten Stand zu halten (im Gegensatz zu Art. 7 DORA). Allerdings müssen Altsysteme, für die es keine Patches mehr gibt, weiterhin in Risikobewertungen und die kontinuierliche Verbesserung der IKT-Sicherheit einbezogen werden.
- BCM: Es muss keine übergreifende Geschäftsfortführungsleitlinie (Business Continuity Policy) erstellt werden.
4. Die unveränderten Kernpflichten
Trotz der Erleichterungen liegt der Fokus des vereinfachten Rahmens weiterhin stark auf der tatsächlichen Umsetzung operativer Prozesse und Tools. Die digitale operationale Resilienz muss ein hohes Niveau aufweisen.
Ihre Geschäftsführung bleibt in der Pflicht:
- Gesamtverantwortung: Die Gesamtverantwortung für das Management der IKT-Sicherheit und der digitalen operationalen Resilienz verbleibt uneingeschränkt bei der Geschäftsführung.
- Datenschutz: Daten müssen entsprechend ihrer Kritikalität in allen Zuständen geschützt werden: bei der Speicherung („in rest“), bei der Übermittlung („in transfer“) und insbesondere auch während der Verwendung („in use“).
- Risikobewertung: Das Risikomanagement muss auf der Klassifizierung der IKT-Assets und der kritischen/wichtigen Funktionen aufbauen. Dabei sind insbesondere die wechselseitigen Abhängigkeiten von IKT-Drittdienstleistern zu ermitteln.
- Tests: Geschäftsfortführungspläne müssen jährlich im Hinblick auf Sicherungs- und Wiedergewinnungsverfahren getestet werden. Verschiedene Szenarien, insbesondere das eines Cyberangriffs, müssen dabei geprüft werden.
- Schulung: Obwohl keine speziellen Schulungen für das Leitungsorgan vorgeschrieben sind (im Gegensatz zu Art. 5 Abs. 4 DORA), muss das Leitungsorgan sicherstellen, dass es über ausreichende Kenntnisse und Fähigkeiten verfügt, um IKT-Risiken angemessen zu berücksichtigen.
5. Auswirkungen auf das Management von Drittparteien
Die wegfallende Strategie für die digitale operationale Sicherheit führt dazu, dass auch die Erstellung einer Strategie für das Drittparteienrisikomanagement entfällt. Ebenso ist keine spezielle Funktion für das Drittparteienmanagement oder ein Auslagerungsbeauftragter zwingend erforderlich.
Wichtige Dokumentationspflichten bleiben jedoch erhalten: Die umfassenden Anforderungen hinsichtlich der Pflege eines Informationsregisters, Risikobewertungen, der Erstellung von Ausstiegsstrategien sowie der Mindestvertragsklauseln mit Dienstleistern bestehen weiterhin.
Fazit und Empfehlung
Der vereinfachte IKT-Risikomanagementrahmen nach Art. 16 DORA bietet den betroffenen Unternehmen in Deutschland konkrete Erleichterungen, die primär die Prozesse und die Dokumentationsdichte betreffen. Er sollte jedoch keinesfalls dahingehend interpretiert werden, dass an der konkreten Umsetzung von Cybersicherheitsmaßnahmen gespart werden kann.
Gerade für Unternehmen, die bisher wenig für ihre Cybersecurity unternommen haben, stellt die Umsetzung eine erhebliche Herausforderung dar. Selbst Unternehmen, die bereits BAIT-Anforderungen erfüllen oder ISO-27001-zertifiziert sind, müssen Prozesse anpassen und neue Dokumentationsanforderungen erfüllen, insbesondere in den übrigen DORA-Bereichen wie Vorfallmanagement und Tests.
Da die Komplexität der DORA-Anforderungen weiterhin hoch ist, raten wir Ihnen dringend zur Einholung von juristischer und technologischer Expertise. Ein gut dokumentiertes, aber übersichtliches Verfahren, das die Erfüllung der wichtigsten Anforderungen festhält, ist als Ersatz für eine ausführliche Strategie dringend anzuraten.
