{"id":979,"date":"2025-10-24T15:58:48","date_gmt":"2025-10-24T13:58:48","guid":{"rendered":"https:\/\/www.g-lorenzen.de\/?p=979"},"modified":"2025-10-24T15:58:48","modified_gmt":"2025-10-24T13:58:48","slug":"digitale-resilienz-mit-augenmass-der-vereinfachte-ikt-risikomanagementrahmen-nach-dora-und-finmadig","status":"publish","type":"post","link":"https:\/\/www.g-lorenzen.de\/index.php\/2025\/10\/24\/digitale-resilienz-mit-augenmass-der-vereinfachte-ikt-risikomanagementrahmen-nach-dora-und-finmadig\/","title":{"rendered":"Digitale Resilienz mit Augenma\u00df: Der vereinfachte IKT-Risikomanagementrahmen nach DORA und FinmadiG"},"content":{"rendered":"<p>Der Digital Operational Resiliency Act (DORA) hat die Anforderungen an die Informations- und Kommunikationstechnologie (IKT) im europ\u00e4ischen Finanzsektor grundlegend neu definiert. W\u00e4hrend die meisten Finanzunternehmen in der EU bereits die umfassenden DORA-Anforderungen erf\u00fcllen m\u00fcssen, verpflichtet das deutsche Finanzmarktdigitalisierungsgesetz (FinmadiG) auch Unternehmen, die nicht direkt unter den Anwendungsbereich von DORA fallen, dazu, Teile der Verordnung umzusetzen. F\u00fcr diese spezifische Gruppe von Unternehmen gilt ein <strong>vereinfachter IKT-Risikomanagementrahmen<\/strong>.<\/p>\n<p>Doch was genau bedeutet diese Vereinfachung f\u00fcr Ihr Unternehmen, und welche Pflichten bleiben unver\u00e4ndert bestehen?<\/p>\n<h2>1. Wer ist in Deutschland vom vereinfachten Rahmen betroffen?<\/h2>\n<p>Die DORA-Verordnung unterteilt die Anforderungen an Finanzunternehmen in vier wesentliche Kapitel, die von IKT-Risikomanagement \u00fcber Vorfallmeldungen bis hin zum Testen der digitalen operationalen Resilienz reichen.<\/p>\n<p>F\u00fcr deutsche Institute, die nicht bereits DORA unterfallen \u2013 darunter bestimmte Kredit- und Finanzinstitute, die gem\u00e4\u00df \u00a7 1a Abs. 2a KWG i.V.m. \u00a7 1 KWG betroffen sind, sowie bestimmte Versicherungsholdings nach \u00a7 293 VAG \u2013 gelten die DORA-Anforderungen mit wesentlichen Modifikationen:<\/p>\n<ul>\n<li><strong>Vereinfachtes Risikomanagement:<\/strong> Statt der Regelungen in Art. 5 bis 15 DORA m\u00fcssen diese Unternehmen lediglich den vereinfachten Risikomanagementrahmen nach <strong>Art. 16 DORA<\/strong> umsetzen.<\/li>\n<li><strong>Keine erweiterten Tests:<\/strong> Es besteht keine Pflicht zur Durchf\u00fchrung erweiterter Tests der digitalen operationalen Resilienz.<\/li>\n<li><strong>Ausnahme f\u00fcr Kleinstunternehmen:<\/strong> Kleinstunternehmen (weniger als 10 Besch\u00e4ftigte und h\u00f6chstens 2 Mio. Euro Jahresumsatz) sind vom Management des IKT-Drittparteienrisikos befreit.<\/li>\n<\/ul>\n<h2>2. Welche Fristen m\u00fcssen Sie beachten?<\/h2>\n<p>Die Anforderungen des FinmadiG m\u00fcssen deutsche Unternehmen grunds\u00e4tzlich ab dem <strong>1. Januar 2027<\/strong> erf\u00fcllen (\u00a7 65a Abs. 3 KWG).<\/p>\n<p>Es gibt jedoch eine \u00e4u\u00dferst wichtige Ausnahme, die sofortiges Handeln erfordert: Die Pflichten hinsichtlich des <strong>Meldewesens f\u00fcr IKT-bezogene Vorf\u00e4lle<\/strong> m\u00fcssen bereits seit dem <strong>17. Januar 2025<\/strong> erf\u00fcllt werden. Dies ist derselbe Stichtag, der f\u00fcr die regul\u00e4re Umsetzung der DORA-Verordnung gilt.<\/p>\n<h2>3. Die Erleichterungen des vereinfachten IKT-Risikomanagements<\/h2>\n<p>Der vereinfachte IKT-Risikomanagementrahmen (Art. 16 DORA, konkretisiert durch die delegierte Verordnung (EU) 2024\/1774, auch RTS RMF genannt) bietet im Vergleich zum regul\u00e4ren Rahmen erhebliche Vorteile, die sich prim\u00e4r auf Dokumentations- und Governance-Prozesse beziehen.<\/p>\n<p><strong>Weniger B\u00fcrokratie, mehr Flexibilit\u00e4t:<\/strong><\/p>\n<ul>\n<li><strong>Strategie und Governance:<\/strong> Es muss keine gesonderte Strategie f\u00fcr die digitale operationale Resilienz verfasst werden. Stattdessen ist ein interner Governance- und Kontrollrahmen erforderlich.<\/li>\n<li><strong>F\u00fchrungsgenehmigung:<\/strong> Die Gesch\u00e4ftsf\u00fchrung muss nicht mehr alle Verfahren, Protokolle und Tools genehmigen, sondern nur noch Kernbestandteile wie die Klassifizierung der IKT-Assets, die Liste der Hauptrisiken, die Business-Impact-Analyse und die Gesch\u00e4ftsfortf\u00fchrungspl\u00e4ne.<\/li>\n<li><strong>Organisation:<\/strong> Es ist keine strikte Trennung nach dem Modell der drei Verteidigungslinien mehr erforderlich, um Interessenskonflikte zu vermeiden. Unabh\u00e4ngigkeit zwischen Kontrollfunktionen des IKT-Risikomanagements und der Revision muss jedoch gew\u00e4hrleistet bleiben. Eine fest vorgeschriebene IKT-Kontrollfunktion ist nicht mehr notwendig.<\/li>\n<li><strong>Pr\u00fcfungszyklen:<\/strong> Es entf\u00e4llt die j\u00e4hrliche Pr\u00fcfpflicht, wie sie Art. 6 Abs. 5 DORA f\u00fcr den regul\u00e4ren Rahmen vorschreibt. Pr\u00fcfungen m\u00fcssen lediglich regelm\u00e4\u00dfig sowie nach schwerwiegenden IKT-bezogenen Vorf\u00e4llen durchgef\u00fchrt werden.<\/li>\n<li><strong>Aktualisierung:<\/strong> Ihr Unternehmen ist nicht verpflichtet, IKT-Systeme stets auf dem neuesten Stand zu halten (im Gegensatz zu Art. 7 DORA). Allerdings m\u00fcssen Altsysteme, f\u00fcr die es keine Patches mehr gibt, weiterhin in Risikobewertungen und die kontinuierliche Verbesserung der IKT-Sicherheit einbezogen werden.<\/li>\n<li><strong>BCM:<\/strong> Es muss keine \u00fcbergreifende Gesch\u00e4ftsfortf\u00fchrungsleitlinie (Business Continuity Policy) erstellt werden.<\/li>\n<\/ul>\n<h2>4. Die unver\u00e4nderten Kernpflichten<\/h2>\n<p>Trotz der Erleichterungen liegt der Fokus des vereinfachten Rahmens weiterhin stark auf der tats\u00e4chlichen Umsetzung operativer Prozesse und Tools. Die digitale operationale Resilienz muss ein hohes Niveau aufweisen.<\/p>\n<p><strong>Ihre Gesch\u00e4ftsf\u00fchrung bleibt in der Pflicht:<\/strong><\/p>\n<ul>\n<li><strong>Gesamtverantwortung:<\/strong> Die Gesamtverantwortung f\u00fcr das Management der IKT-Sicherheit und der digitalen operationalen Resilienz verbleibt uneingeschr\u00e4nkt bei der Gesch\u00e4ftsf\u00fchrung.<\/li>\n<li><strong>Datenschutz:<\/strong> Daten m\u00fcssen entsprechend ihrer Kritikalit\u00e4t in allen Zust\u00e4nden gesch\u00fctzt werden: bei der Speicherung (&#8222;in rest&#8220;), bei der \u00dcbermittlung (&#8222;in transfer&#8220;) und insbesondere auch <strong>w\u00e4hrend der Verwendung (&#8222;in use&#8220;)<\/strong>.<\/li>\n<li><strong>Risikobewertung:<\/strong> Das Risikomanagement muss auf der Klassifizierung der IKT-Assets und der kritischen\/wichtigen Funktionen aufbauen. Dabei sind insbesondere die wechselseitigen Abh\u00e4ngigkeiten von IKT-Drittdienstleistern zu ermitteln.<\/li>\n<li><strong>Tests:<\/strong> Gesch\u00e4ftsfortf\u00fchrungspl\u00e4ne m\u00fcssen <strong>j\u00e4hrlich<\/strong> im Hinblick auf Sicherungs- und Wiedergewinnungsverfahren getestet werden. Verschiedene Szenarien, insbesondere das eines Cyberangriffs, m\u00fcssen dabei gepr\u00fcft werden.<\/li>\n<li><strong>Schulung:<\/strong> Obwohl keine speziellen Schulungen f\u00fcr das Leitungsorgan vorgeschrieben sind (im Gegensatz zu Art. 5 Abs. 4 DORA), muss das Leitungsorgan sicherstellen, dass es \u00fcber ausreichende Kenntnisse und F\u00e4higkeiten verf\u00fcgt, um IKT-Risiken angemessen zu ber\u00fccksichtigen.<\/li>\n<\/ul>\n<h2>5. Auswirkungen auf das Management von Drittparteien<\/h2>\n<p>Die wegfallende Strategie f\u00fcr die digitale operationale Sicherheit f\u00fchrt dazu, dass auch die Erstellung einer Strategie f\u00fcr das Drittparteienrisikomanagement entf\u00e4llt. Ebenso ist keine spezielle Funktion f\u00fcr das Drittparteienmanagement oder ein Auslagerungsbeauftragter zwingend erforderlich.<\/p>\n<p><strong>Wichtige Dokumentationspflichten bleiben jedoch erhalten:<\/strong> Die umfassenden Anforderungen hinsichtlich der Pflege eines Informationsregisters, Risikobewertungen, der Erstellung von Ausstiegsstrategien sowie der Mindestvertragsklauseln mit Dienstleistern bestehen weiterhin.<\/p>\n<h2>Fazit und Empfehlung<\/h2>\n<p>Der vereinfachte IKT-Risikomanagementrahmen nach Art. 16 DORA bietet den betroffenen Unternehmen in Deutschland konkrete Erleichterungen, die prim\u00e4r die Prozesse und die Dokumentationsdichte betreffen. Er sollte jedoch keinesfalls dahingehend interpretiert werden, dass an der konkreten Umsetzung von Cybersicherheitsma\u00dfnahmen gespart werden kann.<\/p>\n<p>Gerade f\u00fcr Unternehmen, die bisher wenig f\u00fcr ihre Cybersecurity unternommen haben, stellt die Umsetzung eine erhebliche Herausforderung dar. Selbst Unternehmen, die bereits BAIT-Anforderungen erf\u00fcllen oder ISO-27001-zertifiziert sind, m\u00fcssen Prozesse anpassen und neue Dokumentationsanforderungen erf\u00fcllen, insbesondere in den \u00fcbrigen DORA-Bereichen wie Vorfallmanagement und Tests.<\/p>\n<p>Da die Komplexit\u00e4t der DORA-Anforderungen weiterhin hoch ist, raten wir Ihnen dringend zur <strong>Einholung von juristischer und technologischer Expertise<\/strong>. Ein gut dokumentiertes, aber \u00fcbersichtliches Verfahren, das die Erf\u00fcllung der wichtigsten Anforderungen festh\u00e4lt, ist als Ersatz f\u00fcr eine ausf\u00fchrliche Strategie dringend anzuraten.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Der Digital Operational Resiliency Act (DORA) hat die Anforderungen an die Informations- und Kommunikationstechnologie (IKT)&hellip;<\/p>\n","protected":false},"author":1,"featured_media":724,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[],"class_list":["post-979","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-allgemein"],"_links":{"self":[{"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/posts\/979","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/comments?post=979"}],"version-history":[{"count":1,"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/posts\/979\/revisions"}],"predecessor-version":[{"id":980,"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/posts\/979\/revisions\/980"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/media\/724"}],"wp:attachment":[{"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/media?parent=979"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/categories?post=979"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/tags?post=979"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}