Die meisten beaufsichtigten Finanzinstitute müssen künftig DORA anwenden. Was bedeutet dies für Banken und Sparkassen? Das zeigen Umsetzungshinweise zum IT-Risikomanagement und IT-Drittparteienrisikomanagement.
Aufsichtsrechtliche Anforderungen, Regulierung und Compliance werden von den meisten Banken und Sparkassen als Last empfunden. Dabei sichern diese die Sicherheit und damit die Existenz unseres modernen Bankensystems und ermöglichen, richtig genutzt, auch Chancen im Kundengeschäft. Im Bank Blog finden Sie aktuelle Studien zu Trends und Entwicklungen in diesem Bereich.
Partner des Bank Blogs
Aktuell setzen die von der BaFin überwachten Unternehmen im Banken- und Versicherungssektor die bankaufsichtlichen Anforderungen an die IT (BAIT bzw. VAIT) um. Ab dem 17. Januar 2025 müssen alle Finanzdienstleister in der EU den Digital Operational Resilience Act (DORA) umsetzen. Sie sind verpflichtet, die Risiken ihrer Informations- und Kommunikationstechnologie (IKT) gemäß den Vorgaben aus DORA zu steuern.
Die Richtlinie zielt darauf ab, die Resilienz von Finanzinstituten gegenüber digitalen Risiken zu erhöhen. Dies umfasst nicht nur den Schutz vor Cyberangriffen, sondern auch die Fähigkeit, auf Betriebsstörungen effektiv zu reagieren und den Geschäftsbetrieb weiterhin sicherzustellen.
Viele Anforderungen aus DORA entsprechen den Vorgaben der BaFin-Rundschreiben BAIT, VAIT, ZAIT und KAIT. Aus diesem Grund plant die BaFin, diese Rundschreiben außer Kraft zu setzen.
Umsetzungshinweise für DORA
Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) hat nun – reichlich spät – eine Aufsichtsmitteilung mit Umsetzungshinweisen zu DORA veröffentlicht. Sie basiert auf den Ergebnissen von sechs Arbeitsgruppen, die Vertreterinnen und Vertreter aus der Finanzbranche, der Deutschen Bundesbank und der BaFin einbezogen haben.
Die Umsetzungshinweise sind eine nicht verpflichtende Hilfestellung und sollen Finanzinstitute dabei unterstützen, die Anforderungen aus DORA in Bezug auf das reguläre IKT-Risikomanagement sowie das IKT-Drittparteienrisikomanagement umzusetzen. Dabei werden auch die relevanten technischen Regulierungsstandards berücksichtigt.
Die Umsetzungshinweise bieten zudem eine Übersicht der Mindestvertragsinhalte, die von beaufsichtigten Unternehmen in Vereinbarungen mit IKT-Drittdienstleistern festgelegt werden müssen.
Die Umsetzungshinweise beziehen sich ausschließlich auf die BAIT und VAIT. Allerdings sind die behandelten Anforderungen oft vergleichbar mit den aufsichtsrechtlichen Vorgaben für Kapitalverwaltungsgesellschaften (KAIT) sowie für Zahlungs- und E-Geld-Institute (ZAIT). Daher lassen sich die Ergebnisse in der Regel auch auf diese Bereiche übertragen.
Premium Abonnenten des Bank Blogs haben direkten kostenfreien Zugriff auf die Bezugsinformationen zu Studien und Whitepapern.
Noch kein Premium-Leser?
Premium Abonnenten des Bank Blogs haben direkten Zugriff auf alle kostenpflichtigen Inhalte des Bank Blogs (Studienquellen, E-Books etc.) und viele weitere Vorteile.
>>> Hier anmelden <<<
Neu: Tagespass Studien
Sie wollen direkten Zugriff auf einzelne Studien, aber nicht gleich ein Premium-Abonnement abschließen? Dann ist der neue Tagespass Studien genau das richtige für Sie. Mit ihm erhalten Sie für 24 Stunden direkten Zugriff auf sämtliche Studienquellen.
>>> Tagespass Studien kaufen <<<
Ein Service des Bank Blogs
Der Bank Blog prüft für Sie regelmäßig eine Vielzahl von Studien/Whitepapern und stellt die relevanten hier vor. Als besonderer Service wird Ihnen die Suche nach Bezugs- und Downloadmöglichkeiten abgenommen und Sie werden direkt zur Anbieterseite weitergeleitet. Als Premium Abonnent unterstützen Sie diesen Service und die Berichterstattung im Bank Blog.
