Weitere Finanzinstitute von DORA betroffen: neue BaFin-Hinweise und was jetzt zu tun ist

Am 21. August 2025 hat die BaFin eine neue Aufsichtsmitteilung veröffentlicht, die sich gezielt an bislang nicht adressierte Finanzinstitute richtet. Im Fokus: die Umsetzung der DORA-Verordnung (Digital Operational Resilience Act) und die Anwendung eines vereinfachten IKT-Risikomanagementrahmens. Auch wenn die Anforderungen des vereinfachten IKT-Risikomanagementrahmens im Vergleich zu den BAIT geringer erscheinen, unterscheidet sich der methodische Ansatz der Regelwerke merklich und die Umsetzung bleibt dadurch anspruchsvoll.

Zur offiziellen BaFin-Mitteilung:

• Neue Aufsichtsmitteilung: BaFin veröffentlicht weitere Hinweise zu DORA
• DORA: BaFin-Hinweise bieten Orientierung

Direkt zur PDF der BaFin-Hinweise:

• Aufsichtsmitteilung Hinweise zur Umsetzung von DORA mit vereinfachtem IKT-Risikomanagementrahmen (Artikel 16 DORA) und IKT-Drittparteienrisikomanagement

Wer ist betroffen?

Die Hinweise richten sich an eine Vielzahl von Instituten, darunter:

1. Bürgschaftsbanken
2. Finanzierungsleasing- und Factoringinstitute
3. Kryptowertpapierregisterführer
4. Wohnungsunternehmen mit Spareinrichtung
5. Drittstaatenzweigstellen nach § 53 KWG

Was ändert sich konkret?

Bis Ende 2026 gelten für die betroffenen Institute weiterhin die bankaufsichtlichen Anforderungen an die IT (BAIT). Ab dem 01.01.2027 werden sie über das Finanzmarktdigitalisierungsgesetz (FinmadiG) in den Anwendungsbereich der DORA integriert. Die betroffenen Unternehmen profitieren von vereinfachten DORA-Anforderungen an das IKT-Risiko- und IKT-Drittparteienrisikomanagement – müssen aber dennoch bis zum 01.01.2027 vollständig DORA-compliant sein.

Das bedeutet: Weniger Umfang heißt nicht automatisch weniger Aufwand.

Beispielhafte Herausforderungen bei der Umsetzung

1. IKT-Drittparteienrisikomanagement

Die Definition von IKT-Dienstleistungen in DORA ist deutlich weiter gefasst als in bisherigen Regelwerken. Das führt zu einer umfassenderen Bewertung aller IKT-bezogenen Drittbezüge, erweiterten vertraglichen Mindestanforderungen, strengeren Vorgaben bei Untervergaben und erhöhtem Aufwand bei Risikobewertungen und Due Diligence.

2. IKT-Geschäftsfortführungspläne

Auch die Anforderungen an die Ausgestaltung von Notfallplänen ( Wiederanlauf, Wiederherstellung,…) steigen. Bestehende Pläne sind hinsichtlich Inhalten, Strukturen, Verfahren und Maßnahmen anzupassen.

Was ist jetzt zu tun?

Die verbleibende Zeit bis 2027 sollte gezielt genutzt werden:

1. Durchführung einer Gap-Analyse
2. Entwicklung eines Umsetzungsfahrplans mit priorisierten Maßnahmen
3. Konzeption eines DORA-konformen IKT-Risikomanagementrahmens
4. Operationalisierung zur Erreichung der Compliance

Fazit

Auch wenn DORA für einige bislang nicht adressierte Institute vereinfachte Anforderungen vorsieht, ist die Umsetzung keineswegs trivial. Wer jetzt strukturiert vorgeht, kann regulatorische Risiken minimieren und gleichzeitig die digitale Resilienz stärken.

Sie möchten wissen, wo Ihr Institut steht?

Wir unterstützen Sie mit einer fundierten Gap-Analyse und begleiten Sie bei der Umsetzung bis zur vollständigen DORA-Compliance.