BaFin veröffentlicht Umsetzungshinweise zu DORA

Die BaFin hat eine Aufsichtsmitteilung mit Umsetzungshinweisen zu DORA veröffentlicht. Diese soll als nicht verpflichtende Hilfestellung die Unternehmen dabei unterstützen, die Anforderungen der DORA-Verordnung und der technischen Regulierungsstandards zum IKT-Risikomanagement und IKT-Drittparteienrisikomanagement umzusetzen. Im Fokus steht ein Vergleich der bisherigen Aufsichtspraxis aus den BaFin-Rundschreiben über die bank- und versicherungsrechtlichen Anforderungen an die IT (BAIT und VAIT). Die BaFin weist darauf hin, dass sich die in der Aufsichtsmitteilung enthaltenen Ergebnisse auch auf Kapitalverwaltungsgesellschaften übertragen lassen, weil die Vorgaben der BaFin-Rundschreiben in den BAIT und VAIT mit den Aufsichtspraktiken in der KAIT vergleichbar sind.

Der Veröffentlichung der Umsetzungshinweise zu DORA ging ein intensiver Dialog zwischen BaFin, Bundesbank und Industrie in eigens dafür eingerichteten Arbeitsgruppen voraus. Der BVI hat sich dabei an zwei Arbeitsgruppen beteiligt, die den Bereich Auslagerung sowie Informationsrisiko- und Informationssicherheitsmanagement zum Schwerpunkt hatten. Die Aufsichtsmitteilung fasst daher die Ergebnisse der Arbeitsgruppen in einem Papier zusammen. Wichtige Erkenntnis: Viele Anforderungen aus DORA decken sich mit der bisherigen BaFin-Praxis. Die BaFin beabsichtigt daher, ihre BaFin-Rundschreiben BAIT, VAIT, ZAIT und KAIT aufzuheben. Dennoch zeigen die Umsetzungshinweise auch die Unterschiede zwischen DORA und den bisherigen BaFin-Anforderungen und den daraus resultierenden Handlungsbedarf auf. Zudem enthält die Aufsichtsmitteilung eine Übersicht der Mindestvertragsinhalte, die die der DORA-Verordnung unterliegenden Finanzunternehmen mit IKT-Drittdienstleistern vereinbaren müssen.

Die BaFin weist außerdem darauf hin, dass das in der DORA enthaltene IKT-Drittparteienrisikomanagement die bestehenden sektoralen Regelungen zu Auslagerungen ergänzt. Die sektorspezifischen Auslagerungsanforderungen sind somit weiterhin zu beachten. Dabei beleuchtet die BaFin in den Umsetzungshinweisen lediglich die Anforderungen aus dem Banken- und Versicherungsbereich. Die konkreten Abgrenzungsfragen für Auslagerungen nach dem KAGB werden wir noch separat mit der Investmentaufsicht erörtern. Unabhängig davon enthält die Aufsichtsmitteilung die Aussage, dass eine Harmonisierung der Anforderungen an das IKT-Drittparteienrisikomanagement unter DORA und der sektoralen Anforderungen an Auslagerungen aufsichtsseitig angestrebt werde.

Weitere Informationen können Sie der BaFin-Internetseite sowie dem Interview von Frau Ira Kosche-Steinbrecher (Leiterin des BaFin-Referates GIT 3) im BaFinJournal entnehmen.

Unabhängig davon haben die ESAs inzwischen FAQs zu ihrer aktuellen Trockenübung über die Meldung der Informationsregister veröffentlicht. Zudem hat der Gemeinsame Ausschuss der ESA inzwischen sein Register mit FAQs zu einzelnen EU-Regelwerken auch um Fragen und Antworten zu DORA ergänzt.