DORA: BaFin hebt aufsichtsrechtliche Anforderungen an die IT auf

Die BaFin will mit Inkrafttreten der DORA-Verordnung am 17. Januar 2025 Doppelregulierung vermeiden und setzt deshalb ihre „Kapitalverwaltungsaufsichtlichen Anforderungen an die IT (KAIT)“ mit Ablauf des 16. Januar 2025 außer Kraft. Weitere Einzelheiten enthält das Informationsschreiben der BaFin an die Verbände.

Zeitgleich wird die BaFin auch die IT-Anforderungen an Versicherer (VAIT), Zahlungsdienstleister (ZAIT) und Banken (BAIT) aufheben. Für die BAIT gilt dies zunächst nur für Finanzunternehmen, die direkt unter den Anwendungsbereich der DORA-Verordnung fallen (Kreditinstitute und Wertpapierinstitute). Förderbanken sind nicht direkt von der DORA-Verordnung erfasst, müssen diese aber aufgrund nationaler Vorgaben des Finanzmarktdigitalisierungsgesetzes (FinmadiG) ab dem 1. Januar 2027 ebenfalls anwenden. Bis zum 31. Dezember 2026 gilt für sie die BAIT mit Ausnahme von Kapitel 11 übergangsweise weiter.

Das FinmadiG wurde am 27. Dezember 2024 im Bundesgesetzblatt veröffentlicht (BGBl. I 2024, Nr. 438, S. 1 – 78) und ist in Bezug auf die DORA-Umsetzung bereits am 30. Dezember 2024 in Kraft getreten. Es enthält auch die von uns erreichten Übergangsvorschriften für die Abschlussprüfung über die Einhaltung der DORA-Pflichten. Demnach müssen die Abschlussprüfer diese erst für das nach dem 31. Dezember 2024 beginnende Geschäftsjahr prüfen.

Daneben haben die europäischen Behörden (ESAs) ihren Frage- und Antwortkatalog um folgende Punkte zum DORA-Rahmenwerk erweitert:

• Fragen zu Mikrofinanzunternehmen und zum vereinfachten IKT-Risikomanagementrahmen 
• IKT-bezogene Vorfälle (Management / Klassifizierung / Berichterstattung) – Betroffene kritische Dienste
• KT-bezogene Vorfälle (Management / Klassifizierung / Berichterstattung) – Doppelte Berichterstattung über IKT-Vorfälle
• Rahmen für die Beaufsichtigung von CTPPs - Befreiung für konzerninterne IKT-Dienstleister aus Nicht-EU-Ländern