Logo der activeMind AG
  • Geschätzte Lesezeit: 15 Minuten

Vereinfachter IKT-Risikomanagementrahmen nach DORA

Inhalt

Die meisten Unternehmen der Finanzbranche in der EU müssen bereits die Anforderungen des Digital Operational Resiliency Act (DORA) erfüllen. Mit dem Finanzmarktdigitalisierungsgesetz (FinmadiG) verpflichtet der deutsche Gesetzgeber auch verschiedene Unternehmen, die nicht dem Anwendungsbereich von DORA unterfallen, die Anforderungen der Verordnung in Teilen zu erfüllen.

Für diese Unternehmen gilt insbesondere ein vereinfachter IKT-Risikomanagementrahmen.

DORA-Anforderungen an das Risikomanagement

DORA verlangt von Finanzunternehmen ein umfassendes Managementsystem für Risiken der Informations- und Kommunikationstechnologie (IKT). Dazu gehören insbesondere auch IKT-Risiken in Verbindung mit Dienstleistern.

Alle Anforderungen müssen – und dürfen – im Einklang mit dem Grundsatz der Verhältnismäßigkeit angewendet werden. Die Umsetzung muss sich daher an der Größe und dem Gesamtrisikoprofil des Finanzunternehmens sowie an der Art, dem Umfang und der Komplexität seiner Dienstleistungen, Tätigkeiten und Geschäfte orientieren.

Die Verordnung unterteilt die Anforderungen für Finanzunternehmen dabei in vier Kapitel:

  • Zunächst wird das IKT-Risikomanagement hinsichtlich der eigenen Geschäftsprozesse beschrieben (Art. 5-16 DORA).
  • Daran anschließend wird der Umgang mit IKT-bezogenen Vorfällen (Art. 17-23 DORA) hinsichtlich Behandlung, Klassifizierung und Meldung an die Aufsichtsbehörde definiert.
  • Kapitel IV der DORA-Verordnung beschäftigt sich sodann mit dem Programm zum Testen der digitalen operationalen Resilienz (Art. 24-27 DORA). Für bestimmte Unternehmen, die durch die Aufsichtsbehörde bzw. die Bundesanstalt für Finanzaufsicht (BaFin) ermittelt werden, sind erweiterte Tests durchzuführen.
  • Abschließend wird umfassend auf das Management von IKT-Risiken für Drittparteien (Art. 28-31 DORA) eingegangen. Neben Pflichten für die Bewertung von Dienstleistern und der Berichterstattung gegenüber der Aufsichtsbehörde, gibt es umfassende Vorgaben hinsichtlich Mindestvertragsinhalten mit Dienstleistern.

Achtung: Der Umfang der Vorgaben erschöpft sich nicht in den Regelungen von DORA selbst, sondern wird in ca. einem Dutzend delegierter Verordnungen und Durchführungsverordnungen weiter konkretisiert.

Modifizierte Anforderungen für Unternehmen in Deutschland nach dem FinmadiG

Mit dem FinmadiG geändert wurden unter anderem das Kreditwesengesetz (KWG) und das Versicherungsaufsichtsgesetz (VAG).

Nach § 1a Abs. 2a KWG i.V.m. § 1 KWG gelten für (Kredit- und Finanz-)Institute, die nicht bereits DORA unterfallen, die Anforderungen von DORA mit folgenden Änderungen:

  1. Anstatt der Regelungen in Art. 5-15 DORA zum IKT-Risikomanagement, müssen die Institute nur den vereinfachten Risikomanagementrahmen nach Art. 16 DORA umsetzen.
  2. Hinsichtlich der Tests der digitalen operationalen Resilienz müssen keine erweiterten Tests durchgeführt werden.
  3. Das Management des IKT-Drittparteienrisikos entfällt für Kleinstunternehmen. Das sind Unternehmen mit weniger als 10 Beschäftigten und einem Jahresumsatz von höchstens 2 Mio. Euro.

Die Anforderungen des FinmadiG müssen Unternehmen in Deutschland ab dem 1. Januar 2027 erfüllen (§ 65a Abs. 3 KWG). Es gilt jedoch eine bedeutende Ausnahme: Die Anforderungen hinsichtlich des Meldewesens für IKT-bezogene Vorfälle müssen bereits seit dem 17. Januar 2025 erfüllt werden – derselbe Stichtag wie für die reguläre Umsetzung der DORA-Verordnung.

Auch nach dem geänderten § 293 VAG sind die davon betroffenen Versicherungsholdings nur zur Umsetzung des vereinfachten Risikomanagementrahmens verpflichtet. Eine von der DORA abweichende Frist für die Umsetzung gibt es nicht.

Anforderungen des vereinfachten IKT-Risikomanagementrahmens

Der vereinfachte IKT-Risikomanagementrahmen ist eine Alternative zu den Art. 5-15 DORA. Auf andere Bereiche von DORA hat er nur begrenzte Auswirkungen.

Originär, also nach der Regelung in Art. 16 DORA selbst, ist der Rückgriff auf diese Alternative nur wenigen Unternehmen möglich. Dazu gehören unter anderem kleine und nicht verflochtene Wertpapierfirmen, bestimmte ausgenommene nationale Institute sowie kleinere E-Geld-Institute und kleine Einrichtungen der betrieblichen Altersvorsorge.

Neben Art. 16 DORA sind die Anforderungen des vereinfachten IKT-Risikomanagementrahmens in den Art. 28 bis 41 der delegierten Verordnung (EU) 2024/1774 (RTS RMF) weiter konkretisiert. Die Anforderungen bieten zum einen Erleichterungen im Vergleich zum regulären IKT-Risikomanagement, aber auch hinsichtlich noch geltender aufsichtsrechtlicher Vorgaben der BaFin aus BAIT und MaRisk.

Zusätzlich zu einer deutlichen reduzierten Zahl an erforderlichen Regelungsdokumenten und reduzierten Dokumentationsanforderungen im Allgemeinen, haben Unternehmen mehr Flexibilität in der innerbetrieblichen Organisation, geringere und flexiblere Anforderungen an die Informationssicherheit und längere Zeiträume zwischen Überprüfungen. Der Fokus des vereinfachten IKT-Risikomanagementrahmens liegt deutlich auf der Umsetzung der operativen Prozesse und Tools gegenüber der Dokumentation.

Im Gegensatz zum regulären Risikomanagementrahmen muss keine Strategie für die digitale operationale Resilienz mehr verfasst werden. Stattdessen soll ein interner Governance- und Kontrollrahmen dafür sorgen, dass die Anforderungen umgesetzt werden. Dafür müssen im Bereich der Governance und Organisation nach wie vor Aufgaben und Zuständigkeiten sowie klare Ziele für die Informationssicherheit und IKT-Anforderungen festgelegt werden. Dazu gehören notwendige Verfahren, Protokolle und Tools. Diese müssen jedoch nicht mehr im Einzelnen von der Geschäftsführung genehmigt werden. Die Geschäftsführung genehmigt nur noch folgendes:

  • Klassifizierung der IKT-Assets
  • Liste der Hauptrisiken
  • Business-Impact Analyse
  • Informationssicherheitsleitlinie und die Umsetzung darauf aufbauender Maßnahmen
  • Geschäftsfortführungspläne
  • Modalitäten des Meldewesens
  • Bericht über die Überprüfung des vereinfachten Risikomanagementrahmens
  • Zuweisung nötiger Budgetmittel

Diese Erleichterung führt jedoch nicht zu einer Veränderung der Verantwortung der Geschäftsführung. Sie ist nach wie vor Letzt- und Gesamtverantwortlich für das Management der IKT-Sicherheit und der digitalen operationalen Resilienz.

Interessenskonflikte in der innerbetrieblichen Organisation sind nach wie vor zu vermeiden. Allerdings ist keine strikte Trennung nach dem Model der drei Verteidigungslinien mehr erforderlich. Die Kontrollfunktionen des IKT-Risikomanagements und die Revision müssen jedoch nach wie vor unabhängig voneinander sein. Es gibt zudem keine fest vorgeschriebene IKT-Kontrollfunktion (Art. 6 Abs. 4 DORA).

Das Risikomanagement als Grundlage der digitalen operationalen Resilienz wird im Rahmen von Art. 16 DORA auf der Klassifizierung der IKT-Assets und insbesondere der kritischen und wichtigen Funktionen aufgebaut. Dabei sind insbesondere die wechselseitigen Abhängigkeiten von IKT-Drittdienstleistern zu ermitteln. Die gesamte Bewertung findet unter Berücksichtigung des Risikoprofils des Unternehmens statt. Die im Bereich der Informationssicherheit ergriffenen Maßnahmen können zur Minderung des ermittelten Risikos beitragen.

Prüfungen des vereinfachten Risikomanagementrahmens müssen nach schwerwiegenden IKT-bezogenen Vorfällen sowie regelmäßig durchgeführt werden. Eine jährliche Prüfpflicht, wie es Art. 6 Abs. 5 DORA für den regulären Risikomanagementrahmen verlangt, gibt es nicht. Die Prüfung muss jedoch ebenfalls dokumentiert werden und die Aufsichtsbehörde kann die Dokumentation jederzeit zur Vorlage anfragen. Im Vergleich sind die Anforderungen an den Bericht deutlich geringer. Schlussfolgerungen der Prüfung sind schließlich in den Prozess der kontinuierlichen Verbesserung des IKT-Risikomanagement miteinzubeziehen.

Um Bedrohungen für die IKT-Sicherheit wahrzunehmen und DOR-Risiken rechtzeitig zu identifizieren müssen sowohl Mitarbeiter als auch das Leitungsorgan ausreichend geschult werden. Der vereinfachte Risikomanagementrahmen verlangt zwar keine speziellen Schulungen für die Mitglieder des Leitungsorgans (wie sonst Art. 5 Abs. 4 DORA). Das Leitungsorgan ist jedoch dafür verantwortlich, dass IKT-Risiken im Rahmen des IKT-Risikomanagements ausreichend berücksichtigt werden, und muss in dieser Hinsicht ausreichende Kenntnisse und Fähigkeiten vorhalten.

Der IT-Betrieb muss durch solide, resiliente und aktuelle IKT-Systeme, sowie Maßnahmen zum Kapazitätsmanagement gesichert werden. Es hat dafür ebenfalls eine fortlaufende Überwachung der IKT-Systeme zu erfolgen. Nicht verlangt ist, die Systeme stets auf dem neuesten Stand zu halten (sonst: Art. 7 DORA).

Weiterhin müssen Daten entsprechend ihrer Kritikalität in allen Zuständen geschützt werden. Das gilt nicht nur für die Übermittlung („in transfer“) und Speicherung („in rest“), sondern auch die Verwendung selbst („in use“), siehe Art. 35 lit. a RTS RMF. Das wird für viele Unternehmen einen erheblichen Umsetzungsaufwand bedeuten.

Zu berücksichtigen sind darüber hinaus insbesondere IKT-Altsysteme, für die es keine Patches oder Updates mehr gibt. Sie müssen zwar nicht jährlich überprüft werden, aber sowohl in Risikobewertungen als auch die kontinuierliche Verbesserung der IKT-Sicherheit miteinbezogen werden.

Für den vereinfachten Risikomanagementrahmen muss keine übergreifende Geschäftsfortführungsleitlinie (Business Continuity Policy) erstellt werden. Es sind jedoch Geschäftsfortführungspläne für die einzelnen IKT-Assets zu erstellen sowie Gegen- und Wiedergewinnungsmaßnahmen. Diese Pläne müssen ebenfalls eine Zielfestlegung für die Wiederinbetriebnahmen der einzelnen Assets enthalten.

Eine übergeordnete Zielfestlegung im Rahmen des Notfallmanagements ist nicht erforderlich. Die Kommunikation im Krisenfall sowie Eskalationspläne sind festzulegen. Eine Kommunikationsstrategie, die ein Verfahren zur Offenlegung bestimmter IKT-bezogener Vorfälle an die Öffentlichkeit oder Dritte Unternehmen beschreibt, ist im Gegensatz zu Art. 14 DORA jedoch nicht erforderlich.

Die Pläne sind jährlich im Hinblick auf Sicherungs- und Wiedergewinnungsverfahren sowie bei jeder größeren Veränderung zu testen. Zu testen sind verschiedene Szenarien, insbesondere das Szenario eines Cyberangriffs. Die Geschäftsfortführungspläne bedürfen außerdem als eines der wenigen Dokumente im vereinfachten Risikomanagementrahmen der Genehmigung durch die Geschäftsführung. Sie müssen gut dokumentiert werden und im Not- oder Krisenfall leicht zugänglich sein.

Für das Projekt- und Änderungsmanagement müssen alle Projektphasen abgebildet und klare Zuständigkeiten definiert werden. Eine Risikobetrachtung in Bezug auf Abhängigkeiten von IT-Projekten untereinander wird nicht mehr erforderlich sein. Nicht mehr explizit gefordert im Vergleich zur BAIT sind außerdem Projektdokumentationen, Lessons Learned, Lastenhefte oder Fachkonzepte.

Der Fokus liegt auf im vereinfachten IKT-Risikomanagementrahmen auf der konkreten Umsetzung der Anforderungen sowie den Tests und der Implementierung. Werden IKT-Systeme neu beschafft oder entwickelt, müssen die Anforderungen an die Informationssicherheit zuvor klar spezifiziert und genehmigt werden. Es muss außerdem sichergestellt werden, dass IKT-Systeme vor ihrer erstmaligen Verwendung und vor Änderungen getestet und genehmigt werden.

Auswirkungen auf andere DORA-Regelungsbereiche

Die Unterschiede des vereinfachten Risikomanagements zum regulären IKT-Risikomanagement wirken sich teilweise auf andere Bereiche von DORA aus, obwohl Art. 16 DORA nicht anstatt der jeweiligen Vorschriften der Kapitel III bis V DORA angewendet wird.

  • Das liegt maßgeblich am Wegfall der Strategie für die digitale operationale Sicherheit. So müsste als Teil dieser Strategie eine Strategie für das Drittparteienrisikomanagement (Art. 28-30 DORA) erstellt werden, die in der Folge ebenfalls entfällt.
  • Dasselbe gilt für die Leitlinie zur Nutzung von IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen.
  • Es bedarf zudem keiner speziellen Funktion für das Drittparteienmanagement oder eines Auslagerungsbeauftragten.

Nach wie vor erhalten bleiben die umfassenden Anforderungen hinsichtlich der Pflege eines Informationsregisters, der Risikobewertungen, der Erstellung von Ausstiegsstrategien und der Mindestvertragsklauseln in vertraglichen Vereinbarungen mit Dienstleistern.

Tipp: Lesen Sie in diesem Zusammenhang auch unsere grundlegende Vorstellung des Digital Operational Resiliency Acts sowie unseren Vorschlag, wie Sie DORA-Compliance bestmöglich erreichen

Empfehlung für betroffene Unternehmen

Die Umsetzung des vereinfachten IKT-Risikomanagementrahmens ist vor allem für betroffene Unternehmen, die bisher wenig für ihre Cybersecurity getan haben, eine große Herausforderung und bindet erhebliche Ressourcen.

Unternehmen, die bereits die Anforderungen der BAIT erfüllen oder eine ISO-27001-Zertifizierung durchlaufen haben, sind im Vorteil. Sie müssen jedoch trotzdem einige neue Dokumentationsanforderungen erfüllen und bestehende Prozesse anpassen. Insbesondere in den übrigen Bereichen von DORA, wie Drittparteienmanagement, IKT-bezogenen Vorfällen und dem Testen der digitalen operationalen Resilienz, kommen umfassende neue Anforderungen hinzu.

Zwar sind im Vergleich zum regulären IKT-Risikomanagement viele Regelungsdokumente nicht erforderlich. Verfahren und Maßnahmen müssen jedoch bekannt, nachvollziehbar und nicht zuletzt auf andere Mitarbeitende übertragbar sein. Ein Dokument, in dem zumindest übersichtlich die Erfüllung der wichtigsten Anforderungen des vereinfachten Risikomanagementrahmens festgehalten werden, ist daher (anstatt einer ausführlichen Strategie) dringend anzuraten.

Bei vielen anderen Regelungsdokumenten reicht eine Verfahrensbeschreibung anstatt einer ausführlichen Richtlinie aus. Entscheidend ist, dass die implementierten Verfahren und das gesamte Management der IKT-Risiken ein hohes Niveau an digitaler operationaler Resilienz gewährleisten.

Fazit

Der vereinfachte IKT-Risikomanagementrahmen nach Art. 16 DORA bietet den gemäß § 1a Abs. 2a KWG i.V.m. § 1 KWG unter DROA fallenden Unternehmen der Finanzbranche in Deutschland einige konkrete Erleichterungen. Diese beziehen sich jedoch vor allem auf Prozesse, Konzepte und Dokumentationen. Der vereinfachte IKT-Risikomanagementrahmen bedeutet keinesfalls, dass Unternehmen an der konkreten Umsetzung von Maßnahmen zur Cybersicherheit sparen sollten.

Aufgrund der nach wie vor hohen Komplexität der DORA-Anforderungen ist die Einholung von juristischer und technologischer Expertise dringend anzuraten.

DORA-Compliance ist machbar!

Wir optimieren die Informationssicherheit, Risikobehandlung und digitale Resilienz für Finanzinstitute und deren Zulieferer in der EU.
Jetzt informieren!

Weiterlesen

  • Beschäftigtendatenschutz, Datensicherheit, New Work, Technischer Datenschutz

Bring Your Own Device (BYOD) datenschutzkonform umsetzen

Wie können Unternehmen ihren Mitarbeitenden BYOD so ermöglichen, dass Datenschutz, Anwendbarkeit und Effizienz gleichzeitig gewahrt werden?
  • Datensicherheit, KRITIS

Das deutsche NIS2-Umsetzungsgesetz

Was besagt der neue Entwurf vom 25. Juli 2025 für ein Gesetz zur Umsetzung der NIS2-Richtlinie? Welche Organisationen sind betroffen und müssen dann was tun?
  • Datensicherheit, KRITIS

CER und KRITIS, NIS2, DORA – welche Vorschriften gelten für wen?

Welches Unternehmen muss welche Vorgaben zur digitalen und physischen Resilienz erfüllen? Ein Überblick zu EU-Verordnungen und nationaler Gesetzgebung.
  • Datensicherheit, Medizinischer Datenschutz

Bedeutung der BSI C5-Gleichwertigkeitsverordnung für Gesundheitsunternehmen

Bietet die C5-Gleichwertigkeitsverordnung echte Alternativen für Cloud-Anbieter im Gesundheitsbereich?
  • Datensicherheit

Neue Anforderungen für DORA-Informationsregister

Von den Aufsichtsbehörden vorgenommene Anpassungen am Informationsregister zwingen Finanzinstitute, die unter DORA fallen, erneut zum Handeln. Darauf kommt es jetzt an.
  • Datensicherheit

Passkey im Unternehmen einsetzen

Was ist Passkey, welche Vorteile bietet der Standard zur Authentifizierung und worauf sollten Unternehmen bei der Einführung von Passkey achten? Eine kompakte Einführung.
Für Unternehmen der
Finanzbranche

Vereinfachtes IKT-Risikomanagement
bei DORA

Webinar: 21. Okt. 2025 (11-12 Uhr)

Jetzt kostenfrei anmelden!
Anmeldeschluss: 30. Sept. 2025!

Sichern Sie sich das Wissen unserer Experten!​

Abonnieren Sie unseren Newsletter:

Mit Klick auf „Jetzt anmelden“ erklären Sie sich mit dem Bezug unseres Newsletters einverstanden. Wir verwenden Ihre Daten ausschließlich gemäß unserer Datenschutzerklärung.

Newsletter

Sichern Sie sich das Wissen unserer Experten.

Zweimal im Monat alles Wichtige zu Datenschutz, Informationssicherheit und künstlicher Intelligenz.

Mit Klick auf „Jetzt anmelden“ erklären Sie sich mit dem Bezug unseres Newsletters einverstanden. Wir verwenden Ihre Daten ausschließlich gemäß unserer Datenschutzerklärung.