Alle Pflichten in der Übersicht Bafin will bei Dora-Dokumentation helfen

Bafin-Logo auf einem Schild vor dem Verwaltungsgebäude der Bafin in Frankfurt

Verwaltungsgebäude der Bafin in Frankfurt am Main: Die Bafin hat eine Übersicht über alle Dora-Pflichten für Finanzunternehmen erstellt. Foto: Imago Images / Hannelore Förster

Die europäische Dora-Verordnung verlangt Finanzunternehmen umfangreiche Pflichten ab. Diese sind nicht nur im Text der Verordnung selbst enthalten, sondern finden sich auch in den dazugehörigen Technischen Regulierungs- und Durchführungsstandards (RTS und ITS). 

Um alle Pflichten, die auf die Häuser zukommen, gesammelt und übersichtlich dazustellen, hat die Bafin jetzt ein Dokument auf ihrer Internetseite veröffentlicht. „Wir wollten die Anforderungen gerne so darstellen, dass sie möglichst auf einen Blick erfasst werden können – um den Finanzunternehmen, aber auch uns als Aufsicht die Arbeit mit den Rechtstexten zu erleichtern“, sagt Bafin-Mitarbeiterin Sandra Leittersdorf in einem Interview, das die Behörde auf ihrer Internetseite veröffentlicht hat.

Rundschreiben BAIT und VAIT treten außer Kraft 

Nicht alle verlangten Dokumentationsanforderung seien neu, ergänzt Leittersdorfs Kollegin Melanie Land. Die Behörde hatte bereits im Vorfeld der Dora-Verordnung bestimmte Hinweise an die Unternehmen in Rundschreiben erläutert – in den Dokumenten BAIT und VAIT (aufsichtsrechtliche Anforderungen jeweils an Banken und Versicherer).

Diese Rundschreiben werden mit dem Start von Dora nun aufgehoben – um Doppelregulierung zu vermeiden, wie die Bafin versichert. Melanie Land erläutert: „Dora verwendet bei einigen Anforderungen bloß andere Begrifflichkeiten als unsere Rundschreiben, andere Anforderungen wurden nur ergänzt“. Manche Themen kämen jedoch auch neu hinzu.

Statt von „IT-Notfallmanagement“ und „IT-Notfallkonzept“ ist im Dora-Rahmen nun zum Beispiel vom „IKT-Geschäftsfortführungsmanagement“ die Rede. „Das ähnelt dem Business Continuity Management (BCM), das viele Unternehmen kennen dürften, konzentriert sich aber auf IKT-Aspekte“, erklärt Leittersdorf.

Die Dokumente, die in der Übersicht aufgeführt sind, sollen jedoch nicht auch alle bei der Bafin eingereicht werden – mit Ausnahme des Informationsregisters, stellt die Bafin klar.

Dora-Dokumentation: Auf Verhältnismäßigkeit achten 

Melanie Land gibt außerdem als Tipp: Unternehmen sollten beim Erstellen der Dokumente stets die Verhältnismäßigkeit im Auge behalten: „Die Ausgestaltung und vor allem der Umfang der Dokumentation sollten zur Größe und zum Gesamtrisikoprofil des Unternehmens passen.“

Die Bafin-Übersicht sei auch lediglich eine Hilfestellung, betont Land: „Wir hoffen aber, dass sich die Finanzunternehmen damit einen schnellen Überblick über die Dokumentationsanforderungen aus Dora verschaffen können.“

Sonderregeln für Kleinstunternehmen oder solche, die für sogenannte Penetrationstest gelten, die auf konkrete Bedrohungen hin erfolgen, sind in der Übersicht nicht enthalten, stellt die Bafin klar.

Hier geht es zur Bafin-Übersicht zu Dora >>

Fragen und Antworten zur Bafin-Übersicht >>

Hintergrund Dora

Am 17. Januar wird die europäische Dora-Verordnung wirksam. Sie soll dafür sorgen, dass Finanzunternehmen innerhalb der EU besser vor Cybergefahren und möglichem Ausfall digitaler Systeme geschützt sind. 

Wie hat Ihnen der Artikel gefallen?
Danke für Ihre Bewertung
Leser bewerteten diesen Artikel durchschnittlich mit 0 Sternen