Hilfe zur Suche
Ihr Warenkorb ist leer
Sie sind Gast
Digitale operationale Resilienz im Finanzsektor  
15.04.2025

BaFin aktualisiert Hinweise zum Informationsregister und den Anzeigepflichten in Bezug auf DORA

ESV-Redaktion Recht
DORA soll die digitale operationale Widerstandsfähigkeit von Finanzunternehmen stärken (Foto: Chanwit / stock.adobe.com)
Der Digital Operational Resilience Act – kurz DORA  – soll innerhalb der EU seit dem 17.01.2025 Unternehmen im Finanzsektor in ihrer digitalen Widerstandsfähigkeit stärken. In Deutschland fallen auch kleinere Institute unter das neue Regelwerk und die bisherigen Anforderungen an die IT (BAIT) werden schrittweise durch DORA ersetzt.



Grundlage für DORA ist in Deutschland das Gesetz über die Digitalisierung des Finanzmarktes (Finanzmarktdigitalisierungsgesetz – FinmadiG), das am 27.12.2024 im Bundesgesetzblatt veröffentlicht wurde und zwischenzeitlich in Kraft getreten ist.
 
Das FinmadiG soll unter anderem der Durchführung der Verordnung (EU) 2022/2554 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über die digitale operationale Resilienz im Finanzsektor und zur Änderung der Verordnungen (EG) Nr. 1060/2009, (EU) Nr. 648/2012, (EU) Nr. 600/2014, (EU) Nr. 909/2014 und (EU) Nr. 2016/1011 dienen.
 

Anwendungsbereich

 
DORA gilt für nahezu alle Akteure im Finanzsektor. Hierunter fallen Banken, Wertpapierfirmen, Zahlungs- und E-Geld-Dienstleister, Versicherungen und Krypto-Dienstleister – aber auch sogenannte ICT-Drittdienstleister, wie etwa Cloudanbieter oder Softwareunternehmen.
 

Die Kernanforderungen

 
  • IT-Risikomanagement: DORA verpflichtet die betroffenen Unternehmen dazu, robuste Frameworks zur Risikosteuerung zu entwickeln. Dies betrifft zunächst die Identifikation und das Aufspüren von Risiken. Zudem müssen Unternehmen Schutzmaßnahmen, sowie Maßnahmen zur Reaktion und Wiederherstellung ergreifen können. Hierzu gehören auch regelmäßige Tests und die Aufstellung von Notfallplänen.
  • Meldung von schweren IT-Vorfällen: Darüber hinaus sind schwere IT-Vorfälle zu melden – und zwar oft innerhalb von 24 Stunden. Die zentralen EU-Behörden sammeln diese Infos zur besseren Koordination.
  • Testverfahren zur digitalen Resilienz: Unternehmen müssen ihre digitalen Systeme regelmäßig testen. Das Spektrum reicht von Penetrationstests bis hin zu Simulationen von realen Angriffen. Kritische Unternehmen müssen sog. „Threat-Led Penetration Tests" (TLPT) durchführen.  

Der kostenlose Newsletter Recht – Wir freuen uns auf Ihre Anmeldung! 
Redaktionelle Meldungen zu neuen Entscheidungen und Rechtsentwicklungen, Interviews und Literaturtipps

Drittanbieter-Risiken

 
Auch Verträge mit IT-Dienstleistern – wie etwa Cloud- oder Softwareanbieter – sind klar zu regeln.  Ebenso sollen auch große Drittanbieter direkt von EU-Behörden beaufsichtigt werden können. 


Das DORA-Informationsregister


Ein zentraler Bestandteil für die operationelle Resilienz im Finanzsektor ist die Erstellung eines DORA-Informationsregisters. Ein solches Register müssen Finanzunternehmen nach Artikel 28 Absatz 3 Unterabsatz 1 erstellen, um die Risiken ihrer Abhängigkeit von IKT-Drittdienstleistern zu erkennen und zu minimieren. Unter IKT-Drittdienstleistern sind Anbieter im Bereich der Informationstechnik und Telekommunikation zu verstehen.
 
Finanzunternehmen, die unter den Anwendungsbereich DORA fallen, müssen ihr Informationsregister der BaFin bis zum 28.04.2025 einreichen. Seit dem 14.04.2025 kann die Einreichung über das Fachverfahren „Digital Operationale Resilience Act (DORA)“ in der Melde- und Veröffentlichungsplattform (MVP) der BaFin erfolgen.
 
Näheres zum Informationsregister und den Anzeigepflichten finden Sie auf den entsprechenden Seiten der BaFin, Stand 11.04.2025.
 

DORA-Informationsregister und die Europäischen Aufsichtsbehörden


Weil auch die Europäischen Aufsichtsbehörden (ESAs) die Register für die jährliche Einstufung kritischer IKT-Drittdienstleister benötigen, wird die BaFin diese Register dorthin übermitteln. Dies sieht die Leitlinie 5 der Gemeinsamen Leitlinie über die Zusammenarbeit bei der Überwachung und den Informationsaustausch zwischen den Europäischen Aufsichtsbehörden vor.
 
Für 2025 haben die ESAs laut Mitteilung der BaFin bereits in ihrer sogenannten „Decision of ESAs on reporting of information for CTPP designation“ klargestellt, dass sie der Übermittlung der Register durch die jeweils zuständigen Behörden bis zum 30.04.2025 entgegensehen. Die Informationsregister sollen demnach alle  Vertragsinformationen mit Stichtag 31.03.2025 beinhalten.
 
Wie die BaFin weiter mitteilt, können sich die Bearbeitungen und Rückmeldung allerdings vor allem in den ersten Tagen verzögern.
 
Quelle: Unter anderem Mitteilung der BaFin in ihrer Online-Ausgabe, Stand 11.04.2025 (siehe auch oben)
 
 

Handbuch MiCAR

Herausgegeben von: Dr. Johannes Meier

Bearbeitet von: Fabian Aubrunner, Benedikt Bartylla, Dr. Florian Bauer


Kryptoassets: Innovative Märkte, neue Regeln: Mit der Markets in crypto assets regulation (MiCAR) reguliert der europäische Gesetzgeber als eine der ersten Legislaturen künftig umfassend Dienstleistungen mit Kryptowerten bzw. Kryptotoken.

Eine system- und themenorientierte Gesamtsicht auf die wegweisende neue Verordnung bietet Ihnen jetzt dieses Handbuch, das neben grundlegenden Zielen und Begriffsbestimmungen die wichtigsten Anwendungsfragen der MiCAR leicht verständlich zusammenstellt.

  • Zentrale Regelungsbereiche wie Tokenarten (vermögenswertereferenzierte, E-Geld- und sog. andere Token), Haftung und Verbraucherschutz sowie spezifische Krypto-Dienstleistungen
  • Aufsichtsrechtliche Anforderungen an Krypto-Dienstleister und behördliche Sanktionsbefugnisse
  • Auswirkungen der Kryptoregulierung in angrenzenden Bereichen wie dem Geldwäsche-, Zwangsvollstreckungs- oder Insolvenzrecht
  • Grenzüberschreitende Perspektiven inkl. Rechtsvergleichung mit Asien (China, Singapur), Amerika (USA) und Europa (Schweiz, Liechtenstein, Türkei)

Ein rasant wachsendes juristisches Arbeitsfeld ausgewogen ausgeleuchtet: Setzen Sie auf einmalige Einblicke und Einschätzungen aus der bankwirtschaftlichen und aufsichtsbehördlichen Praxis, aus Forschung und Beratung.

  
Verlagsprogramm   Weitere Nachrichten aus dem Bereich Recht
  

(ESV/bp)
 
 
 
 

Die Nutzung für das Text und Data Mining ist ausschließlich dem Erich Schmidt Verlag GmbH & Co. KG vorbehalten. Der Verlag untersagt eine Vervielfältigung gemäß §44b UrhG ausdrücklich.
The use for text and data mining is reserved exclusively for Erich Schmidt Verlag GmbH & Co. KG. The publisher expressly prohibits reproduction in accordance with Section 44b of the Copy Right Act.

© 2025 Erich Schmidt Verlag GmbH & Co. KG, Genthiner Straße 30 G, 10785 Berlin
Telefon: +49 30 25 00 85-0, Telefax: +49 30 25 00 85-305 E- Mail: ESV@ESVmedien.de
Erich Schmidt Verlag        Investment