Hilfe zur Suche
Ihr Warenkorb ist leer
Sie sind Gast
Digitale operationale Resilienz im Finanzsektor  
01.10.2025

BaFin veröffentlicht Aufsichtsmitteilung zu DORA

ESV-Redaktion Recht
DORA soll als EU-weite Regulierung die digitale Resilienz von Unternehmen im Finanzbereich stärken. (Bild: dmutrojarmolinua / stock.adobe.com).
Die BaFin hat sich zur Aufgabe gemacht, Unternehmen, die die DORA-Vorgaben zum vereinfachten IKT-Risikomanagement nach Art. 16 DORA und zum Umgang mit IKT-Drittparteienrisiken nach Art. 28–30 DORA zu erfüllen haben, mithilfe einer neuen Aufsichtsmitteilung zu unterstützen.  



Zur Erinnerung: DORA ist eine EU-weite finanzsektorübergreifende Regulierung. Diese soll die digitale Widerstandsfähigkeit von Unternehmen im Finanzbereich stärken. Konkret betrifft DORA die Cybersicherheit, das Risikomanagement bzw. die IKT-Risiken (siehe auch unten: Mehr zum Thema).

Die Adressaten der neuen Aufsichtsmitteilung

Die BaFin wendet sich mit ihrer neuen Aufsichtsmitteilung – Stand August 2025 – an zwei Gruppen von Unternehmen:
  • Unternehmen außerhalb der CRR: Zum ersten Adressatenkreis gehören laut BaFin aufsichtspflichtige Unternehmen, die nicht zum Anwendungsbereich der CRR (Kapitaladäquanzverordnung oder Capital Requirements Regulation) gehören. Diese Institute müssen ab Januar 2027 die Vorgaben zum vereinfachten IKT-Risikomanagementrahmen und IKT‑Drittparteienrisikomanagement anwenden. Die neuen Vorgaben ersetzen die bankaufsichtlichen Anforderungen an die IT (BAIT).

  • Kleinere regulierte Finanzmarktinstitutionen: Zum zweiten Adressatenkreis der Aufsichtsmitteilung zählen kleine Einrichtungen der betrieblichen Altersvorsorge (EbAV), kleine Wertpapierinstitute und Versicherungsholdings. Diese Unternehmen müssen Artikel 16 DORA bereits seit Anfang 2025 anwenden. Für ihre IKT-Risiken gelten die vereinfachten DORA-Anforderungen
Das vereinfachte IKT-Risikomanagement bzw. der verinfachte Umgang mit Umgang mit IKT-Drittparteienrisiken soll etwa 1.100 Unternehmen betreffen, so BaFin-Expertin Silke Brüggemann im Interview vom 21.08.2025.

Der kostenlose Newsletter Recht – Wir freuen uns auf Ihre Anmeldung! 
Redaktionelle Meldungen zu neuen Entscheidungen und Rechtsentwicklungen, Interviews und Literaturtipps

Vergleich soll Transparenz schaffen

Inhaltlich stellt die BaFin die Anforderungen aus Art. 16 und 28–30 DORA den bisherigen IT-Anforderungen für Banken (BAIT) und Versicherer (VAIT) gegenüber.

Die wesentlichen Vereinfachungen

Beim IKT-Risikomanagement: In Bezug auf das vereinfachte IKT-Risikomanagement sieht DORA deutliche Erleichterungen vor. So wird die IT-Aufsicht dadurch vereinfacht, dass die bislang nationalen und sektorspezifisch unterschiedlichen Vorgaben (wie etwa BAIT, VAIT) in einem einheitlichen, europaweit geltenden Regelwerk gebündelt werden. Zudem sollen klare, sektorübergreifende Standards für Governance, Auslagerungen und kritische IKT-Dienstleister entstehen.

Beim IKT-Drittparteienrisikomanagement:  Hier gibt es weniger, aber dennoch spürbare Vereinfachungen, so die BaFin. Diese sind vor allem darin zusehen, dass die Anforderungen einheitlicher sind und teilweise zentralisiert werden – und zwar dadurch, dass
  • keine unterschiedlichen nationalen Maßstäbe mehr gelten,
  • es standardisierte Vertragsinhalte,
  • sowie eine zentrale EU-Aufsicht über kritische Anbieter gibt
  • und ein einheitliches Regelwerk für Banken, Versicherungen und andere Finanzunternehmen vorgesehen ist.
Die vertraglichen Mindestbestandteile zeigt die BaFin in einer gesonderten Tabelle auf.

Dokumentation

Zusätzlich hat die BaFin eine Übersicht dazu erstellt, welche Dokumentationspflichten nach Art. 16 DORA gelten.

Sachlicher Geltungsbereich der Aufsichtsmitteilung

Die Hinweise der BaFin betreffen nur die Unterschiede zur BAIT und VAIT.

Für Unternehmen, die die Anforderungen für Zahlungsdienste (ZAIT) oder für Kapitalverwaltungsgesellschaften (KAIT) zu erfüllen haben, gelten die Hinweise in der Aufsichtsmitteilung nicht, denn bei den eben genannten Unternehmen ist  Art. 16 DORA nicht anwendbar.

Quelle: Mitteilung der BaFin vom 21.08.2025 mit der Möglichkeit des Abrufs der Aufsichtsmitteilung und weiterer Anlagen am Ende der Mitteilung unter Zusatzinformationen


 


Das Investmentwesen in Bewegung

Investment

Mitherausgeber: Dr. Caroline Herkströter, Dr. Marie-Theres Rämer
unter Mitarbeit von: Dr. Victoria Adouvi, Dr. Klaus Beckmann


Die EU-Strategie für ein wettbewerbsfähiges digitales Finanzwesen – konkretisiert etwa durch die Umsetzung des Digital Operational Resilience Acts, der neuen Kryptoregulierung (MiCAR) oder der Geldtransfer-VO in nationales Recht – hält das Investmentwesen in Bewegung. Auch steuerlich sind aktuell vielfältige Auswirklungen insb. des JStG 2024 auf das InvStG neu zu beachten. Mit neuem Herausgeberteam hochkarätig verstärkt, hält Sie „Investment“ konsequent auf Kurs.

Den Rechtsrahmen sicher im Blick: Laufende Updates und Erweiterungen unterstützen Sie dabei, Chancen und Risiken der zahlreichen Neuerungen im Investmentwesen zu erkennen, aktuelle und kommende Regelungen rechtssicher umzusetzen.

  • Praxisnahe Kommentierungen zu KAGB, KAVerOV, InvStG, UBGG sowie zur DerivateV
  • Integrierte Kommentierung von EuVECA-VO, EuSEF-VO und ELTIF-VO
  • Kommentierungen zum InvStG (2018)
  • Länderberichte „Investmentvehikel in Luxemburg – handels-, steuer- und investmentrechtliche Grundlagen“ sowie "Österreich: Steuer- und investmentrechtlicher Überblick"
  • Erläuterungen, Auslegungsfragen, Merkblätter der BaFin zum KAGB
  • Schreiben der Finanzverwaltungen zum InvStG
  • weiterführende Materialien zum gesamten Investmentrecht

Als besonderen Mehrwert finden Sie eine englische Arbeitsübersetzung des nationalen InvStG (2018), mit der Sie dieses komfortabel mit dem German Investment Tax Act vergleichen können.
Verlagsprogramm

   Weitere Nachrichten aus dem Bereich Recht
Mehr zum Thema   15.04.2025
BaFin aktualisiert Hinweise zum Informationsregister und den Anzeigepflichten in Bezug auf DORA
  Der Digital Operational Resilience Act – kurz DORA  – soll innerhalb der EU seit dem 17.01.2025 Unternehmen im Finanzsektor in ihrer digitalen Widerstandsfähigkeit stärken. In Deutschland fallen auch kleinere Institute unter das neue Regelwerk und die bisherigen Anforderungen an die IT (BAIT) werden schrittweise durch DORA ersetzt.  mehr …

(ESV/bp)

Die Nutzung für das Text und Data Mining ist ausschließlich dem Erich Schmidt Verlag GmbH & Co. KG vorbehalten. Der Verlag untersagt eine Vervielfältigung gemäß §44b UrhG ausdrücklich.
The use for text and data mining is reserved exclusively for Erich Schmidt Verlag GmbH & Co. KG. The publisher expressly prohibits reproduction in accordance with Section 44b of the Copy Right Act.

© 2025 Erich Schmidt Verlag GmbH & Co. KG, Genthiner Straße 30 G, 10785 Berlin
Telefon: +49 30 25 00 85-0, Telefax: +49 30 25 00 85-305 E- Mail: ESV@ESVmedien.de
Erich Schmidt Verlag        Investment