DORA-Dokumentationsanforderungen: Überblick und Hilfestellungen von der BaFin

6. Januar 2025
Dokumentation

Die Dokumentationsanforderungen des Digital Operational Resilience Act (DORA) stellen Unternehmen im Finanzsektor vor neue Herausforderungen. Ab dem 17. Januar 2025 müssen diese Anforderungen erfüllt werden, um die digitale Resilienz gegen Cyberrisiken zu stärken. Die BaFin hat am 17. Dezember 2024 eine strukturierte Übersicht veröffentlicht, die Unternehmen Orientierung bietet. Dieser Artikel fasst die wichtigsten Inhalte zusammen und gibt einen Einblick in die Hintergründe.

Was ist DORA und warum sind Dokumentationsanforderungen relevant?

DORA ist eine EU-Verordnung, die darauf abzielt, die Resilienz des Finanzmarkts gegen Cyberrisiken und IKT-Ausfälle zu stärken. Dokumentation spielt dabei eine zentrale Rolle, da sie die Grundlage für die Nachvollziehbarkeit und Prüfbarkeit von Prozessen bildet. Die Anforderungen sind in der Verordnung selbst sowie in den Technischen Regulierungs- und Durchführungsstandards (RTS und ITS) festgehalten.

Zu den zentralen Themen der Dokumentationspflichten gehören:

  • IKT-Geschäftsfortführungsmanagement
  • Notfallmanagement
  • Informationsregister
  • Sicherheitsrichtlinien und Leitlinien

Die BaFin-Übersicht: Eine Orientierungshilfe

Die von der BaFin veröffentlichte Übersicht dient als praktische Orientierungshilfe für Finanzunternehmen. Sie fasst die vielfältigen Dokumentationsanforderungen strukturiert zusammen und erleichtert die Arbeit mit den komplexen Rechtstexten. Die Übersicht ist nicht verpflichtend und enthält keine verbindliche Rechtsauslegung, sondern bietet eine klare Darstellung der Anforderungen.

Aufbau der Übersicht

  1. Strukturierte Darstellung:
    Die BaFin hat die Anforderungen aus DORA und den RTS/ITS den relevanten Themenbereichen zugeordnet. Dadurch lassen sich Zusammenhänge leichter erkennen.
  2. Visuelle Hilfsmittel:
    Farbige Kästen in der Übersicht verdeutlichen, wie Dokumente miteinander verknüpft sind. Beispielsweise wird die Verbindung zwischen der IKT-Geschäftsfortführungsleitlinie und der allgemeinen Geschäftsfortführungsleitlinie hervorgehoben.
  3. Verhältnismäßigkeit:
    Die Anforderungen können gemäß Artikel 4 DORA an die Größe und das Risikoprofil des Unternehmens angepasst werden.

Hintergrund zur Erstellung der Übersicht

Die Übersicht wurde von der BaFin-IT-Aufsicht entwickelt, um die vielfältigen und verstreuten Anforderungen aus der Verordnung und den Standards in einer kompakten Form darzustellen.

Warum diese Übersicht?

  • Erleichterung der Arbeit:
    Die Übersicht erleichtert sowohl Finanzunternehmen als auch der BaFin selbst den Umgang mit den komplexen Rechtstexten.
  • Zusammenführung von Anforderungen:
    Sie zeigt, wie spezifische Dokumente, z. B. die IKT-Geschäftsfortführungsleitlinie, in übergeordnete Themen eingebettet sind.
  • Mehrwert für Unternehmen:
    Die strukturierte Darstellung unterstützt Unternehmen dabei, ihre internen Prozesse besser zu organisieren.

Änderungen und Neuerungen

IKT-Geschäftsfortführungsmanagement

Ein Beispiel für Neuerungen ist die IKT-Geschäftsfortführungsleitlinie, die das bisherige (IT-)Notfallmanagement – beschrieben in einem (IT-)Notfallkonzept – integriert. Sie ist ein Bestandteil der allgemeinen Geschäftsfortführungsleitlinie und fokussiert sich auf IKT-Aspekte.

Abgleich mit bestehenden Vorgaben

Viele der in DORA enthaltenen Anforderungen sind nicht neu. Die BaFin hat bereits in früheren Rundschreiben IT-Sicherheitsstandards definiert. Diese werden jedoch durch DORA ersetzt, um Doppelregulierungen zu vermeiden.

Was Unternehmen beachten sollten

  1. Erstellung der Dokumentation:
    Die Unternehmen müssen die geforderten Dokumente nicht bei der BaFin einreichen – mit Ausnahme des Informationsregisters. Wichtig ist jedoch, dass die Dokumentation vollständig und nachvollziehbar ist.
  2. Praxisnahe Umsetzung:
    Es reicht nicht aus, die Dokumentation formal zu erstellen. Unternehmen müssen die Vorgaben auch in der Praxis umsetzen.
  3. Nutzung der Übersicht als Hilfsmittel:
    Die BaFin-Übersicht bietet Orientierung, ersetzt jedoch keine fundierte Auseinandersetzung mit den DORA-Vorgaben.

Fazit: Gut vorbereitet mit der BaFin-Orientierungshilfe

Die Übersicht der BaFin zu den DORA-Dokumentationsanforderungen ist ein wertvolles Werkzeug, um die Anforderungen zu verstehen und umzusetzen. Sie bietet Finanzunternehmen eine klare Struktur und erleichtert die Navigation durch die komplexen Regelwerke sowie die Vorbereitung auf die Anwendung ab Januar 2025. Unternehmen sollten die verbleibende Zeit nutzen, um ihre Prozesse anzupassen und die Dokumentation entsprechend zu gestalten.

Für weitere Informationen und den Download der Übersicht steht die Website der BaFin zur Verfügung.

Veröffentlicht in Allgemein, WirtschaftsprüfungVerschlagwortet mit , ,

Verwandte Beiträge