BaFin veröffentlicht weitere Hinweise zu DORA – Vereinfachungen für kleinere Finanzunternehmen

23. Oktober 2025
Symbilbild: Spinnennetz mit5 Tautropfen vor grünem Hintergrund - Symbol für vernetzte, aber widerstandsfähige Systeme.

Mit der am 21. August 2025 veröffentlichten Aufsichtsmitteilung unterstützt die BaFin kleinere und nicht komplexe Finanzunternehmen bei der Umsetzung der europäischen Verordnung über die digitale operationale Resilienz im Finanzsektor (DORA). Im Fokus stehen die Anforderungen an den vereinfachten IKT-Risikomanagementrahmen nach Artikel 16 DORA sowie das IKT-Drittparteienrisikomanagement gemäß den Artikeln 28 bis 30 DORA.

Wer ist betroffen?

Adressiert sind insbesondere Institute, die nicht unter die Kapitaladäquanzverordnung (CRR) fallen, also kleinere Kredit- und Finanzinstitute, Versicherungsholdings sowie kleine Einrichtungen der betrieblichen Altersvorsorge (EbAV) und kleine Wertpapierinstitute.
Während Letztere die vereinfachten Anforderungen bereits seit Anfang 2025 anwenden müssen, gilt für die übrigen Institute eine Übergangsfrist bis Ende 2026. Ab 2027 werden die bisherigen Bankaufsichtlichen Anforderungen an die IT (BAIT) durch die DORA-Vorgaben ersetzt (wir berichteten).

Inhalte der neuen Aufsichtsmitteilung

Die BaFin zeigt, wie betroffene Unternehmen die neuen Regelungen praktisch umsetzen können.
Dazu vergleicht sie die bisherigen Rundschreiben BAIT und VAIT mit den Anforderungen aus DORA – und macht deutlich, in welchen Punkten DORA Erleichterungen bietet.
Besonders der vereinfachte IKT-Risikomanagementrahmen sieht deutliche Vereinfachungen vor, etwa:

  • keine Pflicht zur Bestellung eines Informationssicherheitsbeauftragten,
  • geringere Anforderungen an Dokumentation und Überprüfung,
  • vereinfachte Vorgaben zur Datensicherung und zur Geschäftsfortführung.

Beim IKT-Drittparteienrisikomanagement fallen die Unterschiede zwar weniger stark aus, dennoch profitieren Unternehmen auch hier von einer flexibleren Handhabung.

Ziel: Proportionalität und Transparenz

DORA verfolgt den Grundsatz der Verhältnismäßigkeit – kleinere, weniger komplexe Unternehmen sollen angemessene, aber nicht übermäßige Anforderungen erfüllen müssen.
Die BaFin betont zugleich, dass ihre Aufsichtsmitteilung keine verbindlichen Vorgaben macht, sondern die Verwaltungspraxis transparent darstellt und Unternehmen Orientierung bietet.
Die begleitende Übersicht zu den Dokumentationspflichten nach Artikel 16 DORA rundet die Hilfestellung ab.

Veröffentlicht in Allgemein, Rechtsberatung, WirtschaftsprüfungVerschlagwortet mit , , , , ,

Verwandte Beiträge