Ab dem 17. Januar 2025 tritt die EU-Verordnung über die digitale operationale Resilienz (Digital Operational Resilience Act, DORA) in Kraft. Sie bringt weitreichende Änderungen für die IT-bezogenen aufsichtsrechtlichen Anforderungen im Finanzsektor mit sich. Um Überschneidungen mit bestehenden Regelungen zu vermeiden, informierte die BaFin am 10. Januar 2025 über die Aufhebung von entsprechenden Rundschreiben. Gleichzeitig wurde auf die aktualisierte Fassung der Bankaufsichtlichen Anforderungen an die IT (BAIT) vom 16. Dezember 2024 verwiesen.
Harmonisierung durch DORA: Ein einheitlicher Rahmen für IKT-Risikomanagement
Die DORA-Verordnung etabliert europaweit einheitliche Anforderungen für das Management von Informations- und Kommunikationstechnologie-Risiken (IKT-Risiken). Sie umfasst sowohl den regulären IKT-Risikomanagementrahmen als auch spezifische Regeln für den Umgang mit Risiken durch Drittanbieter. Diese neuen Vorgaben machen bestehende nationale Regelungen wie die Bankaufsichtlichen Anforderungen an die IT (BAIT), die Kapitalverwaltungsaufsichtlichen Anforderungen an die IT (KAIT), die Versicherungsaufsichtlichen Anforderungen an die IT (VAIT) und die Zahlungsdiensteaufsichtlichen Anforderungen an die IT (ZAIT) weitgehend überflüssig.
Um Doppelregulierung zu vermeiden, hebt die BaFin diese Rundschreiben sukzessive auf:
- KAIT, VAIT und ZAIT: Diese Regelungen treten mit Ablauf des 16. Januar 2025 außer Kraft. Ab dem 17. Januar 2025 gelten ausschließlich die DORA-Vorgaben.
- BAIT: Die schrittweise Aufhebung erfolgt bis zum 31. Dezember 2026, abhängig vom Anwendungsbereich der Institute.
Die neue Fassung der BAIT berücksichtigt bereits die Übergangsregelungen und Anforderungen im Zusammenhang mit DORA.
Schrittweise Anpassung der BAIT
Die BAIT werden in zwei Phasen aufgehoben, um eine geordnete Übergangszeit zu gewährleisten:
- Reduzierung des Anwenderkreises (ab 17. Januar 2025)
Institute, die ab diesem Datum ein IKT-Risikomanagement gemäß DORA (Artikel 5–15 oder Artikel 16) betreiben müssen, fallen nicht mehr unter die BAIT. Kapitel 11 (Kundenbeziehungen mit Zahlungsdienstnutzern) der BAIT wird vollständig gestrichen.
Für Unternehmen, die nicht unter den unmittelbaren Anwendungsbereich von DORA fallen, gelten die BAIT weiterhin. - Vollständige Aufhebung (ab 1. Januar 2027)
Durch das am 27. Dezember 2024 beschlossene Finanzmarktdigitalisierungsgesetz (FinmaDiG) wird der Anwendungsbereich der DORA erweitert. Ab dem 1. Januar 2027 müssen zusätzliche Institute die DORA-Vorgaben umsetzen. Bis dahin bleiben die BAIT für diese Institute in Kraft, um eine Regelungslücke zu vermeiden. Mit Ablauf des 31. Dezember 2026 treten die BAIT endgültig außer Kraft.
Aktualisierte BAIT als Übergangslösung
Die neue Fassung des Rundschreibens 10/2017 (BA) in der Fassung vom 16. Dezember 2024 reflektiert die Anpassungen, die durch DORA erforderlich werden. Sie reduziert den Anwenderkreis und hebt Kapitel 11 auf, das sich mit spezifischen Anforderungen zu Kundenbeziehungen mit Zahlungsdienstnutzern befasst, die durch DORA nun europaweit geregelt werden. Diese Aktualisierung bietet den betroffenen Instituten eine klare Orientierung für die Übergangszeit bis zur vollständigen Umstellung auf die neuen Vorgaben.
Fazit: Einheitliche Standards für mehr Resilienz
Mit DORA wird ein europaweit harmonisierter Standard für die digitale operationale Resilienz eingeführt, der die bestehenden nationalen Regelungen ersetzt. Die schrittweise Aufhebung der bisherigen Anforderungen schafft Klarheit und reduziert regulatorische Doppelungen. Die Veröffentlichung der aktualisierten BAIT vom 16. Dezember 2024 ergänzt diesen Übergang und gibt Instituten eine verlässliche Grundlage für die kommenden Jahre. Institute sollten die verbleibende Zeit nutzen, um ihre Prozesse an die neuen Vorgaben anzupassen und so ihre digitale Resilienz zu stärken.
Veröffentlicht in Allgemein, Rechtsberatung, Wirtschaftsprüfung
