xAIT der BaFin

Harmonisierung mit DORA - Wir begleiten Sie

Harmonisierung mit BAIT

Seit dem 17. Januar 2025 fallen beinahe alle beaufsichtigten Institute und Unternehmen des europäischen Finanzsektors unter den Digital Operational Resilience Act (DORA). Dieser zielt darauf ab, die IT-Sicherheit und operative Widerstandsfähigkeit von Banken und Finanzinstituten europaweit zu verbessern und zu harmonisieren.

In Deutschland wurden die Institute bislang durch die Anforderungen an die IT der BaFin reguliert. Viele der dort geforderten Prozesse und Maßnahmen finden sich nun in der DORA-Verordnung wieder. Um eine Doppelregulierung zu vermeiden, hob die BaFin im Januar 2025 die zahlungsdiensteaufsichtlichen (ZAIT), versicherungsaufsichtlichen (VAIT) und kapitalverwaltungsaufsichtlichen Anforderungen an die IT (KAIT) auf. Die betroffenen Institute werden künftig vollständig durch DORA reguliert. Der Anwendungsbereich der BAIT wurde zunächst angepasst. Das Rundschreiben wird aber mit Ablauf des 31.12.2026 ebenfalls gänzlich aufgehoben.

Harmonisierung mit DORA: Wie gehen wir vor?

Eine Harmonisierung mit DORA erfordert in Ihrem Institut ein ausführliches Umsetzungsprojekt. Bevor Sie damit starten, empfehlen wir Ihnen, sich der Frage zu widmen, welche anderen Sicherheitsstandards in Ihrem Unternehmen bereits umgesetzt sind und welche nationale Regulatorik Anforderungen an Ihr Unternehmen stellt. Meist kann auf implementierte Systeme und Prozesse zur Erfüllung der ISO 27001 oder der BaFin Rundschreiben (BAIT, KAIT, VAIT, ZAIT) gut aufgesetzt werden. Eine Gap-Analyse ist erster guter Schritt, um Klarheit zu schaffen.

PCI Zertifizierungsprozess Kick-off

Gap-Analyse

Da die Anforderungen die Institute ganzheitlich beeinflussen, ist eine reine Dokumentenprüfung nicht ausreichend, um den Umsetzungsstand der DORA-Anforderungen zu erheben. Wir empfehlen daher eine Kombination aus:

  • Dokumentenprüfung
  • Befragung von Schlüsselpersonal
  • Prüfung der Umsetzung

Ergebnis der Gap-Analyse ist ein gutes Bild des zu erwartenden Aufwands. Sie liefert Umsetzungsoptionen, mithilfe derer auf höchster Managementebene die Richtung für die Umsetzung festgelegt werden kann (Action Plan).

Nach Durchführung der Gap-Analyse arbeiten wir mit Ihnen an Harmonisierungsprojekten, die auf Ihr Institut angepasst sind. Bei diesen gehen wir gezielt auf die Schwerpunkte ein, die in der Gap-Analyse identifiziert wurden, und begleiten Sie bei der Umsetzung der Richtlinien in enger Zusammenarbeit.  

Weitere Informationen zur Harmonisierung mit DORA und zum Vorgehen finden Sie hier.

Harmonisierung mit den BAIT: Wie gehen wir vor?

Mit dem Beginn der Anwendung von DORA am 17.01.2025 wurde der Anwendungsbereich der BAIT angepasst. Institute, die ein IKT-Risikomanagement nach Art. 5-15 bzw. Art. 16 DORA betreiben müssen, sind aus dem Anwenderkreis der BAIT ausgenommen. Für alle anderen regulierten Institute gilt das Rundschreiben weiterhin, bevor es mit Ablauf des 31. Dezember 2026 vollständig aufgehoben wird.

Gern unterstützen wir Sie weiter bei der Harmonisierung mit den BAIT:

VAIT Harmonisierung Umsetzungsprojekt

Maßnahmen zur Harmonisierung

Durchführung der Harmonisierung mit den BAIT in einem umfangreichen, auf das Institut ausgerichteten Umsetzungsprojekt. Wir unterstützen Sie hier auf allen Ebenen, von der Definition der Strategie über die Formulierung von Richtlinien bis zur operativen Umsetzung der Anforderungen in der Organisation.

    Mehr Informationen zum Digital Operational Resilience Act

    5 Tipps für Ihren Einstieg in die Vorbereitung auf DORA

    5 Tipps für Ihren Einstieg in die Vorbereitung auf DORA

    Kontakt

    Sie haben Fragen oder Interesse? Sprechen Sie uns gerne an.

    Telefon: +49 6102 8631-190
    E-Mail: vertrieb@usd.de
    PGP Key
    S/MIME
    Kontaktformular

     

    Felix Schmidt
    Head of Sales - Security Consulting