xAIT der BaFin
Harmonisierung mit DORA - Wir begleiten Sie
Seit dem 17. Januar 2025 fallen beinahe alle beaufsichtigten Institute und Unternehmen des europäischen Finanzsektors unter den Digital Operational Resilience Act (DORA). Dieser zielt darauf ab, die IT-Sicherheit und operative Widerstandsfähigkeit von Banken und Finanzinstituten europaweit zu verbessern und zu harmonisieren.
In Deutschland wurden die Institute bislang durch die Anforderungen an die IT der BaFin reguliert. Viele der dort geforderten Prozesse und Maßnahmen finden sich nun in der DORA-Verordnung wieder. Um eine Doppelregulierung zu vermeiden, hob die BaFin im Januar 2025 die zahlungsdiensteaufsichtlichen (ZAIT), versicherungsaufsichtlichen (VAIT) und kapitalverwaltungsaufsichtlichen Anforderungen an die IT (KAIT) auf. Die betroffenen Institute werden künftig vollständig durch DORA reguliert. Der Anwendungsbereich der BAIT wurde zunächst angepasst. Das Rundschreiben wird aber mit Ablauf des 31.12.2026 ebenfalls gänzlich aufgehoben.
Harmonisierung mit DORA: Wie gehen wir vor?
Eine Harmonisierung mit DORA erfordert in Ihrem Institut ein ausführliches Umsetzungsprojekt. Bevor Sie damit starten, empfehlen wir Ihnen, sich der Frage zu widmen, welche anderen Sicherheitsstandards in Ihrem Unternehmen bereits umgesetzt sind und welche nationale Regulatorik Anforderungen an Ihr Unternehmen stellt. Meist kann auf implementierte Systeme und Prozesse zur Erfüllung der ISO 27001 oder der BaFin Rundschreiben (BAIT, KAIT, VAIT, ZAIT) gut aufgesetzt werden. Eine Gap-Analyse ist erster guter Schritt, um Klarheit zu schaffen.
Gap-Analyse
Da die Anforderungen die Institute ganzheitlich beeinflussen, ist eine reine Dokumentenprüfung nicht ausreichend, um den Umsetzungsstand der DORA-Anforderungen zu erheben. Wir empfehlen daher eine Kombination aus:
- Dokumentenprüfung
- Befragung von Schlüsselpersonal
- Prüfung der Umsetzung
Ergebnis der Gap-Analyse ist ein gutes Bild des zu erwartenden Aufwands. Sie liefert Umsetzungsoptionen, mithilfe derer auf höchster Managementebene die Richtung für die Umsetzung festgelegt werden kann (Action Plan).
Nach Durchführung der Gap-Analyse arbeiten wir mit Ihnen an Harmonisierungsprojekten, die auf Ihr Institut angepasst sind. Bei diesen gehen wir gezielt auf die Schwerpunkte ein, die in der Gap-Analyse identifiziert wurden, und begleiten Sie bei der Umsetzung der Richtlinien in enger Zusammenarbeit.
Weitere Informationen zur Harmonisierung mit DORA und zum Vorgehen finden Sie hier.
Harmonisierung mit den BAIT: Wie gehen wir vor?
Mit dem Beginn der Anwendung von DORA am 17.01.2025 wurde der Anwendungsbereich der BAIT angepasst. Institute, die ein IKT-Risikomanagement nach Art. 5-15 bzw. Art. 16 DORA betreiben müssen, sind aus dem Anwenderkreis der BAIT ausgenommen. Für alle anderen regulierten Institute gilt das Rundschreiben weiterhin, bevor es mit Ablauf des 31. Dezember 2026 vollständig aufgehoben wird.
Gern unterstützen wir Sie weiter bei der Harmonisierung mit den BAIT:
Maßnahmen zur Harmonisierung
Durchführung der Harmonisierung mit den BAIT in einem umfangreichen, auf das Institut ausgerichteten Umsetzungsprojekt. Wir unterstützen Sie hier auf allen Ebenen, von der Definition der Strategie über die Formulierung von Richtlinien bis zur operativen Umsetzung der Anforderungen in der Organisation.
