17.04.2024

Der Regulatorik-Dreiklang MaRisk, BAIT, DORA

Hinweis:
Bitte beachten Sie, dass dieser Beitrag inzwischen durch einen aktuelleren Artikel ergänzt wurde.
Mit dem Inkrafttreten der DORA-Verordnung am 17. Januar 2025 ergeben sich weiterführende Anforderungen und Entwicklungen.
Den aktuellen Beitrag finden Sie hier:
DORA ist live – und nun?

Der Begriff DORA („Digital Operational Resilience Act“) ist bei den Finanzdienstleistern seit einiger Zeit in aller Munde.

Da die „DORA-Readiness“ neben dem „Tagesgeschäft“ bis 17.01.2025 hergestellt sein muss, ist es entscheidend, dass unverzüglich mit der praktischen Implementierung der Anforderungen aus MaRisk, BAIT und DORA begonnen wird. Ein noch späterer Umsetzungsstart würde bei den Instituten zu einem massiven Zeitproblem führen!

Dabei ergeben sich u.a. die nachfolgenden Herausforderungen:

Die noch fehlenden RTS werden voraussichtlich erst jetzt im Juli erscheinen und müssen denn berücksichtigt werden, was den Zeitdruck zusätzlich erhöht.
Insbesondere müssen auch die Vertragswerke für Auslagerungen und IKT-Drittdienstleister hinsichtlich der DORA-Anforderungen angepasst / überarbeitet werden

DORA lässt sich in die folgenden vier übergreifende Themenkomplexe clustern

WG-DATA ist zeitnah handlungsfähig und unterstützt die Institute unter dem herrschenden massiven Zeitdruck mit einem praxiserprobten 4-Stufen-Ansatz:

Strukturierter Abgleich der schriftlich fixierten Ordnung mit der geltenden Regulatorik
Schließung der Lücken in der schriftliche fixierten Ordnung
Überprüfung der praktischen Umsetzung der schriftlich fixierten Ordnung in der Ablauf- und Aufbauorganisation unter besonderer Berücksichtigung der erforderlichen Kontrollhandlungen
Schließung der Lücken in der Ablauf- und Aufbauorganisation

Success Story

Erfolgreiche Umsetzung DORA

FAQs ▼

Was versteht man unter dem Regulatorik‑Dreiklang MaRisk, BAIT und DORA?

Der Regulatorik‑Dreiklang beschreibt die Kombination aus MaRisk, BAIT und DORA, die zusammen den rechtlichen Rahmen für Risikomanagement, IT-Sicherheit und digitale Resilienz im Finanzsektor bilden. MaRisk deckt das allgemeine Risikomanagement ab, BAIT regelt IT- und Outsourcing-Anforderungen, und DORA setzt verbindliche EU-weite Vorgaben für digitale operationelle Resilienz um.

Warum ist die DORA-Verordnung für Finanzdienstleister relevant?

DORA verpflichtet Finanzinstitute, ihre digitale operationelle Resilienz zu stärken. Dazu gehören ein strukturiertes ICT-Risikomanagement, Meldepflichten bei IT-Störungen, regelmäßige Resilienztests sowie strengere Kontrollen bei Drittanbietern. Die Verordnung trat am 17. Januar 2025 verbindlich in Kraft und setzt eine einheitliche EU-weite Standards um.

Welche Themenkomplexe deckt DORA ab?

DORA lässt sich in vier übergreifende Themenkomplexe gliedern, die Risikomanagement, Vorfallsmeldungen, Resilienztests und Drittanbieter-Kontrollen umfassen. Diese Cluster stellen sicher, dass Finanzinstitute ihre digitale Infrastruktur widerstandsfähig und EU-konform gestalten.

Warum müssen Auslagerungsverträge im Rahmen von DORA angepasst werden?

Verträge mit IKT-Drittanbietern müssen überarbeitet werden, um sicherzustellen, dass die externen Dienstleister die Anforderungen der DORA-Verordnung erfüllen, insbesondere in Bezug auf Risikomanagement, Vorfallmeldungen und Resilienztests.

Wie beeinflussen DORA und BAIT die Zusammenarbeit mit Drittanbietern?

Institute müssen sicherstellen, dass Drittanbieter die Anforderungen an ICT-Risikomanagement, Resilienztests und Vorfallmeldungen erfüllen. Verträge müssen klar definierte Pflichten enthalten, regelmäßige Überprüfungen ermöglichen und die Einhaltung regulatorischer Standards dokumentieren.

Welche typischen Fehler sollten Institute bei der Umsetzung vermeiden?

Typische Fehler sind unvollständige Anpassungen der Vertragswerke mit Drittanbietern, unzureichende Dokumentation von ICT-Risikomanagement und Resilienztests sowie das Ignorieren der Integration der neuen DORA-Anforderungen in bestehende MaRisk- und BAIT-Strukturen.