Aufsichtliche Umsetzungshinweise und der damit verbundene Handlungsbedarf für die Institute und die Interne Revision
Die Erfordernisse des Digital Operational Resilience Act (DORA) sind in allen EU-Mitgliedstaaten ab dem 17. Januar 2025 verbindlich anzuwenden. Durch DORA soll ein EU-weiter Rechtsrahmen zur Stärkung der Cybersicherheit und der digitalen Betriebsfestigkeit des Finanzsektors erreicht werden.
Die im Juli 2024 veröffentlichte BaFin-Aufsichtsmitteilung soll eine Unterstützung bei der Umsetzung der DORA- Anforderungen an das IKT-Risikomanagement (Kapitel II) und das IKT-Drittparteienrisikomanagement (Kapitel V Abschnitt I) geben (incl. RTS).
Sie richtet sich insbesondere an diejenigen von der BaFin beaufsichtigten Unternehmen, die unter die Anwendungsbereiche der Bankaufsichtlichen Anforderungen an die IT (BAIT) oder der Versicherungsaufsichtlichen Anforderungen an die IT (VAIT) fallen und künftig u. a. die Anforderungen an das IKT-Risikomanagement gemäß Art. 5 bis 15 DORA erfüllen müssen.
Basis der Umsetzungshinweise sind die Ergebnisse von sechs in 2023 eingerichteten Arbeitsgruppen, die sich aus Vertreterinnen und Vertretern der Industrie, der Deutschen Bundesbank und der BaFin zusammengesetzt haben.
In den Arbeitsgruppen wurden die Anforderungen der DORA an den bereits erwähnten „regulären IKT-Risikomanagementrahmen“ und an die „Schlüsselprinzipien für ein solides Management des IKT-Drittparteienrisikos“ (Art. 28 - 30 DORA) sowie der dazugehörigen RTS-Entwürfe den Anforderungen der Kapitel 1 bis 10 BAIT und VAIT gegenübergestellt. Der Handlungsbedarfe wird darin dargestellt.
Das Seminar stellt die Erfordernisse der BaFin-Aufsichtsmitteilung und den Handlungsbedarf für die Institute und die Interne Revision (Projektbegleitung, Revisionsprüfung) dar.