Positionspapier zu DORA: Erfahrungen aus der bankwirtschaftlichen Praxis

Seit Januar 2025 muss die EU-Cybersicherheitsverordnung DORA (Digital Operational Resilience Act) von den europäischen Kreditinstituten angewendet werden. Hinsichtlich der immer stärkeren Abhängigkeit des Finanzsektors von digitalen Systemen sowie deren zunehmender Vernetzung ist es sinnvoll, Themen wie Cybersicherheit und IKT-Risiken in den Blick zu nehmen. Hinsichtlich der kleinteiligen Ausgestaltung des Regelwerks ist der Gesetzgeber jedoch an einigen Stellen über das Ziel hinausgeschossen. Das „Positionspapier zu DORA: Erfahrungen aus der bankwirtschaftlichen Praxis“ greift in diesem Zusammenhang Erfahrungen von Mitgliedsbanken mit der Umsetzung dieser umfangreichen Verordnung auf.

Beispielsweise führt der entsprechende delegierte Rechtsakt dazu, dass zu viele Vorfälle dokumentiert und bewertet werden müssen. Zudem sind auch kleine Banken theoretisch dazu verpflichtet, beim Auftreten von IKT-Vorfällen ununterbrochen meldebereit zu sein. Die Dokumentations- und Meldevorgaben für das IKT-Risikomanagement sind zu kleinteilig und führen zu großem bürokratischem Aufwand bei den Banken.

Insbesondere das Management des IKT-Drittparteienrisikos verursacht enormen administrativen Aufwand. Sowohl der Inhalt und die Regelungstiefe als auch die Sinnhaftigkeit des Umfangs des Informationsregisters sind zu hinterfragen. So sind die verpflichtenden Angaben zu den ausgelagerten IKT-Dienstleistungen deutlich zu umfangreich. Vor allem die Bestimmungen zur Überwachung der Unterauftragsvergabe gehen dabei über die eigentliche Intention des Gesetzgebers im Zusammenhang mit DORA hinaus.

Zusätzlicher Druck auf die Banken entsteht durch die sehr kurzen Umsetzungsfristen aufgrund der späten Finalisierung der technischen Standards (Level 2). In manchen Fällen werden dabei die Vorgaben aus dem Level 1-Text durch die von den Europäischen Aufsichtsbehörden (ESAs) entwickelten technischen Standards noch einmal verschärft.

Vor dem Hintergrund der zahlreichen Belastungen dieser wichtigen Verordnung ist zu kritisieren, dass erst für das Jahr 2028 eine Überprüfung der DORA-Verordnung durch die EU-Kommission durchgeführt werden soll. Denn Probleme insbesondere in Zusammenhang mit der überproportionalen Belastung kleiner Institute sind schon heute deutlich erkennbar.

Das vollständige Positionspapier „DORA – Erfahrungen aus der bankwirtschaftlichen Praxis“ ist dieser Mitteilung beigefügt.