Neue BaFin-Aufsichtsmitteilung zu DORA: Was Unternehmen jetzt wissen und tun sollten

Die BaFin hat eine neue Aufsichtsmitteilung veröffentlicht, die konkrete Umsetzungshinweise für den vereinfachten IKT-Risikomanagementrahmen (Art. 16 DORA) und das IKT-Drittparteienrisikomanagement (Art. 28–30 DORA) gibt. Die Hinweise richten sich insbesondere an kleine EbAV, kleine Wertpapierinstitute, Versicherungsholdings sowie Institute außerhalb der CRR-Aufsicht. Je nach Adressatengruppe gelten unterschiedliche Anwendungszeitpunkte. Die Mitteilung zeigt, wo DORA vereinfacht (z. B. keine IT-Strategie-Pflicht, „Need-to-use“ im IAM, reduziertes Change-Detail), wo Anforderungen gleichbleiben (Backups, Tests, Due-Diligence) und wo sie anders sind als in der BAIT/VAIT (z. B. Vertragsanforderungen, Unterauftragsvergabe, Exit).

Kontext & Zielgruppe

Mit der neuen Aufsichtsmitteilung will die BaFin Unternehmen praktisch bei der Umsetzung von DORA unterstützen – insbesondere beim vereinfachten Rahmen nach Artikel 16 DORA (für bestimmte kleinere Institute) sowie beim IKT-Drittparteienrisikomanagement nach Art. 28–30 DORA. Die Hinweise berücksichtigen auch die einschlägigen technischen Regulierungsstandards (RTS), u. a. den RTS RMF (Delegierte Verordnung (EU) 2024/1774) und RTS SUB zur Untervergabe (Delegierte Verordnung (EU) 2025/532).

Adressaten & Zeitplan (Auswahl):

• Nicht-CRR-Institute (unter BaFin-Aufsicht): ab 1. Januar 2027 gilt der vereinfachte Rahmen; BAIT gelten übergangsweise bis 31. Dezember 2026 weiter.
• Kleine EbAV, kleine Wertpapierinstitute, Versicherungsholdings: wenden Art. 16 DORA bereits seit Anfang 2025 an.

Wichtig: Die neuen Hinweise vergleichen BAIT/VAIT mit DORA Art. 16 & 28–30; ZAIT/KAIT sind nicht erfasst.

Die 7 wichtigsten Änderungen auf einen Blick

1. Keine separate DORA-StrategiepflichtIm vereinfachten Rahmen nach Art. 16 DORA besteht keine Pflicht zu einer eigenständigen Strategie für digitale operationale Resilienz. Eine separate IT-Strategie verlangt DORA grundsätzlich nicht. Stattdessen ist ein IKT-spezifischer Governance- und Kontrollrahmen aufzubauen.
2. Stärkerer Fokus auf IKT-Risiko statt reine InformationssicherheitDie Akzentsetzung verschiebt sich: Bewertung, Analyse und Kontrollen der IKT-Risiken stehen noch deutlicher im Zentrum.
3. Asset-Klassifizierung wird PflichtDORA verlangt eine Klassifizierung der IKT- und Informations-Assets und deren Wechselwirkungen – ein stärker integrierter Blick als in BAIT/VAIT.
4. Weniger Detail im Change-ManagementEs gibt keine starren Detailvorgaben mehr; Änderungen sind kontrolliert zu erfassen, zu testen, zu genehmigen, zu implementieren und zu überprüfen – mit weniger Mindest-Detail als in BAIT/VAIT.
5. „Wegfall des Datensicherungskonzepts“ – aber Backups bleiben PflichtEin formales Datensicherungskonzept ist im vereinfachten Rahmen nicht mehr gefordert. Backups, Wiederherstellung und regelmäßige Tests bleiben jedoch obligatorisch. Praktisch: weniger Doku-Ballast, gleiche technische Sorgfalt.
6. BCM/IKT-Geschäftsfortführung: schlanker, aber szenariobasiertTesten und die Dokumentation der Ergebnisse (inkl. Eskalations-/Kommunikationsplänen) sind gefordert; die Zahl der Szenarien ist im vereinfachten Rahmen geringer. Krisenmanagementfunktion ist nicht Teil des vereinfachten Rahmens.
7. IAM: „Need-to-use“ ergänzt „Need-to-know“ & „Least privilege“Neu ist das „Need-to-use“-Prinzip: Zugriffe dürfen nicht nur gering sein, sondern müssen tatsächlich für die Nutzung erforderlich sein. Gleichzeitig entfallen Berechtigungskonzepte oder deren formale Prüfung in der bisherigen Tiefe – Aufwände sinken.

IKT-Drittparteienrisiko: Erleichterungen, aber klare Leitplanken

Die BaFin stellt allgemeine Erleichterungen heraus, zugleich gelten präzisere Anforderungen in kritischen Punkten:

• Vertragsinhalte: Ausweitung der Pflicht-Klauseln (die BaFin hat die Liste der Mindestvertragsbestandteile um eine Spalte für Art. 16-Vereinfachungen ergänzt).
• Unterauftragsvergabe (Sub-Outsourcing): neue RTS SUB konkretisieren, was zu bestimmen/bewerten ist.
• Risikobewertung & Due-Diligence: weiterhin umfangreich, inkl. Exit-Planung und Anforderungen an Meldepflichten/Informationsregister. Erleichterungen sind geringer als im IKT-Risikomanagement selbst.

Dokumentation: BaFin-Übersichten helfen beim Zuschnitt

Begleitend zur Mitteilung hat die BaFin Übersichten zu den Dokumentationsanforderungen nach Art. 16 DORA veröffentlicht – inklusive kompakter Einseiter- und Hinweisdokument mit Q&A-Charakter. Das erleichtert die risikobasierte, proportionale Dokumentation speziell für den vereinfachten Rahmen.

Was bleibt (trotz Vereinfachung) anspruchsvoll?

1. Technische Mindeststandards: Backups, Wiederherstellung, regelmäßige Tests bleiben Pflicht.
2. Steuerung von Drittparteien: Due-Diligence, Vertragsmanagement, Unterauftragnehmersteuerung, Exit – in Summe weiterhin substantiell.
3. Governance-Verantwortung: Das Leitungsorgan bleibt im Driver-Seat, mit klaren Aufgaben und Berichtspflichten.

Praxis-Checkliste (30/60/90 Tage)

0–30 Tage (Scoping & Gap-Scan)

• Anwendungsbereich klären (Art. 16 jetzt vs. ab 2027) und BAIT→DORA-Übergang planen.
• Drittparteien-Portfolio samt Unteraufträgen & kritischen Funktionen inventarisieren.
• Dokumentations-Einseiter der BaFin als Referenz im ISMS verankern.

30–60 Tage (Design & Controls)

• IKT/Informations-Asset-Klassifizierung aufsetzen; Change-Prozess auf DORA-Logik trimmen (kontrolliert statt detailgetrieben).
• BCM-Szenarien und Kommunikations-/Eskalationspläne festlegen; Testplan mit reduzierter, aber wirksamer Szenario-Breite.

60–90 Tage (Third-Party & IAM)

• Vertragsklauseln gegen BaFin-Liste prüfen; Unterauftrags-Regelungen/Notifikationen lt. RTS SUB nachziehen; Exit-Playbooks ergänzen.
• IAM-Policy um „Need-to-use“ erweitern; Rollen-/Rechteprüfung pragmatisch ausrollen (ohne Alt-Ballast der Berechtigungskonzepte).

Implikationen für BAIT/VAIT-Häuser

Die BaFin macht deutlich: DORA vereinfacht an mehreren Stellen, ist aber kein „Light-ISM“¹. Gerade Drittparteienrisiken sowie Backup/Recovery-Fähigkeiten bleiben kernkritisch. Für nicht-CRR-Institute bedeutet das bis Ende 2026: BAIT beibehalten, parallel DORA-Readiness aufbauen, damit der Umstieg in 2027 reibungslos gelingt.

¹"Light-ISMS": beschreibt ein sehr schlank gehaltenes Informationssicherheitsmanagementsystem, das im Vergleich zu etablierten Standards mit reduzierter Governance, weniger Kontrollen und geringerer Dokumentation arbeitet.

Die Aufsichtsmitteilung liefert willkommene Klarheit: weniger Form, mehr Substanz. Wer DORA intelligent proportional umsetzt – mit schlankem Change, klarem Asset-Bild, sinnvollen BCM-Szenarien, sauber gesteuerten Drittparteien und „Need-to-use“ im IAM – senkt Aufwand und erhöht Resilienz zugleich. Für viele Häuser ist das die Chance, Altlasten aus BAIT-Zeiten abzustreifen und DORA modern, risikoorientiert zu verankern.

👉 Die vollständige Mitteilung finden Sie hier: https://www.bafin.de/SharedDocs/Veroeffentlichungen/DE/Aufsichtsmitteilung/2025/neu/aufsichtsmitteilung_2025_08_21_hinweise_artikel_16_dora.html;jsessionid=CA07DA9240B37CEDC3448DAB0B08F82C.internet942

Haben Sie Fragen zur praktischen Umsetzung? Sprechen Sie uns gerne an – wir begleiten Sie auf dem Weg zur DORA-Compliance.

👉 Mehr erfahren: https://advisori.de/leistungen/regulatory-compliance-management/dora-digital-operational-resilience-act

📞 +49 173 3670962

🌐 www.advisori.de

📧 info@advisori.de