Mit der Verordnung 2022/2554 (Digital Operational Resilience Act, DORA) hat die Europäische Union umfassende Anforderungen an die digitale operationale Resilienz für den gesamten Finanzsektor festgelegt. Als europäische Verordnung findet sie ab 17. Januar 2025 unmittelbare Anwendung in Deutschland. Vor diesem Hintergrund beabsichtigt die BaFin die aktuell gültigen bankaufsichtlichen bzw. zahlungsdiensteaufsichtlichen / versicherungsaufsichtlichen / kapitalverwaltungsaufsichtlichen Anforderungen an die IT (BAIT, ZAIT, VAIT und KAIT) aufzuheben, um eine Doppelregulierung zu vermeiden.

DORA umfasst insbesondere Anforderungen an das IKT-Risikomanagementrahmenwerk, die Meldung schwerwiegender IKT-Vorfälle, das Testen digitaler operationaler Resilienz sowie das IKT-Drittparteienrisikomanagement von Finanzunternehmen. Zudem schafft DORA einen EU-weiten Überwachungsrahmen für kritische IKT-Drittdienstleister. Die Verordnung („Level 1“) wird durch zahlreiche technische Regulierungs- und Implementierungsstandards (RTS/ITS, „Level 2“) ergänzt, die ebenfalls ab 17. Januar 2025 anzuwenden sind.

Die BAIT (BaFin-Rundschreiben 10/2017) richten sich primär an die Geschäftsleitungen der Kreditinstitute. Sie geben auf der Grundlage des § 25a Abs. 1 Kreditwesengesetz (KWG) einen flexiblen und praxisnahen Rahmen für die technisch-organisatorische Ausstattung der Institute – insbesondere für das Management der IT-Ressourcen, das IT-Risikomanagement und das IT-Sicherheitsmanagement – vor. Ferner präzisieren sie die Anforderungen des § 25b KWG (Auslagerung von Aktivitäten und Prozessen).

Das Rundschreiben 10/2017 in der aktuellen Fassung vom 16. August 2021 setzt die „EBA-Leitlinien für das Management von IKT- und Sicherheitsrisiken“ aus dem November 2019 um. Darüber hinaus sind Erfahrungen aus der Aufsichtspraxis in die Überarbeitung eingeflossen.