Kontakt
Get started
en_GB EN

BaFin veröffentlicht zweite Aufsichtsmitteilung zu DORA

Gefällt Ihnen dieser Beitrag? Teilen Sie ihn auf Social Media!
BaFin veröffentlicht zweite Aufsichtsmitteilung zu DORA

Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) hat am 21. August 2025 ihre zweite Aufsichtsmitteilung zum Digital Operational Resilience Act (DORA) veröffentlicht. Im Fokus: vereinfachte Anforderungen für kleinere und weniger komplexe Institute beim IKT-Risikomanagement und Drittparteienrisikomanagement.

Mit dem Digital Operational Resilience Act (DORA) stärkt die EU seit dem 17. Januar 2025 die operationelle Resilienz der Informations- und Kommunikationstechnologien (IKT) im Finanzsektor. Ziel ist es, Banken, Versicherungen und andere Finanzunternehmen widerstandsfähiger gegenüber Cyberangriffen, IT-Ausfällen und Drittparteienrisiken zu machen.

Bereits im Juli 2024 veröffentlichte die BaFin erste Umsetzungshinweise zu DORA. Nun folgt eine zweite Aufsichtsmitteilung, die vor allem kleineren und weniger komplexen Instituten praktische Orientierung bietet.

Wen betreffen die neuen Hinweise?

Die BaFin richtet sich mit ihrer zweiten Mitteilung an rund 1.100 Unternehmen in Deutschland, die unter die vereinfachten DORA-Anforderungen (Artikel 16) fallen. Dazu zählen:

  • kleine Wertpapierinstitute und kleine Einrichtungen der betrieblichen Altersvorsorge,
  • Versicherungsholdings und Institute, die nicht unter die Kapitaladäquanzverordnung (CRR) fallen.

Für einige dieser Unternehmen gelten noch Übergangsfristen: So sind etwa die BAIT (Bankaufsichtliche Anforderungen an die IT) bis Ende 2026 weiterhin gültig.

Die wichtigsten Vereinfachungen im Überblick

Die BaFin verdeutlicht in ihrer Mitteilung, wie der Grundsatz der Verhältnismäßigkeit in der Praxis umgesetzt wird. Der vereinfachte IKT-Risikomanagementrahmen unterscheidet sich deutlich vom regulären Rahmen:

  • Keine Pflicht zur Resilienzstrategie: Unternehmen müssen keine umfassende Strategie für digitale operationale Resilienz entwickeln.
  • Weniger organisatorische Vorgaben: Keine jährliche Dokumentations- und Überprüfungspflicht, keine separate Kontrollfunktion erforderlich.
  • Informationssicherheitsbeauftragter entfällt: Anders als in BAIT/VAIT ist keine Benennung zwingend notwendig.
  • Reduzierte Detailanforderungen: Beispielsweise bei Änderungsprozessen von IKT-Systemen.
  • Fokus auf Technik statt Formalismus: Datensicherung bleibt Pflicht, doch liegt der Schwerpunkt auf technischer Umsetzung statt umfangreicher Konzepte.
 
Damit wird klar: DORA belastet kleinere und weniger komplexe Unternehmen nicht übermäßig, sondern setzt risikoorientierte, praxisnahe Anforderungen.

Kontinuität zu BAIT/VAIT

Die BaFin stellt in ihrer Aufsichtsmitteilung einen Vergleich zwischen BAIT, VAIT und DORA her. Unternehmen, die die Rundschreiben bereits umgesetzt haben, profitieren nun doppelt:

  • Sie sind auf die kommenden DORA-Anforderungen gut vorbereitet.
  • Sie können durch die vereinfachten Regelungen Aufwand und Kosten reduzieren.

Herausforderungen für Finanzunternehmen

Auch wenn die Vereinfachungen auf den ersten Blick entlasten, bleibt die DORA-Compliance eine komplexe Aufgabe. Unternehmen müssen sicherstellen, dass:

  • ein funktionierendes IKT-Risikomanagement etabliert ist,
  • Drittparteienrisiken (z. B. Cloud-Anbieter, IT-Dienstleister) kontinuierlich überwacht werden,
  • Notfallpläne und Business Continuity gewährleistet sind,
  • ein Informationsregister nach DORA gepflegt wird.

Mehr dazu: Was ist das Informationsregister nach DORA?

Unterstützung durch Swiss GRC

Mit der GRC Toolbox unterstützt Swiss GRC Finanzunternehmen umfassend bei der Umsetzung von DORA – sowohl im regulären als auch im vereinfachten Rahmen. Die Module bieten u. a.:

  • IKT-Risikomanagement / ISMS zur Identifikation und Steuerung von Risiken,
  • Third-Party Risk Management (TPRM) für den Umgang mit IKT-Drittanbietern,
  • Business Continuity Management (BCM) zur Krisenbewältigung,
  • Incident Management für eine strukturierte Störungsbehandlung,
  • DORA-Compliance-Check sowie das Informationsregister nach DORA.

Damit behalten Unternehmen auch in einem dynamischen regulatorischen Umfeld den Überblick und sichern ihre digitale Resilienz nachhaltig.

Die zweite Aufsichtsmitteilung der BaFin zeigt: DORA bleibt ein zentrales Thema für den Finanzsektor, das auch kleinere Institute nicht vernachlässigen dürfen. Vereinfachungen entbinden nicht von der Pflicht, IKT-Risiken professionell zu managen und die operationale Resilienz systematisch zu stärken.

Weitere Informationen zu DORA finden Sie direkt bei der BaFin sowie auf unserer Themenseite zu DORA.

Bild von Shayeste Afzaly

Shayeste Afzaly

Shayeste Afzaly ist Marketing Associate mit Schwerpunkt Content Creation und Design. Sie entwickelt kreative Inhalte und Marketingmaterialien für digitale und analoge Kanäle – visuell präzise, markenkonform und wirkungsvoll.

Vorgestellte
GRC-Lösungen

Risikomanagement
Informationssicherheit (ISMS)
Internes Kontrollsystem (IKS)
Third-Party Risk Management
Business Continuity Management (BCM)
Datenschutz Management
Vertragsmanagement
Business Process Modelling

Alles zur GRC Toolbox

Sie wünschen mehr Informationen rund um unsere Lösungen oder möchten die GRC Toolbox in einer kostenlosen Demo ansehen?

Jetzt Termin buchen

UPDATES & NEWS

Alle Neuigkeiten zu Swiss GRC

Swiss Cyber Security Days: Swiss GRC als Aussteller vertreten

Swiss Cyber Security Days: Swiss GRC als Aussteller vertreten

16 Februar 2026

Morgen starten in Bern die Swiss Cyber Security Days 2026. Die Veranstaltung zählt zu den wichtigsten Schweizer Plattformen für den Austausch zu Cyber Security, digitaler Resilienz und unternehmensweiter Risikosteuerung und bringt Vertreter aus Wirtschaft, öffentlichem Sektor, Forschung und Technologie zusammen. Als Aussteller vertreten ist Swiss GRC und präsentiert am Messestand in Halle 2.2, Stand K08, seine Plattform für Governance, Risk & Compliance.

Presilience und der Wandel der Risikoführung

Presilienz und der Wandel der Risikoführung

15 Februar 2026

Dr. Fayadh Alenezi, Professor an der Jouf University in Saudi-Arabien, zertifizierter Presilience Practitioner und Mitwirkender an der dritten Ausgabe des GRC Compass, untersucht eine entscheidende Frage, mit der moderne Organisationen konfrontiert sind: Wie muss sich die Risikoführung über traditionelle Rahmenbedingungen hinaus weiterentwickeln, um die Entscheidungsfindung und Anpassungsfähigkeit in komplexen Umgebungen zu stärken?

Strategie, Performance und Risiko verbinden: Swiss GRC und Profit.co bündeln ihre Kräfte

Strategie, Performance und Risiko verbinden: Swiss GRC und Profit.co bündeln ihre Kräfte

16 Januar 2026

Swiss GRC geht eine Partnerschaft mit dem US-amerikanischen Unternehmen Profit.co ein, einem weltweit etablierten Anbieter von Performance-Management-Software. Durch die Kombination der integrierten GRC-Plattform von Swiss GRC mit den Performance-Management-Fähigkeiten von Profit.co erhalten Unternehmen die Möglichkeit, Risiken konsequent im Einklang mit strategischen Zielen und deren operativer Umsetzung zu steuern.

Weitere News

Für Neuigkeiten & Updates

Abonnieren Sie jetzt unseren Newsletter

Erhalten Sie News und Trends zu Governance, Risk & Compliance (GRC) mit unserem Newsletter. Wir informieren Sie monatlich über aktuelle Themen, Events wie der SWISS GRC DAY und spannende Fachartikel.

Jetzt abonnieren
News
Get Started
en_GB EN
X-twitter Linkedin Youtube Instagram

Swiss GRC | Switzerland (HQ) | Germany | UK | UAE

0%