Kontakt
Get started
en_GB EN

BaFin veröffentlicht zweite Aufsichtsmitteilung zu DORA

Gefällt Ihnen dieser Beitrag? Teilen Sie ihn auf Social Media!
BaFin veröffentlicht zweite Aufsichtsmitteilung zu DORA

Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) hat am 21. August 2025 ihre zweite Aufsichtsmitteilung zum Digital Operational Resilience Act (DORA) veröffentlicht. Im Fokus: vereinfachte Anforderungen für kleinere und weniger komplexe Institute beim IKT-Risikomanagement und Drittparteienrisikomanagement.

Mit dem Digital Operational Resilience Act (DORA) stärkt die EU seit dem 17. Januar 2025 die operationelle Resilienz der Informations- und Kommunikationstechnologien (IKT) im Finanzsektor. Ziel ist es, Banken, Versicherungen und andere Finanzunternehmen widerstandsfähiger gegenüber Cyberangriffen, IT-Ausfällen und Drittparteienrisiken zu machen.

Bereits im Juli 2024 veröffentlichte die BaFin erste Umsetzungshinweise zu DORA. Nun folgt eine zweite Aufsichtsmitteilung, die vor allem kleineren und weniger komplexen Instituten praktische Orientierung bietet.

Wen betreffen die neuen Hinweise?

Die BaFin richtet sich mit ihrer zweiten Mitteilung an rund 1.100 Unternehmen in Deutschland, die unter die vereinfachten DORA-Anforderungen (Artikel 16) fallen. Dazu zählen:

  • kleine Wertpapierinstitute und kleine Einrichtungen der betrieblichen Altersvorsorge,
  • Versicherungsholdings und Institute, die nicht unter die Kapitaladäquanzverordnung (CRR) fallen.

Für einige dieser Unternehmen gelten noch Übergangsfristen: So sind etwa die BAIT (Bankaufsichtliche Anforderungen an die IT) bis Ende 2026 weiterhin gültig.

Die wichtigsten Vereinfachungen im Überblick

Die BaFin verdeutlicht in ihrer Mitteilung, wie der Grundsatz der Verhältnismäßigkeit in der Praxis umgesetzt wird. Der vereinfachte IKT-Risikomanagementrahmen unterscheidet sich deutlich vom regulären Rahmen:

  • Keine Pflicht zur Resilienzstrategie: Unternehmen müssen keine umfassende Strategie für digitale operationale Resilienz entwickeln.
  • Weniger organisatorische Vorgaben: Keine jährliche Dokumentations- und Überprüfungspflicht, keine separate Kontrollfunktion erforderlich.
  • Informationssicherheitsbeauftragter entfällt: Anders als in BAIT/VAIT ist keine Benennung zwingend notwendig.
  • Reduzierte Detailanforderungen: Beispielsweise bei Änderungsprozessen von IKT-Systemen.
  • Fokus auf Technik statt Formalismus: Datensicherung bleibt Pflicht, doch liegt der Schwerpunkt auf technischer Umsetzung statt umfangreicher Konzepte.
 
Damit wird klar: DORA belastet kleinere und weniger komplexe Unternehmen nicht übermäßig, sondern setzt risikoorientierte, praxisnahe Anforderungen.

Kontinuität zu BAIT/VAIT

Die BaFin stellt in ihrer Aufsichtsmitteilung einen Vergleich zwischen BAIT, VAIT und DORA her. Unternehmen, die die Rundschreiben bereits umgesetzt haben, profitieren nun doppelt:

  • Sie sind auf die kommenden DORA-Anforderungen gut vorbereitet.
  • Sie können durch die vereinfachten Regelungen Aufwand und Kosten reduzieren.

Herausforderungen für Finanzunternehmen

Auch wenn die Vereinfachungen auf den ersten Blick entlasten, bleibt die DORA-Compliance eine komplexe Aufgabe. Unternehmen müssen sicherstellen, dass:

  • ein funktionierendes IKT-Risikomanagement etabliert ist,
  • Drittparteienrisiken (z. B. Cloud-Anbieter, IT-Dienstleister) kontinuierlich überwacht werden,
  • Notfallpläne und Business Continuity gewährleistet sind,
  • ein Informationsregister nach DORA gepflegt wird.

Mehr dazu: Was ist das Informationsregister nach DORA?

Unterstützung durch Swiss GRC

Mit der GRC Toolbox unterstützt Swiss GRC Finanzunternehmen umfassend bei der Umsetzung von DORA – sowohl im regulären als auch im vereinfachten Rahmen. Die Module bieten u. a.:

  • IKT-Risikomanagement / ISMS zur Identifikation und Steuerung von Risiken,
  • Third-Party Risk Management (TPRM) für den Umgang mit IKT-Drittanbietern,
  • Business Continuity Management (BCM) zur Krisenbewältigung,
  • Incident Management für eine strukturierte Störungsbehandlung,
  • DORA-Compliance-Check sowie das Informationsregister nach DORA.

Damit behalten Unternehmen auch in einem dynamischen regulatorischen Umfeld den Überblick und sichern ihre digitale Resilienz nachhaltig.

Die zweite Aufsichtsmitteilung der BaFin zeigt: DORA bleibt ein zentrales Thema für den Finanzsektor, das auch kleinere Institute nicht vernachlässigen dürfen. Vereinfachungen entbinden nicht von der Pflicht, IKT-Risiken professionell zu managen und die operationale Resilienz systematisch zu stärken.

Weitere Informationen zu DORA finden Sie direkt bei der BaFin sowie auf unserer Themenseite zu DORA.

Bild von Shayeste Afzaly

Shayeste Afzaly

Shayeste Afzaly ist Marketing Manager bei Swiss GRC mit Fokus auf die operative Umsetzung von Marketingmassnahmen und Markenaktivitäten. Sie unterstützt Kampagnen über digitale und analoge Kanäle und trägt zu einer zielgruppenorientierten, datenbasierten Umsetzung bei.

Vorgestellte
GRC-Lösungen

Risikomanagement
Informationssicherheit (ISMS)
Internes Kontrollsystem (IKS)
Third-Party Risk Management
Business Continuity Management (BCM)
Datenschutz Management
Vertragsmanagement
Business Process Modelling

Alles zur GRC Toolbox

Sie wünschen mehr Informationen rund um unsere Lösungen oder möchten die GRC Toolbox in einer kostenlosen Demo ansehen?

Jetzt Termin buchen

UPDATES & NEWS

Alle Neuigkeiten zu Swiss GRC

SWISS GRC DAY 2026

Risikomanagement in einer unsicheren Welt

29 April 2026

Geopolitische Verwerfungen, technologische Brüche und eine sich verdichtende Regulierungslandschaft verändern das globale Risikoprofil grundlegend. Beim neunten SWISS GRC DAY am 20. Mai 2026 in Zürich diskutiert die Community, was das für Governance, Risk und Compliance bedeutet – im Jahr, in dem die ausrichtende Swiss GRC AG ihr zehnjähriges Bestehen feiert.

Swiss GRC besetzt Führungsposition in MEA & APAC mit Rajeev Dutt

16 April 2026

Rajeev Dutt war zuvor als General Manager für die Region tätig und übernimmt nun eine erweiterte Verantwortung für die Weiterentwicklung des Geschäfts von Swiss GRC in MEA und APAC. Er bringt mehr als 25 Jahre Erfahrung in den Bereichen Governance, Risk und Compliance sowie Business Continuity Management mit. Vor seinem Eintritt bei Swiss GRC hatte er leitende Positionen bei InfiniteBlue, SAI360 und MetricStream inne.

Monte-Carlo-Simulation

Monte-Carlo-Simulation, AI und DORA im neusten Release

24 März 2026

Mit dem neuesten Release entwickelt Swiss GRC seine GRC Software gezielt weiter und adressiert zentrale Anforderungen im modernen Risikomanagement. Im Fokus stehen quantitative Risikoanalyse, der kontrollierte Einsatz von künstlicher Intelligenz sowie die Umsetzung regulatorischer Vorgaben wie DORA. Im Bereich der quantitativen Risikoanalyse bietet die GRC Toolbox erweiterte Möglichkeiten zur Modellierung und Bewertung von Risiken, einschliesslich Monte-Carlo-Simulationen.

Weitere News

Für Neuigkeiten & Updates

Abonnieren Sie jetzt unseren Newsletter

Erhalten Sie News und Trends zu Governance, Risk & Compliance (GRC) mit unserem Newsletter. Wir informieren Sie monatlich über aktuelle Themen, Events wie der SWISS GRC DAY und spannende Fachartikel.

Jetzt abonnieren
News
Get Started
en_GB EN
X-twitter Linkedin Youtube Instagram

Swiss GRC | Switzerland (HQ) | Germany | UK | UAE

0%