Skip to main content

Prüfpflichten unter DORA: Umsetzung durch das Finanzmarktdigitalisierungsgesetz (FinmaDiG)

Das Finanzmarktdigitalisierungsgesetz (FinmaDiG) erweitert und präzisiert die Prüfpflichten für verschiedene Arten von Finanz- und Zahlungsinstituten im Rahmen der Umsetzung der DORA-Verordnung (Digital Operational Resilience Act). Es integriert die Anforderungen von DORA in das nationale Recht und passt diese proportional an. Der Finanzausschuss des Deutschen Bundestages hat Änderungen vorgenommen, um die Anforderungen praktikabler und den unterschiedlichen Institutsarten gerecht zu gestalten. Im Folgenden ein Überblick zu den neuen Prüfpflichten, den gesetzlichen Regelungen und deren Anwendung.

Prüfpflichten unter DORA: Umsetzung durch das Finanzmarktdigitalisierungsgesetz (FinmaDiG)

1. Überblick über die neuen Prüfpflichten

Das FinmaDiG orientiert sich an den zentralen Anforderungen von DORA und erweitert sie um nationale Spezifika. Die Prüfpflichten umfassen:

  • IKT-Risikomanagement: Überprüfung der Systeme und Prozesse zur Identifikation, Bewertung und Steuerung von IKT-Risiken.
  • Meldewesen: Kontrolle der Klassifikation und Meldung von IKT-Vorfällen an die zuständigen Behörden.
  • Drittparteienmanagement: Prüfung der Verträge und Überwachung kritischer oder wichtiger Drittanbieter.
  • Penetrationstests: Wo erforderlich, Überprüfung der Einhaltung von TLPT-Anforderungen oder alternativen Sicherheitsmaßnahmen.

2. Wesentliche Änderungen durch den Finanzausschuss

Der Finanzausschuss hat mehrere Anpassungen vorgenommen, um die Belastungen für kleinere und nicht-systemrelevante Institute zu reduzieren. Die wichtigsten Änderungen sind:

  • Proportionalitätsprinzip: Kleinere Institute, wie Leasing- und Factoring-Unternehmen, profitieren von erleichterten Prüfpflichten, z. B. ohne TLPT-Anforderungen.
  • Übergangsfristen: Längere Fristen für nicht-systemrelevante Institute, um die neuen Anforderungen umzusetzen (z. B. Einführung des vereinfachten IKT-Risikomanagementrahmens bis 2027).
  • Konzentration auf Kernpflichten: Prüfungen fokussieren sich auf Meldepflichten, Grundanforderungen des IKT-Risikomanagements und das Drittparteienmanagement.

3. Prüfpflichten nach Arten von Instituten

a) Banken und CRR-Kreditinstitute

  • IKT-Risikomanagement: Umfassende Prüfung gemäß Artikeln 5–15 DORA, einschließlich Governance und Wiederherstellungsstrategien.
  • Vorfallmanagement: Prüfung der Meldepflichten und Klassifikationsprozesse gemäß Artikel 18 und 19 DORA.
  • Drittparteienmanagement: Überprüfung von Vertragsgestaltung, Risikoanalysen und Monitoring kritischer Anbieter gemäß Artikel 28–30 DORA.
  • Penetrationstests: Pflicht zur Durchführung und Prüfung bedrohungsgeleiteter Penetrationstests (TLPT).

b) Zahlungs- und E-Geld-Institute

  • IKT-Risikomanagement: Prüfung eines vollständigen IKT-Rahmens mit Fokus auf Zahlungsrisiken und Sicherheit.
  • Vorfallmanagement: Kontrolle der Meldepflichten, insbesondere für zahlungsbezogene Vorfälle gemäß Kapitel III DORA.
  • Drittparteienmanagement: Einhaltung von Anforderungen an Drittanbieter, einschließlich Sicherungsmaßnahmen und Risikoanalysen.
  • TLPT-Anforderungen: Prüfung abhängig von der Risikoklasse und der Bedeutung der Dienste.

c) Wertpapierinstitute

  • IKT-Risikomanagement: Prüfung der Angemessenheit und Wirksamkeit der Maßnahmen, insbesondere für Handels- und Abrechnungssysteme.
  • Prüfung der Kryptoverwahrung: Fokus auf die Sicherheit digitaler Vermögenswerte und kryptografischer Prozesse.
  • Drittparteienmanagement: Einhaltung von Anforderungen für wichtige IT-Dienstleister und deren Überwachung.

d) Leasing- und Factoring-Unternehmen

  • Vereinfachter IKT-Risikomanagementrahmen: Prüfung der Grundanforderungen gemäß Artikel 16 DORA, wie Risikoerfassung und Schutzmechanismen.
  • Ausnahme von TLPT: Keine Prüfpflicht für Penetrationstests; alternative Sicherheitsmaßnahmen werden geprüft.
  • Meldewesen: Kontrolle der Prozesse zur Klassifikation und Meldung schwerwiegender Vorfälle gemäß Artikel 19 DORA.

e) Kleinstunternehmen (z. B. nach Artikel 3 Nr. 60 DORA)

  • Ausnahmen: Keine Prüfpflichten für IKT-Drittparteienmanagement und TLPT.
  • Meldewesen: Nur grundlegende Anforderungen zur Meldung von Vorfällen.

4. Übergangsfristen und Proportionalität

Die neuen Prüfpflichten treten gestaffelt in Kraft, um den unterschiedlichen Institutsarten ausreichend Zeit zur Umsetzung zu geben:

  • Ab 17. Januar 2025: Prüfpflichten zu Meldeprozessen und Vorfallmanagement gemäß Kapitel III DORA.
  • Ab 1. Januar 2027: Einführung des vereinfachten IKT-Risikomanagementrahmens für Leasing- und Factoring-Unternehmen sowie andere nicht-systemrelevante Institute.

5. Gesetzliche Änderungen im Überblick

Die rechtliche Basis für diese neuen Prüfpflichten wurde durch Änderungen im Kreditwesengesetz (KWG), Zahlungsdiensteaufsichtsgesetz (ZAG) und weiteren Gesetzen gelegt:

  • § 1a Abs. 2 KWG: Erweiterung des Anwendungsbereichs von DORA auf nicht-systemrelevante Institute mit proportionaler Anpassung.
  • § 1a Abs. 2a KWG: Verpflichtung von Leasing- und Factoring-Unternehmen zur Einhaltung des vereinfachten IKT-Risikomanagementrahmens.
  • § 65a Abs. 3 KWG: Einführung der Übergangsfrist bis 2027 für Leasing-Unternehmen.
  • § 26 Abs. 4 WpIG: Aufnahme der DORA-Prüfpflichten für Wertpapierinstitute, einschließlich Kryptoverwahrung.
  • § 34f Abs. 5 GewO: Übertragung der Überwachungsaufgaben auf die Industrie- und Handelskammern für nicht BaFin-regulierte Institute.
  • § 4 Abs. 5 ZAG: Verpflichtung von Zahlungs- und E-Geld-Instituten, die Vorgaben der DORA in den Bereichen IKT-Risikomanagement, Meldepflichten und Drittparteienmanagement umzusetzen, einschließlich Übergangsregelungen für kleinere Institute.

Fazit

Das FinmaDiG sorgt für eine präzise und praktikable Umsetzung der DORA-Verordnung in Deutschland. Es passt die Prüfpflichten an die Größe und Komplexität der Institute an, um deren Belastung zu minimieren und gleichzeitig die digitale Resilienz des Finanzsektors zu stärken. Kleinere Institute wie Leasing- und Factoring-Unternehmen profitieren von längeren Fristen und reduzierten Anforderungen, während Banken und systemrelevante Institute umfassendere Prüfpflichten erfüllen müssen.

Mit der schrittweisen Einführung können alle betroffenen Unternehmen eine nachhaltige Umsetzung sicherstellen.