Durch den Einsatz von Informations- und Kommunikationstechnologie ( IKT ) ergeben sich Risiken. Das IKT -Risikomanagementrahmenwerk ermöglicht Finanzunternehmen, diese Risiken systematisch zu identifizieren, zu bewerten und zu steuern. Das ist übrigens auch die Voraussetzung dafür, dass die Schutz- und Präventionsmaßnahmen, die anschließend umgesetzt werden, gut ineinandergreifen, angemessen und wirksam sind. Ein Ziel von DORA ist es, dass Finanzunternehmen die vollständige Kontrolle über IKT -Risiken behalten. Dazu werden die Anforderungen an das IKT -Risikomanagement in Europa harmonisiert. Die Unternehmen sollen ein umfangreiches IKT -Risikomanagement einführen. Darin enthalten sind viele Aspekte, die bereits aus unseren Rundschreiben, also den BAIT, VAIT, KAIT und ZAIT, bekannt sein dürften. Es gibt große Schnittmengen mit dem in DORA beschriebenen IKT -Risikomanagementrahmenwerk. Unternehmen, die unsere Rundschreiben bereits vollständig umgesetzt haben, sind daher meistens gut aufgestellt. Wir haben gemeinsam mit der Deutschen Bundesbank und der Industrie analysiert, wo die wichtigsten Gemeinsamkeiten und Unterschiede liegen. Die Ergebnisse haben wir zusammengetragen. Sie werden demnächst veröffentlicht. Aus den Unterschieden ergibt sich der Handlungsbedarf für die Unternehmen des Finanzmarkts. Ein gemeinsamer Nenner ist die Proportionalität. Das war übrigens in den Verhandlungen mit den europäischen und den beteiligten nationalen Aufsichtsbehörden immer ein wichtiger Punkt für uns. Wir wollen Doppelregulierung vermeiden. Deshalb werden wir diese Rundschreiben aufheben. Das IKT -Risikomanagementrahmenwerk schreibt vor, dass Finanzunternehmen bestimmte Anforderungen erfüllen müssen, aber nicht unbedingt, wie sie diese konkret umsetzen müssen. Darin liegt auch eine Chance für die Unternehmen: Sie können entscheiden, wie sie ihr IKT -Risikomanagement ausgestalten, was am besten zu ihrer Organisation passt. Proportionalität ist übrigens keine Einbahnstraße: Die Aufsicht kann zum Beispiel bei Prüfungen entscheiden, welche Maßnahmen sie unter diesem Gesichtspunkt für angemessen umgesetzt hält. © BaFin/Armin Höhner Stimmt: Für manche Unternehmen des Finanzmarkts wird es ein vereinfachtes Risikomanagementrahmenwerk geben. Auch das ist Ausdruck der Proportionalität unter DORA . Dazu zählen zum Beispiel kleine und so genannte nicht-verflochtene Wertpapier- und Finanzdienstleistungsinstitute. Das sind insgesamt circa 1.200 Finanzunternehmen, die unter das vereinfachte IKT -Risikomanagementrahmenwerk des Artikel 16 DORA fallen. Wie schon erwähnt: Der Grundsatz der Verhältnismäßigkeit ist für DORA wesentlich. Deswegen gibt es Ausnahmen für Kleinstunternehmen und einen vereinfachten IKT -Risikomanagementrahmen für bestimmte Finanzunternehmen. Artikel 16 DORA ist in seiner Struktur ähnlich dem allgemeinen Risikomanagementrahmenwerk aufgebaut, enthält aber deutlich weniger Anforderungen. Diese Minimalanforderungen sollen den ordnungsgemäßen Betrieb eines IKT -Risikomanagements gewährleisten. „Abstriche“ würde ich nicht sagen. Es stellt eher grundlegende, operative Anforderungen an Prozesse, Management und Governance. Anforderungen aus den oberen Ebenen einer Governance-Pyramide, wie etwa Strategien, Leitlinien und Richtlinien sowie Prozesse, gibt es nur für bestimmte Bereiche – etwa für die Informationssicherheit. Im Mittelpunkt des vereinfachten Rahmenwerks stehen die technische Cyber- und IT -Sicherheit bei den IT -Systemen und Daten. Ganz wichtig: Warten Sie nicht, sondern machen Sie sich jetzt startklar für DORA . Das IKT -Risikomanagementrahmenwerk schreibt vor, dass Sie bestimmte Maßnahmen ergreifen, aber nicht unbedingt, wie Sie diese konkret umsetzen sollen. Darin liegt auch eine Chance für die Unternehmen. An dieser Maßgabe orientieren wir uns auch bei künftigen Aufsichtshandlungen. Es klingt vielleicht trivial, aber: Für die Umsetzung des IKT -Risikomanagementrahmenwerks könnte es zum Beispiel hilfreich sein, sich die Überschriften und Stichworte in den Artikeln von DORA und insbesondere des hierzu gehörenden Entwurfs des Regulatory Technical Standards anzuschauen und sich zu überlegen, welche Technologien und Prozesse dahinterstecken könnten. Damit erhält man erste Anhaltspunkte zu den Implementierungsanforderungen. Dann ist man schon auf einem guten Weg.