BaFin hebt Rundschreiben wegen DORA auf

Mit DORA, der Verordnung (EU) 2022/2554 über die digitale operationale Resilienz im Finanzsektor (Digital Operational Resilience Act), hat die Europäische Union eine finanzsektorweite Regulierung für die Themen Cybersicherheit, IKT-Risiken und digitale operationale Resilienz geschaffen. Sie wird seit dem 17. Januar 2025 angewendet. Wie die Finanzaufsicht BaFin mitteilt, hebt sie ihre Rundschreiben auf, um Doppelregulierung zu vermeiden.

DORA trage wesentlich dazu bei, den europäischen Finanzmarkt gegenüber Cyberrisiken und Vorfällen der Informations- und Kommunikationstechnologie (IKT) zu stärken, erläutert die BaFin in einer Meldung von Ende Januar. Die aufsichtlichen Anforderungen an die IT würden im Wesentlichen von der EU-Verordnung abgedeckt. Die BaFin hob daher folgende Rundschreiben mit Ablauf des 16. Januar 2025 auf:

– Die Kapitalverwaltungsaufsichtlichen Anforderungen an die IT (KAIT),

– die Versicherungsaufsichtlichen Anforderungen an die IT (VAIT) und

– die Zahlungsdiensteaufsichtlichen Anforderungen an die IT von Zahlungs- und E-Geld-Instituten (ZAIT).

Die Bankaufsichtlichen Anforderungen an die IT (BAIT) hebt die BaFin schrittweise auf: Mit Ablauf des 16. Januar 2025 werden Institute, die ab dem 17. Januar 2025 ein Risikomanagement für die Informations- und Kommunikationstechnologie (IKT) nach Artikel 5 bis 15 oder Artikel 16 DORA betreiben müssen, aus dem Anwenderkreis der BAIT ausgenommen. Zudem hebt die BaFin Kapitel 11 der BAIT auf. Die aktualisierten BAIT sind auf der Website der BaFin zu finden.

Durch das Finanzmarktdigitalisierungsgesetz (FinmadiG) wurde § 1a Absatz 2 Kreditwesengesetz neu gefasst, wonach ab dem 1. Januar 2027 weitere Institute DORA anwenden müssen. Mit Ablauf des 31. Dezember 2026 werden die BAIT daher vollständig aufgehoben.

chk