DORA ist eine EU-Verordnung, die darauf abzielt, die digitale operationale Resilienz im gesamten Finanzsektor der EU zu stärken. Sie gilt unmittelbar und verbindlich für eine Vielzahl von Unternehmen, darunter:
DORA ist also der neue Rechtsrahmen, wenn es um Informationssicherheit, IKT-Risikomanagement, Auslagerungen und IT-Notfallmanagement geht.
Was bedeutet das für die BAIT?
Die BAIT sind für Institute, die unter DORA fallen, nicht mehr anwendbar. Lediglich Leasing- und Factoringgesellschaften, die nicht direkt von DORA erfasst werden, müssen die BAIT weiterhin anwenden – aber auch nur noch bis Ende 2026. Dann treten auch für sie DORA oder darauf abgestimmte Anforderungen in Kraft.
Das heißt für Dich konkret:
-
DORA ersetzt BAIT vollständig, wenn Du ein DORA-pflichtiges Institut bist.
-
BAIT bleibt nur übergangsweise relevant – und nur für Institute außerhalb des DORA-Anwendungsbereichs.
Welche Inhalte der BAIT findest Du auch in DORA wieder?
Obwohl DORA ein eigenständiger Rechtsrahmen ist, sind viele Anforderungen inhaltlich deckungsgleich oder sehr ähnlich zu den BAIT. Hier eine Gegenüberstellung:
BAIT-Thema |
DORA-Anforderung (Artikel) |
IT-Governance |
Artikel 5 – Strategische Steuerung durch die Geschäftsleitung |
Informationsrisikomanagement |
Artikel 6 – IKT-Risikomanagement |
Informationssicherheitsmanagement |
Artikel 8 – Schutzmaßnahmen und Sicherheitspolitik |
Benutzerberechtigungen |
Artikel 6 – Zugriffskontrollen |
IT-Betrieb und Infrastruktur |
Artikel 11 – IT-Systemstabilität und Überwachung |
Auslagerungen (inkl. Cloud) |
Artikel 28 ff. – Drittparteienrisikomanagement |
IT-Notfallmanagement |
Artikel 10 – Business Continuity und Response-Pläne |
Operative Sicherheit / Tests |
Artikel 21 – Resilienz-Tests & Penetrationstests |
Schnittstelle zu Zahlungsdienstnutzern |
Artikel 16 – Spezifische Anforderungen an Zahlungsinstitute |
Kurz gesagt: DORA ist umfassender, strikter – aber viele Themen kennst Du bereits aus den BAIT.
Was ist neu mit DORA?
Trotz vieler Überschneidungen bringt DORA neue Pflichten mit sich, die Du unbedingt kennen solltest:
1. Meldepflichten bei IKT-Vorfällen
DORA verlangt, dass bedeutende IKT-Vorfälle innerhalb von 4 Stunden an die zuständige Behörde gemeldet werden – also keine freiwillige Selbstanzeige mehr, sondern eine verpflichtende Meldung.
Du musst also:
-
Prozesse zur Erkennung, Bewertung und Kategorisierung von IKT-Vorfällen etablieren.
-
Ein Meldesystem aufbauen, das den DORA-Zeitvorgaben gerecht wird.
2. Regelmäßige Resilienztests
Neben klassischen Penetrationstests verlangt DORA regelmäßige Tests zur digitalen Resilienz. Dazu gehören:
-
Threat-Led Penetration Testing (TLPT) für kritische Institute
-
Szenarien-Übungen und Red Teaming
-
Technische, organisatorische und prozessuale Tests Deiner Resilienzmaßnahmen
Hier reicht es also nicht mehr, einmal im Jahr ein System zu prüfen – Testpläne müssen systematisch und regelmäßig durchgeführt werden.
3. Drittparteienmanagement wird Pflicht
DORA nimmt Dich beim IKT-Drittparteienrisikomanagement deutlich stärker in die Pflicht:
-
Du musst alle IKT-Dienstleister registrieren, bewerten und überwachen.
-
IKT-Risikobewertungen sind für jeden Drittanbieter zu dokumentieren.
-
Bei kritischen Dienstleistungen gelten erhöhte Anforderungen, inklusive Exit-Strategien und Vertragsstandards.
Das betrifft besonders:
-
Cloud-Anbieter
-
Infrastruktur-Dienstleister
-
Softwareanbieter (SaaS, PaaS, IaaS)
4. DORA-Register und Oversight Framework
Ab 2025 müssen Institute ihre kritischen IKT-Dienstleister in einem EU-weiten Register führen. Für sehr große Dienstleister wird zudem eine direkte EU-Aufsicht eingeführt.
Welche BAIT-Richtlinien kannst Du weiterhin nutzen?
Auch wenn DORA jetzt gilt, kannst Du bestehende Dokumentationen und Prozesse aus der BAIT-Zeit weiterhin nutzen – wenn sie DORA-konform sind.
Hier ein paar Tipps:
-
Richtlinien für ISM/IRM kannst Du meist übernehmen, musst sie aber auf DORA-Terminologie und -Artikel referenzieren.
-
Notfallpläne aus AT7.3 MaRisk + BAIT können als Grundlage dienen – aber Resilienz-Tests müssen ergänzt werden.
-
Protokollierungen, Logging und Monitoring musst Du ggf. erweitern, um den DORA-Anforderungen zu Echtzeit-Erkennung und Analyse gerecht zu werden.
-
Verantwortlichkeiten (Accountability) solltest Du überarbeiten: DORA verlangt klare Zuständigkeiten, Eskalationsstufen und Kontrollpflichten.
Praxis-Tipp: So bereitest Du Dich vor
-
Gap-Analyse machen: Welche BAIT-Regelungen hast Du bereits umgesetzt – und welche DORA-Vorgaben fehlen noch?
-
Richtlinien überarbeiten: Passe vorhandene Policies an DORA-Strukturen an, insbesondere hinsichtlich Meldepflichten, Tests und Drittparteien.
-
Verantwortlichkeiten klären: Erstelle ein DORA-Rollenmodell mit klarer Zuweisung – Geschäftsführung, ISB, IKT-Risikomanagement, Fachbereiche.
-
Mitarbeiter schulen: Sensibilisiere Teams für neue Meldewege, Testszenarien und Bedrohungslagen – am besten durch ein E-Learning.
-
Verträge prüfen: Geh alle IKT-Dienstleistungsverträge durch – erfüllen sie DORA-Vorgaben wie Exit-Klauseln, Auditrechte, Leistungsdefinitionen?
Fazit: DORA ist mehr als nur „neue BAIT“
DORA geht deutlich über die BAIT hinaus – insbesondere durch den europaweiten Rechtsrahmen, die verpflichtenden Meldungen, die Testverfahren und das Drittparteien-Register. Gleichzeitig sind viele der bisherigen BAIT-Strukturen eine solide Grundlage, auf der Du aufbauen kannst.
Wenn Du die Übergangszeit bis zur vollständigen DORA-Konformität jetzt nutzt, sicherst Du Deinem Unternehmen nicht nur Rechtssicherheit, sondern auch eine nachhaltig robuste IT- und Sicherheitsarchitektur.
Noch Fragen oder brauchst Du Hilfe bei der DORA-Umsetzung?
S+P unterstützt Dich gern mit:
Meld Dich einfach – S+P hilft Dir dabei, DORA nicht nur zu erfüllen, sondern optimal umzusetzen. 💡