Die BaFin begleitet die Vorbereitungen auf die Anwendung der DORA-Verordnung seit mehreren Monaten mit Veranstaltungen und einer eigenen Themenseite auf der Homepage.

Nach mehreren DORA-bezogenen Vorträgen im Rahmen der BaFin Tech 2023 am 19.und 20. September 2023 (Programm und Dokumentation hier abrufbar) fand am 5. Dezember 2023 eine ausschließlich der DORA gewidmete Informationsveranstaltung statt. Auch zu dieser Veranstaltung sind die Präsentationen auf der Veranstaltungsseite abrufbar.

Behandelt wurden unter anderem folgende Themen: IKT-Risikomanagementrahmenwerk, Drittparteirisikomanagement, TLPT (Penetrationstests) und Incident-Meldewesen. In den Folien wird auch herausgearbeitet, in welchen Punkten bestehende Anforderungen aus BaFin-Rundschreiben (zusammenfassend als „xAIT“ bezeichnet) die Anforderungen durch die DORA-Verordnung bereits abdecken und an welcher Stelle zusätzliche Anforderungen zu erfüllen sind.

Für das erste Quartal 2024 wird außerdem die Veröffentlichung aggregierter Ergebnisse einer Auswirkungsanalyse zur DORA-Verordnung erwartet. Diese wurde im zweiten Halbjahr 2023 durch BaFin und Bundesbank unter Beteiligung von Finanzunternehmen und ihren Verbänden durchgeführt. Die aba und mehrere Versorgungträger der zweiten Säule waren hierbei einbezogen. Auch über die Zukunft der BaFin-Rundschreiben BAIT, VAIT, KAIT und ZAIT wird im Laufe des Jahres 2024 eine Entscheidung erwartet, also über die Frage, ob und in welcher Form nach Januar 2025 noch Raum und Bedarf für die Ausformulierung aufsichtsrechtliche Erwartungen zur IT-Sicherheit durch die BaFin bestehen.