normal keine LG

DORA-Verordnung: Kein zeitlicher Aufschub trotz noch fehlender Level II-Regulierungen

Details zu Außerkrafttreten der xAIT-Rundscheiben seit Anfang Januar 2025 bekannt

16.01.2025
@anayberkut, istockphoto.com, #1337837834
@anayberkut, istockphoto.com, #1337837834
Aktualisierte Fassung eines am 20. Dezember 2024 erschienen Beitrags.

Auch nach der Veröffentlichung des technischen Durchführungsstandards zum Informationsregister liegen andere Teile der Level II-Regulierung zur DORA-Verordnung (EU) 2022/2554 wenige Wochen vor dem Stichtag für die Anwendung (17. Januar 2025) weiterhin nicht vor. Finanzunternehmen müssen ihre Vorbereitungen auf Basis der im Laufe des Jahres 2024 veröffentlichten finalen Entwürfe der Europäischen Aufsichtsbehörden (ESA), deren Billigung durch die Kommission noch aussteht, betreiben. Ein Beispiel für einen fehlenden Level II-Akt ist der mit hohem Dokumentierungs- und Berichtsaufwand verbundene technische Durchführungsstandard über die Untervergabe von IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen (Art. 30 Abs. 5). Ein verlässlicher Überblick über den aktuellen Stand findet sich u.a. auf der regelmäßig aktualisierten DORA-Themenseite der BaFin.

Die Rechtsunsicherheit durch das Fehlen finaler Regulierungstexte stellt Finanzunternehmen vor erhebliche Schwierigkeiten bei der Vorbereitung auf die Anwendung der DORA-Verordnung. Der europäische Verband der betrieblichen Altersversorgung PensionsEurope und der europäische Verband der Paritätischen Einrichtungen des Sozialschutzes (AEIP) haben daher (mit Unterstützung der aba) im November 2024 in einem Brief an die ESA angeregt, dass für diejenigen DORA-Verordnungen, zu denen finale Level II-Regulierungen noch fehlen, ein sog. „No Action Letter“ gemäß Artikel 9a der europäischen Aufsichtsverordnungen ergeht (hier verlinkt: Art. 9a EIOPA-VO 1094/2010). Dabei hätte es sich um eine Stellungnahme der ESA mit der Empfehlung an die nationalen Aufsichtsbehörden gehandelt, aktive Maßnahmen zur Durchsetzung von Anforderungen der DORA-Verordnung zeitweise auszusetzen. Per Antwortbrief hat mittlerweile aber die EIOPA-Vorsitzende Petra Hielkema ein solches Vorgehen ausgeschlossen. Hinsichtlich der Herausforderungen speziell für EbAV wurde auch auf zeitliche Spielräume in den ersten Monaten ab dem 17. Januar 2025 hingewiesen, wie etwa bei den Informationsregistern (näher behandelt in diesem Artikel), die erst Ende April 2025 bei den ESA vorliegen müssen.

Die BaFin hat im Vorfeld des näher rückenden Anwendungstermins der DORA-Verordnung ihr oben genanntes Informationsangebot weiter ausgebaut. Am 17. Dezember 2024 wurde eine grafische Darstellung aller im Rahmen der DORA-Anwendung dokumentationspflichtigen Unterlagen veröffentlicht, gegliedert nach Artikeln der Verordnung und Dokumentarten. Die Darstellung macht die umfangreichen und detaillierten Anforderungen an Finanzunternehmen auch optisch gut sichtbar. Sie umfasst im Einzelnen vier „Strategien“, fünf „Leitlinien“, 16 „Richtlinien“ und 37 „weitere Dokumente“ (Verfahrensbeschreibungen, Pläne sowie Inventare und Register, darunter auch das vorstehend behandelte Informationsregister).

Aktualisierung am 16. Januar 2025: In Bezug auf die BaFin-Rundschreiben über Aufsichtliche Anforderungen an die IT hat die BaFin am 10. Januar 2025 in Form eines Informationsschreibens an die die Verbände der beaufsichtigten Finanzunternehmen folgenden Zeitplan für deren  Außerkrafttreten. Mit Ablauf des 16. Januar 2025 treten die versicherungs-, kapitalverwaltungs- und die zahlungsdiensteaufsichtlichen Anforderungen (VAIT-, KAIT- und ZAIT-Rundschreiben) außer Kraft. Für die bankenaufischtllichen Anforderungen (BAIT-Rundschreiben) sieht die BaFin ein stufenweises Außerkrafttreten vor.

Für beaufsichtigte Finanzunternehmen, die nicht unter den Anwendungsbereich der DORA fallen, trifft das Informationsschreiben lediglich die Feststellung, dass diese "auch verpflichtet [sind], Maßnahmen zum angemessenen Umgang mit IKT-/ Cyberrisiken im Rahmen der ordnungsgemäßen Geschäftsorganisation zu treffen.“

Entwicklungen wie die Bekanntgabe des 11. April 2025 als „Abgabedatum“ für das Informationsregister oder die Gewissheit über das Außerkrafttreten des VAIT-Rundschreibens sind doch schon erwähnenswert.

EIOPA hat am 20. Dezember 2024 zwei für den Solvency II-Bereich geltende Leitlinien, u.a. zu Cloud-Auslagerungen, außer Kraft gesetzt, mit dem Ziel, überschneidende Regulierungen zu vermeiden.

Veranstaltungshinweis: Die aba bietet zur Weiterbildung v.a. für Aufsichtsräte in EbAV am 25. Februar 2025 und am 12. März 2025  das digitale Seminar „Digitale operationelle Resilienz bei EbAV“ an.