Eine am 21. August 2025 erschienene Aufsichtsmitteilung der BaFin enthält auf 30 Seiten Hinweise über die Anwendung des „vereinfachten IKT-Risikomanagementrahmens“ gem. Artikel 16 DORA. Einrichtungen der betrieblichen Altersversorgung (EbAV) können diese Vereinfachungen nutzen, wenn sie „klein“ im Sinne von Art. 3 Abs. 1 Nr. 53 in Verbindung mit Art. 2 Abs. 3 Buchst. c der DORA-VO sind, also zwischen 15 und 99 Versorgungsberechtigte haben. Ausweislich der BaFin-Erstversicherungsstatistik von 2023 trifft dies aktuell auf fünf Pensionskassen und einen Pensionsfonds zu.

Auch auf Ebene ihrer Fachgremien sucht die BaFin den Dialog mit den regulierten Finanzunternehmen und EbAV zu Praxisfragen, die sich aus der DORA-Verordnung ergeben. Im Sommer 2025 wurden mehrere thematische Arbeitsgruppen unterhalb des „Fachgremiums IKT“ eingerichtet, u.a. zu Fragen der Proportionalität, der Führung des IKT-Informationsregisters und des Drittparteien-Risikomanagements. Für die aba arbeiten drei EbAV-Vertreter als Mitglieder diesen Arbeitsgruppen mit (zu den Themen Proportionalität / regulatorische Erleichterungen, Informationsregister / Prozesserleichterungen und IKT-Informationsregister).

Außerdem stehen Konkretisierungen zur Überprüfung der DORA-Umsetzung im Rahmen der Abschlussprüfung bevor. Durch das Finanzmarktdigitalisierungsgesetz wurden die Pflichten des Abschlussprüfers in § 35 Abs. 1 Nr. 10 VAG um eine Überprüfung aller materiellen DORA-Anforderungen erweitert. Im August 2025 hat die BaFin hierzu einen Entwurf einer Änderungsverordnung zur Prüfungsberichteverordnung (PrüfV) zur Konsultation gestellt. Darin werden die erweiterten Prüferpflichten in einem neuen §40b PrüfV-E konkretisiert. In ihrer Stellungnahme hat die aba Änderungen vorgeschlagen, die auf eine stärkere Berücksichtigung von Proportionalität und Wesentlichkeit der Prüfungsgegenstände abzielen. (Die Veröffentlichung der Stellungnahmen durch die BaFin auf der vorstehend verlinkten Internetseite wurde von der BaFin angekündigt, ist aber noch nicht erfolgt)

Ebenfalls im August 2025 hat das Institut der Wirtschaftsprüfer seinen Entwurf eines Prüfungsstandards  IDW EPS 528 (08.2025) veröffentlicht und bis 31. Oktober 2025 zur Konsultation veröffentlicht. Auch hierzu wird die aba eine Stellungnahme abgeben.

Veranstaltungshinweis: Mit dem Ziel, „über Entwicklungen und Erkenntnisse aus dem ersten Jahr DORA“ zu informieren, führt die BaFin am 4. Dezember 2025 eine digitale Veranstaltung durch, die sich an  an IKT-Führungskräfte und IKT-Expertinnen und Experten der beaufsichtigten Unternehmen aus dem gesamten Finanzsektor sowie deren IT-Dienstleister richtet. Die Zahl der verfügbaren Plätze ist beschränkt. Anmeldungen sind noch bis 8. Oktober über die hier verlinkte SpeichernVeranstaltungsseite möglich.