Die BaFin hat ein erstes positives Fazit des seit dem 17. Januar 2025 wirksamen IT-Regulierungswerks Digital Operational Resilience Act (Dora) gezogen, sieht aber noch Luft nach oben. „Was wir nach einem Jahr Dora schon sagen können: Es gibt Verbesserungsbedarfe“, bekundete Nikolas Speer, Exekutivdirektor Bankenaufsicht, bei der virtuellen BaFin-Veranstaltung „IT-Aufsicht im Finanzsektor“ am Donnerstag.

Die EU-Verordnung Dora soll die IT- und Cybersicherheit und somit die Widerstandsfähigkeit unter anderem von Banken, Versicherungen, Kryptoverwahrern, Börsen und für den Finanzsektor wichtigen IT-Dienstleistern gegenüber technischen und menschlichen Pannen sowie Cyberangriffen stärken. Sie legt Anforderungen fest, wie Abwehrsysteme gegen Cyberattacken getestet werden und Notfallpläne zu erstellen sind. Dora harmonisiert zudem die Anforderungen an das IT-Risikomanagement sowie an die Überwachung kritischer IT-Drittdienstleister. Zudem strafft die Verordnung die Meldepflichten bei IT-Vorfällen.

„Dora ist wichtig“, sagte Jens Obermöller, BaFin-Abteilungsleiter Cyberrisiken und Technologie im Finanzsektor. Schließlich helfe die Verordnung den Instituten und den Aufsehern dabei, die Cyberrisiken zu managen: „Angesichts der Bedrohungslage im Finanzsektor ist dies dringend notwendig.“ Nach dem ersten Jahr, das einer „Ramp-up-Phase“ gleichkomme, geht er davon aus, dass die von der BaFin beaufsichtigten Unternehmen 2026 die Verordnung im Großen und Ganzen erfüllen werden. Das Jahr werde genutzt, um sich einen Überblick über den Reifegrad der Umsetzung von Dora zu verschaffen.