Die Umsetzungsfrist der seit 2023 gültigen DORA, einer Verordnung der EU, endet Anfang 2025. Bis dahin müssen Unternehmen im Finanzsektor die Anforderungen der EU zur Stärkung der digitalen operationalen Resilienz erfüllen. Die EU-Kommission will damit einen Rahmen für ein Risikomanagement für Cybersicherheit sowie Informations- und Kommunikationstechnik (IKT) auf den Finanzmärkten schaffen.

Bis zum Ablauf der Umsetzungsfrist werden diese in weiteren EU-Rechtsakten konkretisiert. Die europäischen Aufsichtsbehörden haben kürzlich die ersten Entwürfe veröffentlicht. Dabei handelt es sich unter anderem um Vorschläge zum IKT-Risikomanagement-Rahmen.

„Die Vorschläge der EU-Behörden sind ein Bürokratiemonster, da sie für die nicht kritische IKT-Struktur der Fondsgesellschaften zu einem unverhältnismäßig hohen Umsetzungs- und Überwachungsaufwand führen würden“, sagt Peggy Steffen, Leiterin Risikomanagement beim Fondsverband BVI. Vor allem sei es nicht zielführend, die Anforderungen, die die EBA für Banken entwickelt habe, eins zu eins auf alle Finanzunternehmen zu übertragen. „Vielmehr sollte sich der in der DORA-Verordnung festgelegte Proportionalitätsgrundsatz auch in den Level-2-Maßnahmen wiederfinden.“