Zu kleinteilig, zu bürokratisch und zu viel doppelte Arbeit – so kritisiert der Genossenschaftsverband Bayern (GVB) die neuen Vorgaben der EU-Regulierung Dora. In einem Erfahrungsbericht aus der bankwirtschaftlichen Praxis hat der Verband die größten Widrigkeiten in einem Positionspapier zusammengetragen und regt Lösungen an. „Wir wollen Dora nicht aufhalten, sondern praktikabel machen", sagte Verbandspräsident Stefan Müller der Börsen-Zeitung. Der GVB legt konkrete Vorschläge vor, wie sich Doppelarbeiten vermeiden und kleine Banken entlasten lassen. „Ohne Abstriche bei der Cybersicherheit“, betont Müller. „Das wäre echte Resilienz mit Augenmaß.“

Zwar plant die EU-Kommission eine Evaluierung der Dora-Verordnung, um Erfahrungen aufzugreifen, doch es müsste viel schneller gehen. Denn dies ist erst 2028 vorgesehen, kritisiert der GVB im Positionspapier. Die Probleme besonders durch die überproportionale Belastung der kleinen und mittleren Institute seien „schon heute deutlich erkennbar“.

Dora – der Digital Operational Resilience Act – soll die digitalen Systeme von Finanzinstituten widerstandsfähiger machen. Die unmittelbar wirkende EU-Verordnung trat im Januar 2025 in Kraft. Sie gilt für Banken, Versicherer, Wertpapierfirmen und andere Finanzinstitute. Europaweit sollen sie in gleichem Maße Störungen in der Informations- und Kommunikationstechnologie (IKT) wie Cyberangriffen oder Systemausfällen standhalten und darauf reagieren können. Die Verordnung wurde schon Anfang 2023 veröffentlicht. „Viele technische Vorgaben wurden erst kurz vor dem Start von Dora beschlossen“, konstatiert Müller. „Das hat Banken gezwungen, im Blindflug zu handeln. Wer Resilienz stärken will, darf sie nicht durch unrealistische Fristen und überhastete Umsetzungsvorgaben untergraben.“

Der GVB fordert deshalb mehr Zeit. Gerade bei kleinen Banken mit teilweise weniger als 100 Mitarbeitern bänden die kurzen Fristen erhebliche Personalkapazität. Der GVB vertritt die Interessen von rund 1.200 Unternehmen aus verschiedenen Branchen, darunter von 180 Volksbanken und Raiffeisenbanken.

Der Verband dringt auf Proportionalität. Kleine und mittlere Institute sollten laut Positionspapier von einer ununterbrochenen Meldepflicht befreit werden, wenn keine Gefahr für die Cybersicherheit des Finanzsystems besteht. „Dora ignoriert bislang die Realität des dezentralen Bankensektors – und gefährdet damit ausgerechnet jene Institute, die in den Regionen Stabilität sichern“, moniert Müller. Zu viele Vorfälle müssten dokumentiert und bewertet werden.

Für kleine Banken ist Müller zufolge eine 24/7-Meldepflicht schlicht unverhältnismäßig. „Ihre kritischen Systeme werden ohnehin von zentralen Verbunddienstleistern überwacht.“ Diese sind ihrerseits meldepflichtig. Für die Institute könnte damit ein vereinfachter IKT-Risikomanagementrahmen gelten. Der Verband regt zudem an, die Definition eines schwerwiegenden Vorfalls sowie die Wesentlichkeitsschwellen anzupassen. Sonst würden zu viele irrelevante Fälle gemeldet werden. Ändern müsste dies die EBA.

Sorgen macht dem GVB auch das Management des IKT-Drittparteienrisikos. Der Verband hinterfragt Inhalt, Regelungstiefe und Umfang des Informationsregisters. Mit eigener Risikoanalyse, dem Informationsregister, eigenen Anzeigepflichten und Mindestvertragsinhalten sehe Dora oftmals redundant Pflichten vor. Sofern IKT-Dienste im wesentlichen Umfang auslagert würden, müssten die Vorgaben doppelt erfüllt werden: nach Auslagerungsrecht und nach Dora. Der Verband dringt bis zur Harmonisierung beider Regelungskreise auf Aussetzung der Vorgaben für Auslagerungen.