Nach dem aktuell veröffentlichten BaFin-Jahresbericht 2025 waren in 2024 die Cyber-bedrohungen lt. BSI so hoch wie nie zuvor, da die zunehmende Digitalisierung/ Vernetzung aller Systeme den Cyber-Kriminellen immer neue Angriffspunkte bieten. Die Folgen: von finanziellen Verlusten, Reputationsschäden bis hin zu systemischen Krisen – aktuelle Projekte:
Gesellschaften:
- International tätige Auslandsbank führt Clean-Up durch
DORA-typische Schwachpunkte und Handlungsfelder (unvollständige, exemplarische Auswahl):
| DORA | Typische Schwächen | To-Do |
| DORA-SfO | – DORA-Projekt läuft immer noch – bislang keine vollständige Umsetzung (letzte Deadline war der 17.01.2025) – Keine/ unzureichende Berücksichtigung der BaFin-Dokumentationsanforderungen an Finanzunternehmen gemäß DORA (veröffentlicht am 17.12.2024) – Teils fehlende Strategien (DOR-Strategie, Kommunikationsstrategie für IKT-bezogene Vorfälle, IKT-Drittparteienstrategie) – Wichtige Lücken in der DORA-SfO wie z.B. zum DORA-Jahresbericht gem. Art. 27 (1) RTS RMF – Fehlender „Audit-Trail“, d.h. kein vollständiger Nachweis für DORA-Umsetzung – in der Praxis reine Bruchstücke – Bisherige DORA-Projektplanung ist zum vollständigen Nachweis der Umsetzung unbrauchbar – Unzureichende Vernetzung der Regelungen (DORA-Funktionsweisen/ Schnittstellen) – KI-Nutzung fehlt im Rahmen der DORA-Umsetzung – damit auch die notwendige SfO (bei Kredit- und Finanzinstituten erforderlich nach § 25 (a) KWG (fehlende KI-Strategie, KI-bezogene Informations- und Sicherheitsleitlinien/ -richtlinien, Arbeitsanweisungen, Hinweise zur Einhaltung des Datenschutzes etc.)) | – Systematische Schwachstellenanalyse/ -aufnahme DORA-bezogener Prüfungshinweise durch Interne Revision/ Jahresabschlussprüfer/ Sonderprüfer – Entwicklung effektiver, zielorientierter und pragmatischer Lösungsansätze |
| DORA-Trainings/ Sensibilisierung gem. Art. 13 DORA-Basisverordnung | – Bislang zu geringe Trainings-/ Sensibilisierungen (Nachweise fehlen zum Teil) – Keine/ unzureichende Trainings- und Schulungsveranstaltungen für Drittparteien gem. DORA- Basisverordnung Art. 30 Abs. 2 (i) – Bislang nur Teilnahme an Informationsveranstaltungen zum Überblick/ fehlende/ unzureichende Umsetzungsrelevanz – Fehlende/ Unzureichende Programme zur Sensibilisierung für IKT-Sicherheit und Schulungen zur digitalen operationalen Resilienz, die im Rahmen ihrer Programme für die Mitarbeiterschulung obligatorisch sind – Umfang: „Diese Programme und Schulungen gelten für alle Beschäftigten und die Geschäftsleitung und sind so komplex, dass sie deren jeweiligem Aufgabenbereich angemessen sind“ | – Systematische Schwachstellenanalyse/ -aufnahme DORA-bezogener Prüfungshinweise durch Interne Revision/ Jahresabschlussprüfer/ Sonderprüfer – Entwicklung effektiver, zielorientierter und pragmatischer Lösungsansätze |
| IKT-Vorfälle/ Lernprozesse und Weiterentwicklung gem. Art. 13 DORA-Basisverordnung | – Fehlende/ unzureichend abgeleitete „Lessons-Learned“ aus DORA-bezogenen Meldungen wie: – Erste Meldungen nicht rechtzeitig erstellt (z.B. Einhaltung der 24 Std.-Frist bei Erstmeldung) – Fehlende Analysebogen bzgl. Ursachenanalyse und Verbesserung des IKT-Risikomanagements – Wichtig: fehlende/ nicht dokumentierte Neubewertung/ Risikoeinschätzung der betroffenen IKT-Assets (Informationsverbund) – Unzureichend trainiertes und vorbereitetes Personal in den DORA-relevanten Schnittstellen für IKT-Vorfälle (Krisenteam, IKT-Geschäftsfortführung, IKT-Kommunikationsprozesse) – Erkenntnisse aus Pen-Tests sind zu berücksichtigen – Fehlender Einsatz einer effektiven „Vorfallsmatrix“ zur Erkennung meldepflichtiger Vorgänge incl. der relevanten Wesentlichkeitsschwellen – Nur zwei Personen sind im MVP-Portal der BaFin für die Erstellung von Meldungen registriert – bei Urlaub und gleichzeitigem Ausfall der Stellvertretung ist das Institut nicht „meldefähig“ und riskiert „Bußgelder“ bzw. Sonderprüfungen durch die Aufsicht | Systematische Schwachstellenanalyse/ -aufnahme DORA-bezogener Prüfungshinweise durch Interne Revision/ Jahresabschlussprüfer/ Sonderprüfer – Entwicklung effektiver, zielorientierter und pragmatischer Lösungsansätze |
| DORA-Anpassung der Mindestvertragsinhalte bei IKT-Drittparteien | – Die Verträge wurden bisher nicht (vollständig) angepasst – Dadurch ist die Rechtsposition des Instituts nicht optimal | – Systematische Schwachstellenanalyse/ -aufnahme DORA-bezogener Prüfungshinweise durch Interne Revision/ Jahresabschlussprüfer/ Sonderprüfer – Entwicklung effektiver, zielorientierter und pragmatischer Lösungsansätze |
| IKT-Risikoanalysen | – Die Risikoanalysen der IKT-Drittparteien incl. kritisch/ wichtiger Funktionen sind noch nicht final überarbeitet worden | – Systematische Schwachstellenanalyse / -aufnahme DORA-bezogener Prüfungshinweise durch Interne Revision/ Jahresabschlussprüfer/ Sonderprüfer – Entwicklung effektiver, zielorientierter und pragmatischer Lösungsansätze |
Seminare zum Umsetzungsgebiet
DORA – Prüfung IKT-Drittparteienmanagement durch die Interne Revision
DORA und KI Schnittmengen und Umsetzungsbeispiele
DORA – Spezialanforderungen – Management / Überwachung IKT Drittparteienrisiko
DORA – Spezialanforderungen – IKT-Risikomanagement
DORA – Meldung IKT-bezogener Vorfälle sowie möglicher Cyberbedrohungen sowie die Kriterien hierzu
Zertifizierungen zum Umsetzungsgebiet
Zertifikatslehrgang „IKT-Manager/-in Digital Operational Resilence Act (DORA)“