Das Forum für das institutionelle deutsche Pensionswesen

Digital Operational Resilience Act:

DORA online

Mit dem Regelwerk über die digitale operationale Resilienz im Finanzsektor stellt der europäische Gesetzgeber IT-Anforderungen auch an EbAV und deren IT-Dienstleister, die über die bestehenden VAIT sichtlich hinausgehen. Mahnungen vor einem Überschießen gibt es bereits. Derweil teilt die Aufsicht mehr Informationen zu dem Regelwerk.

So gut wie alle beaufsichtigten Institute und Unternehmen des europäischen Finanzsektors fallen unter DORA. Außerdem führt DORA verschiedene Anforderungen an die Institute und Unternehmen in puncto Cybersicherheit, IKT-Risiken und digitale operationale Resilienz zusammen.“

Das schreibt die BaFin anlässlich der jüngst erfolgten Online-Schaltung ihrer neuen Informationsseite der Verordnung. Unter www.bafin.de/dora finden sich zahlreiche Basis-Informationen rund um diese Regulierung. Die Finanzaufsicht kündigt an, die neue Plattform laufend aktualisieren.

Die BaFin in Frankfurt am Main. Foto: Kai Hartmann.

Inhaltliche Schwerpunkte der Unterseite sind derzeit die rechtlichen Grundlagen der Verordnung, ihr Regelungsbereich und aktuelle Konsultationen; außerdem finden sich Informationen über die neuen Aufgaben der BaFin im DORA-Kontext, einschließlich FAQ.

Mit DORA, der Verordnung (EU) 2022/2554 über die digitale operationale Resilienz im Finanzsektor (Digital Operational Resilience Act), hat die EU eine finanzsektorweite Regulierung rund um Cybersicherheit, IKT-Risiken und digitale operationale Resilienz geschaffen. „Diese Verordnung trägt wesentlich dazu bei, den europäischen Finanzmarkt gegenüber Cyberrisiken und Vorfällen der Informations- und Kommunikationstechnologe (IKT) zu stärken“, schreibt die Anstalt. Tausende Unternehmen des Finanzsektors müssen die EU-Verordnung DORA ab Januar 2025 anwenden. Auch zahlreiche weitere Unternehmen, etwa IT-Dienstleister, müssen verschiedene Vorgaben des Regelwerks beachten.

Weiter als VAIT

Frank Grund, BaFin. Foto: Frank Beer.

DORA ist anspruchsvoll. Schon früh zeichnete sich ab, dass das Regelwerk zu neuen und noch höheren Anforderungen als VAIT führen werde. „DORA et labora titelte LEITERbAV seinerzeit.

Jüngst erst hatte der kürzlich ausgeschiedene BaFin-Direktor Frank Grund in einer seiner letzten Auftritte die Prüfungen der IT-Standards in der Versicherungswirtschaft mit dem Attribut „ernüchternd“ belegt.

Im Pensionswesen fürchtet man derweil, dass über das Ziel hinausgeschossen werden könnte: Auf der aba-Tagung Aufsichtsrecht am 28. September 2023 in Bonn hatte Moderator und Bosch-Pensionschef Dirk Jargstorff gewarnt, dass eine undifferenzierte Übertragung hoher IT-Sicherheitsstandards aus der Finanzindustrie auf EbAV kontraproduktiv sei und unnötige Kosten verursache, die zu Lasten der Betriebsrenten gehen werden. Eine entsprechende Level-II-Regulierung zur IT-Verordnung DORA und eine den tatsächlichen Risiken angemessene Aufsichtspraxis seien daher unverzichtbar, so der stellv. aba-Vorsitzende weiter.

Dirk Jargstorff, Bosch.

Jargstorff wies darauf hin, dass die aufsichtlichen IT-Anforderungen durchaus dazu führten, dass potenzielle IT-Risiken in der bAV umfassend adressiert werden. Allerdings werde das eigentliche Problem der bAV – zu wenig Verbreitung – dadurch nicht gelöst. Im Gegenteil, durch den erhöhten Einsatz von Dienstleistern und den Ausbau interner Kapazitäten stiegen die Kosten weiter. Daher seien angemessene Anforderungen, die den Besonderheiten der EbAV Rechnung tragen, von zentraler Bedeutung. Eine gute prinzipienorientierte Regulierung solle das Ziel im Blick behalten und den Unternehmen Freiraum lassen, wie dieses erreicht wird.

Auch Jörg Paßmann, bAV-Chef der RWE in Essen und Leiter des aba-Fachausschusses Digitalisierung, warnte auf der aba-Tagung: „In den VAIT hat die Regulierung durch das Proportionalitätsprinzip die Besonderheiten der EbAV berücksichtigt bzw. den Raum gelassen, ihnen Rechnung zu tragen. Wir stehen jetzt kurz vor der Anwendung der europäischen DORA-Verordnung im Januar 2025, die noch durch weitere umfangreiche Level-II-Regulierungen – technische Regulierungs- und Durchführungsstandards – konkretisiert wird. Das so entstehende Regelwerk darf das in der DORA-Verordnung vorgesehene Proportionalitätsprinzip nicht durch ihre regelbasierten Anforderungen einschränken“. Standards aus der Finanzindustrie seien nicht ohne Unterschiede auf Altersversorgungseinrichtungen zu übertragen. Zu den zu berücksichtigenden Besonderheiten der EbAV zählt Paßmann u.a., dass sie ganz oder teilweise die IT-Infrastruktur des/der Trägerunternehmen nutzen, deren Standards regelmäßig hoch sind, sich aber von den Standards der Finanzindustrie unterscheiden.“

Jörg Paßmann, RWE.

Es gelte daher, Regulierungs- und Durchführungsstandards – wie in der DORA-VO dem Grunde nach angelegt – in Einklang mit dem Grundsatz der Verhältnismäßigkeit zu bringen. Paßmann betonte aber, dass höhere IT-Anforderungen für EbAV auch eine zusätzliche Chance bedeuten: Eine vorausschauende Investition in Sicherheit sei langfristig immer günstiger als der Schadensfall.

Angesichts der bereits im Sommer 2023 durchgeführten Konsultation der EU-Aufsichtsbehörden (ESA) und der noch zu erwartenden Konsultation zu weiteren ESA-Entwürfen bittet die aba die EU-Aufsichtsbehörden (unterstützt u.a. durch die BaFin), der EU-Kommission Entwürfe vorzulegen, die der Vielfalt der von DORA erfassten Unternehmen Rechnung tragen und u.a. für EbAV konkrete Möglichkeiten für eine proportionale Umsetzung vorsehen.

Diskriminierungsfreie Sprache auf LEITERbAV

LEITERbAV bemüht sich um diskriminierungsfreie Sprache (bspw. durch den grundsätzlichen Verzicht auf Anreden wie „Herr“ und „Frau“ auch in Interviews). Dies muss jedoch im Einklang stehen mit der pragmatischen Anforderung der Lesbarkeit als auch der Tradition der althergerbachten Sprache. Gegenwärtig zu beobachtende, oft auf Satzzeichen („Mitarbeiter:innen“) oder Partizipkonstrukionen („Mitarbeitende“) basierende Hilfskonstruktionen, die sämtlich nicht ausgereift erscheinen und dann meist auch nur teilweise durchgehalten werden („Arbeitgeber“), finden entsprechend auf LEITERbAV nicht statt. Grundsätzlich gilt, dass sich durch LEITERbAV alle Geschlechter gleichermaßen angesprochen fühlen sollen und der generische Maskulin aus pragmatischen Gründen genutzt wird, aber als geschlechterübergreifend verstanden werden soll. Auch hier folgt LEITERbAV also seiner übergeordneten Maxime „Form follows Function“, unter der LEITERbAV sein Layout, aber bspw. auch seine Interpunktion oder seinen Schreibstil (insb. „Stakkato“) pflegt. Denn „Form follows Function“ heißt auf Deutsch: "hässlich, aber funktioniert".

© Pascal Bazzazi – LEITERbAV – Die auf LEITERbAV veröffentlichten Inhalte und Werke unterliegen dem deutschen Urheberrecht. Keine Nutzung, Veränderung, Vervielfältigung oder Veröffentlichung (auch auszugsweise, auch in Pressespiegeln) außerhalb der Grenzen des Urheberrechts für eigene oder fremde Zwecke ohne vorherige schriftliche Genehmigung. Die Inhalte einschließlich der über Links gelieferten Inhalte stellen keinerlei Beratung dar, insbesondere keine Rechtsberatung, keine Steuerberatung und keine Anlageberatung. Alle Meinungsäußerungen geben ausschließlich die Meinung des verfassenden Redakteurs, freien Mitarbeiters oder externen Autors wieder.