DDORA & IT-Sicherheit

9. MaRisk-Novelle und DORA: Digitale Resilienz wird Chefsache

9. MaRisk-Novelle und DORA: Digitale Resilienz wird Chefsache 9th MaRisk Amendment and DORA: Digital Resilience Becomes a Board-Level Responsibility
Photo: Sana – AI/Adobestock
0
Shares
0
0
0
0
0
0

Mit dem am 1. April 2026 zur Konsultation gestellten Entwurf der 9. MaRisk-Novelle[1] rückt die digitale operationale Resilienz (Verordnung (EU) 2022/2554 über die digitale operationale Resilienz im Finanzsektor – DORA) stärker in die MaRisk-Systematik ein.

Der Entwurf schafft jedoch kein nationales DORA-Ersatzregime. Er verzahnt vielmehr die unmittelbar geltenden europäischen DORA-Vorgaben mit dem bestehenden Rahmen für Geschäftsorganisation, Risikomanagement, Notfallplanung und Drittparteiensteuerung.

Damit setzt sich der bereits durch DORA angelegte Perspektivwechsel fort: IKT-Risiken sind nicht mehr nur ein technisches Thema der IT-Sicherheit. Sie werden zu einem Gegenstand der Gesamtbanksteuerung, der Geschäftsleitungsverantwortung und der institutsweiten Governance.

Von der IT‑Sicherheit zur digitalen Resilienz

DORA verpflichtet Institute[2], ihre Widerstandsfähigkeit gegenüber IKT‑Vorfällen ganzheitlich zu organisieren – von Governance und Risikomanagement über IKT‑Drittparteienrisiken bis hin zu Meldepflichten und Tests der digitalen operationalen Resilienz. Die 9. MaRisk‑Novelle integriert diese Vorgaben in die bestehende MaRisk‑Systematik, ohne ein paralleles „DORA‑Regelwerk“ aufzubauen.

IKT‑Risiken werden ausdrücklich als Bestandteil der operationellen Risiken verankert und müssen in der Risikoinventur systematisch berücksichtigt werden. Gleichzeitig wird die bisher eher technische Sicht auf IT‑Systeme um eine strategische Resilienz‑Perspektive erweitert. Digitale Resilienz wird damit zu einem Kernelement der Gesamt‑Governance: Strukturen, Prozesse und Entscheidungen sollen erkennbar zur Beherrschung IKT‑bezogener Risiken beitragen – und nicht nur regulatorische Mindestanforderungen erfüllen.

IKT‑ und DOR‑Strategie[3]: Verankerung auf höchster Ebene

Ein zentraler Anknüpfungspunkt ist die Neuregelung in AT 4.2. Die Geschäftsleitung muss eine mit der Geschäftsstrategie konsistente und nachhaltige IKT‑Strategie festlegen. Neu ist der ausdrückliche Bezug zu DORA. Institute können IKT‑Strategie und DOR‑Strategie in einem Dokument bündeln oder getrennt führen; ausschlaggebend ist die inhaltliche Konsistenz.

Damit verschiebt sich der Schwerpunkt von einer überwiegend technisch geprägten IT‑Strategie hin zu einer unternehmensweiten Resilienzstrategie. Die Geschäftsleitung muss nicht nur die Existenz entsprechender Dokumente sicherstellen, sondern vor allem deren Steuerungswirkung. In der Praxis bedeutet dies etwa:

  • IKT‑Risikoappetit, kritische und wichtige Funktionen sowie der Umgang mit IKT‑Drittparteien sind strategisch zu definieren und mit Geschäfts‑ und Risikostrategie zu verzahnen.
  • Die DORA‑Perspektive ist in Geschäftsmodellanalyse, Kapitalplanung und Risikosteuerung mitzudenken, statt in separaten IT‑Konzepten zu verbleiben.

Die Verantwortung der Geschäftsleitung verlagert sich damit von einer eher formalen Zuständigkeit hin zu einer aktiven, nachvollziehbaren Positionierung zur digitalen Resilienz des Instituts.

IKT‑Risiken als Bestandteil des Gesamtrisikoprofils

Mit AT 2.2 werden IKT‑Risiken ausdrücklich als Teil der operationellen Risiken adressiert. Die Geschäftsleitung muss sich regelmäßig ein Bild von allen wesentlichen Risiken verschaffen und IKT‑Risiken hierbei sichtbar berücksichtigen. Dazu zählen insbesondere:

  • IKT‑Risiken im Kontext von Auslagerungen, IDV‑Anwendungen und Datenaggregation,
  • Abhängigkeiten von Dienstleistern und Plattformen,
  • IKT‑Ausfälle als Treiber anderer Risikoarten, etwa Liquiditäts‑ oder Reputationsrisiken.

Die Novelle betont zugleich Proportionalität. Kleinere Institute können auf stärker qualitative Ansätze zurückgreifen, müssen ihre Bewertungs‑ und Abgrenzungsentscheidungen aber nachvollziehbar begründen. Der praktische Aufwand verlagert sich damit von Standarddokumentation hin zu einer risikoorientierten Argumentation, warum bestimmte IKT‑Risiken als wesentlich oder nicht wesentlich eingestuft werden. Der praktische Schwerpunkt liegt damit weniger in der Frage, ob IKT-Risiken als Risikokategorie überhaupt zu berücksichtigen sind, sondern in der risikoorientierten Bewertung ihrer Ausprägungen, Konzentrationen, Szenarien und Steuerungsintensität.

Technische Ausstattung und Notfallmanagement

AT 7.2 und AT 7.3 konkretisieren die Erwartungen an die technisch‑organisatorische Ausstattung und das Notfallmanagement. AT 7.2 bleibt bewusst prinzipienorientiert. Die Vorschrift verlangt keine detaillierte IT-Sicherheitsarchitektur, sondern eine technisch-organisatorische Ausstattung, die zur Geschäfts- und Risikosituation passt, sowie belastbare Daten- und Informationsprozesse für wesentliche Risikoarten. Die Anforderungen an IT‑Systeme (z.B. Sicherstellung von Integrität, Verfügbarkeit und Vertraulichkeit) sind nicht grundsätzlich neu, werden aber stärker mit der Frage verknüpft, ob sie tatsächlich zur Risikobegrenzung beitragen.

Dies zeigt sich besonders im Notfallmanagement. Auswirkungsanalysen (Business Impact‑Analysen) sollen nicht nur formal erstellt werden, sondern die Grundlage für realistische Geschäftsfortführungs- und Wiederherstellungspläne bilden. Szenarien wie der Ausfall zentraler IT‑Systeme, Kommunikationsinfrastruktur oder wesentlicher Dienstleister sind explizit abzudecken. Bei ausgelagerten Aktivitäten oder Prozessen, die kritischen oder wichtigen Funktionen unterstützen, wird ein abgestimmtes Notfallkonzept zwischen Institut und Dienstleister erwartet.

Damit rückt die Wirksamkeit der Konzepte in den Vordergrund. Institute müssen plausibel darlegen können, wie ihre Notfallplanung zur digitalen Resilienz beiträgt – insbesondere vor dem Hintergrund der DORA-Anforderungen an IKT-Vorfallsmanagement, Kommunikation, Wiederherstellung und Drittparteiensteuerung.

IKT‑Drittparteien: Klare Schnittstelle zwischen MaRisk und DORA

Eine besonders praxisrelevante Schnittstelle enthält AT 9. Nach dem Entwurf fallen ausgelagerte oder fremdbezogene IKT-Dienstleistungen im Sinne von Art. 3 Nr. 21 DORA, die dem IKT-Drittparteienrisikomanagement nach Art. 28 bis 30 DORA unterliegen, nicht in den Anwendungsbereich von AT 9. Das ist keine Deregulierung, sondern eine Regimeabgrenzung: Die Steuerung solcher IKT-Dienstleistungen verlagert sich in das unmittelbar geltende DORA-Regime.

Für klassische Auslagerungen bleibt es dagegen bei den MaRisk‑Regeln. Praktisch bedeutet dies: Das Auslagerungsregister nach MaRisk und das DORA-Informationsregister dürfen nicht unverbunden nebeneinanderstehen; Institute brauchen eine konsistente Taxonomie für Auslagerungen, sonstigen Fremdbezug und DORA-IKT-Dienstleistungen.

Institute müssen deshalb ihr Drittparteieninventar sauber strukturieren:

  • Welche Beziehung ist eine MaRisk-Auslagerung?
  • Welche ist sonstiger Fremdbezug?
  • Welche ist eine DORA-IKT-Dienstleistung?

Und welche davon unterstützt kritische oder wichtige Funktionen? Die praktische Herausforderung liegt weniger in zusätzlichen Pflichten als in einem stringenten Governance‑Design über beide Regime hinweg. Risikoanalysen, Exit‑Strategien, Notfallkonzepte sowie Prüfungs‑ und Informationsrechte müssen konsistent gestaltet werden – unabhängig davon, ob die jeweilige Beziehung unter MaRisk oder unter DORA fällt.

Kontroll- und Compliance-Funktionen: Integration der DORA-Rollen

Die 9. MaRisk‑Novelle verfolgt auch im DORA‑Kontext den Ansatz „Integration statt Silodenken“. DORA führt neue Rollen im IKT‑Risikomanagement ein, etwa die IKT‑Risikokontrollfunktion gemäß Art. 6 (4) DORA. AT 4.4.2 ermöglicht es, diese mit bestehenden Funktionen – etwa der Compliance‑Funktion – zu bündeln, sofern Interessenkonflikte adressiert werden und die Unabhängigkeit gewahrt bleibt.

Für die Praxis bedeutet dies: Institute können einzelne DORA‑Rollen in vorhandene Governance‑Strukturen integrieren, erhalten dadurch aber keine materielle Entlastung. Sie müssen belegen, dass Aufgaben, Informationsflüsse und Kontrollbefugnisse so ausgestaltet sind, dass eine konsistente Sicht auf IKT‑Risiken entsteht und Verantwortlichkeiten klar zugeordnet sind.

Fazit: Digitale Resilienz als Führungsaufgabe

Der Entwurf der 9. MaRisk-Novelle greift DORA-Bezüge auf, bereinigt Überschneidungen und verzahnt die DORA-Systematik mit dem bestehenden MaRisk-Rahmen. Sie flankiert die europäischen Anforderungen aus der DORA innhalber des gewachsenen MaRisk‑Systems und verteilt sie auf Strategie, Risikoorganisation, technische Ausstattung, Notfallmanagement und Drittparteiensteuerung. Institute, die ihre MaRisk‑Vorgaben konsequent an die Novelle anpassen, schaffen damit zugleich eine strukturelle Grundlage für eine nachhaltige DORA‑Compliance. Digitale Resilienz wird damit zum integralen Bestandteil einer soliden Governance – und zum Prüfstein für eine zukunftsfähige Geschäftsorganisation im Finanzsektor.

 

[1] Die 9. MaRisk-Novelle befindet sich derzeit noch im Konsultationsentwurf. Stellungnahmen konnten bei der BaFin und der Bundesbank bis zum 8. Mai 2026 eingereicht werden.

[2] Institute sind solche nach § 1 Abs. 1b KWG bzw. § 53 Abs. 1 KWG, soweit sie nicht als bedeutende Institute eingestuft werden und nicht der direkten Aufsicht der EZB unterliegen; Finanzdienstleistungsinstitute und große Wertpapierfirmen sind nur insoweit erfasst, wie dies aufgrund ihrer Pflichten nach §§ 25a, 25b KWG geboten ist. Für Zahlungsinstitute und E-Geld-Institute nach dem ZAG ist zwar DORA anwendbar; für diese Institute gilt aber die ZAG-MaRisk.

[3] DOR-Strategie ist die Strategie für die digitale operationale Resilienz im Sinne von Art. 6 (8) DORA.

0
0

Sebastian Glaab ist Rechtsanwalt und Partner bei Annerton in Frankfurt am Main. Insbesondere in den Themenfeldern Geldwäscheprävention (Herausgeber des GwG-Kommentars „Zentes/Glaab“), Wertpapier-Compliance, MaRisk-Compliance und Sanktionen verfügt er über umfangreiches Wissen und ist aufgrund seiner 12-jährigen Tätigkeit als Compliance-Officer und Geldwäschebeauftragter in einem international tätigen Kreditinstitut bestens mit der Praxis vertraut. Sebastian Glaab ist regelmäßig Referent bei Fachvorträgen und Veranstaltungen im Finanzumfeld.

Nadja Reiß ist am Frankfurter Standort von Annerton tätig und berät nationale wie internationale Institute und Unternehmen umfassend zu allen Fragen des Finanzaufsichtsrechts. Ihr Schwerpunkt liegt in der Beratung von Kreditinstituten, Finanzdienstleistungsinstituten, Wertpapierinstituten und Zahlungsinstituten in sämtlichen Fragestellungen nach dem KWG, WpIG, WpHG und ZAG.



Indem Sie fortfahren, akzeptieren Sie unsere Datenschutzerklärung.
You May Also Like
RRegulatory
Der Bafin-Jahresbericht 2025: Zwischen Cyber-Resilienz, Geldwäscheprävention und dem Blick nach Europa The BaFin Annual Report 2025: Between Cyber Resilience, Anti-Money Laundering and a European Perspective
Weiterlesen
  • 5 Minuten

Der Bafin-Jahresbericht 2025: Zwischen Cyber-Resilienz, Geldwäscheprävention und dem Blick nach Europa

Der BaFin-Jahresbericht 2025 zeigt einen tiefgreifenden Wandel der Finanzaufsicht. Neben Cyber-Resilienz, DORA und ESG-Regulierung rücken insbesondere datenbasierte Aufsicht, Geldwäscheprävention und eine stärkere europäische Harmonisierung in den Fokus. Gleichzeitig wachsen die Anforderungen an Governance, IT-Strukturen und persönliche Verantwortung von Geschäftsleitern.
Weiterlesen