DORA im internationalen Kontext – aufsichtliche Maßstäbe der BaFin im Vergleich zur polnischen KNF

Mit der DORA-Verordnung gelten seit Januar 2025 EU-weit verbindliche Anforderungen an die digitale Resilienz von Finanzunternehmen. Die BaFin setzt diese Vorgaben mit konkreten Leitlinien, Meldeportalen und ersten Prüfungsschritten um. Der Beitrag gibt den beaufsichtigten Unternehmen im Finanzsektor, die den regulatorischen Anforderungen in Deutschland und/oder Polen unterliegen, einen kompakten Überblick zum aktuellen Stand in Deutschland im Vergleich zur polnischen Aufsichtspraxis.

Einleitung

Mit Wirkung zum 17.01.2025 gilt die Verordnung (EU) 2022/2554 über die digitale operationale Resilienz des Finanzsektors (DORA) unmittelbar in allen Mitgliedstaaten der EU. Ziel ist die Schaffung eines unionsweit einheitlichen Rahmenwerks für das Management von IKT-Risiken (Risiken im Bereich der Informations- und Kommunikationstechnologien) in Finanzunternehmen (mehr dazu in DORA – ein Ausblick auf das Jahr 2025).

Deutschland: In Deutschland wurde die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) durch das Finanzmarktdigitalisierungsgesetz (FinmadiG) zur zentralen Aufsichtsbehörde bestimmt. Die BaFin und die Deutsche Bundesbank haben die Umsetzung von DORA aktiv unterstützt, insbesondere durch die Anpassung ihrer Aufsichts- und Verwaltungspraxis sowie die Implementierung eigener IT-Prozesse und -Systeme im Rahmen von DORA. So fungiert die BaFin nun als nationaler Melde-Hub für IKT-Vorfälle im Finanzsektor in Deutschland. Darüber hinaus nimmt die BaFin verpflichtende Meldungen im Rahmen des IKT-Drittparteienrisikomanagements entgegen und analysiert diese hinsichtlich potenzieller Risiken für den Finanzsektor.

Polen: Die Aufsicht über die Verpflichtungen für die Finanzunternehmen durch DORA wurde in Polen der polnischen Finanzaufsichtsbehörde (Komisja Nadzoru Finansowego, KNF) übertragen. Die KNF ist mit umfassenden Befugnissen zur Durchführung von Compliance-Prüfungen ausgestattet. Wenn die von DORA vorgeschriebenen Verfahren bis zum Datum des Inkrafttretens von DORA, d. h. bis zum 17.01.2025, nicht oder nur unzureichend umgesetzt werden, ist die KNF befugt, verschiedene Sanktionen gegen die betroffenen Unternehmen zu verhängen. Das Gesetz vom 25.06.2025 zur Änderung bestimmter Gesetze im Zusammenhang mit der Gewährleistung der digitalen Betriebsstabilität des Finanzsektors und der Emission europäischer grüner Anleihen, mit dem die KNF als Aufsichtsbehörde benannt und Sanktionen aufgrund von DORA eingeführt wurden, ist bereits seit dem 07.08.2025 in Kraft. Die polnische Regelung sieht für Verstöße gegen DORA-Verpflichtungen folgende Strafen vor: (i) Unterlassungsanordnung: Die KNF kann die Einstellung bestimmter Verhaltensweisen anordnen; (ii) Verbot der Ausübung von Positionen: Verbot der Ausübung von Führungspositionen in Finanzunternehmen für einen Zeitraum von einem Monat bis zu einem Jahr; (iii) Geldstrafen: Geldstrafen bis zu 20.869.500,00 PLN oder 10 Prozent des Jahresumsatzes für juristische Personen oder 3.042.410,00 PLN für Führungskräfte und das Sechsfache der Vergütung für andere Personen.

Vorgehen der Aufsichtsbehörden

Deutschland: Die BaFin überwacht die Einhaltung der DORA-Vorgaben bei allen betroffenen Instituten, darunter Kredit- und Finanzinstitute, Versicherer, Kapitalverwaltungsgesellschaften, Zahlungsdienstleister, E-Geldinstitute und Kryptodienstleister.

Auf ihrer Homepage veröffentlichte die BaFin eine umfassende Aufsichtsmitteilung zur Auslegung der DORA-Anforderungen, die insbesondere als Orientierungshilfe für beaufsichtigte Institute im Hinblick auf die operativen Pflichten dienen soll. In dieser Mitteilung erläutert die BaFin, wie bestehende nationale Rundschreiben – insbesondere BAIT, VAIT, KAIT und ZAIT (bankaufsichtliche, versicherungsaufsichtliche, kapitalverwaltungsaufsichtliche und zahlungsdiensteaufsichtliche Anforderungen an die IT) – im Verhältnis zu DORA stehen. Sie stellt klar, dass VAIT, KAIT und ZAIT zum 17.01.2025 und BAIT zum 31.12.2026 aufgehoben werden, sofern sie durch DORA ersetzt werden. Für Institute, die nicht unmittelbar von DORA erfasst sind, gelten übergangsweise bis Ende 2026 die nationalen Anforderungen.

Zudem enthält die Aufsichtsmitteilung konkrete Anforderungen an das IKT-Risikomanagement, die vertragliche Ausgestaltung von Auslagerungen an Dienstleister von Informations- und Kommunikationstechnologien (IKT-Dienstleister) sowie die Vorgaben zur Vorfallmeldung. Die BaFin stellt in diesem Kontext Tabellen und Vertragsmuster zur Verfügung, die Mindestanforderungen nach den Vorschriften von DORA widerspiegeln.

Polen: In Polen hat die KNF ebenfalls eine Erklärung vom 31.12.2024 zur Anwendung von DORA veröffentlicht. Darüber hinaus hat sie in ihren Aufsichtsprioritäten für das Jahr 2025 die Überwachung der Einhaltung der DORA-Anforderungen durch die verpflichteten Unternehmen, einschließlich IKT-Drittanbietern, sowie die Erfassung von Informationen über Vorfälle, die Koordinierung der Threat-Led Penetration Testings (TLPTs), die Meldepflichten und den Informationsaustausch angegeben. Die Finanzinstitute sollen ihre Informations- und Meldepflichten, wie z. B. die Verpflichtung zum Besitz einer Legal-Entity-Identifier (LEI)-Kennung, erste Meldepflichten, die Meldung schwerwiegender IKT-Vorfälle und bedeutender Cyberbedrohungen sowie die Führung und Übermittlung eines Informationsregisters unabhängig vom Inkrafttreten nationaler Vorschriften erfüllen. Die Beurteilung, ob ein bestimmter Vorfall als schwerwiegend einzustufen ist, hängt vom jeweiligen Finanzunternehmen ab.

Darüber hinaus hat die KNF kürzlich eine Reihe von Artikeln veröffentlicht, in denen die sich aus der DORA ergebenden Pflichten und Verantwortlichkeiten erläutert und detailliert beschrieben werden (Bewertung der digitalen Widerstandsfähigkeit von Organisationen, Anforderungen an Unternehmen, die vereinfachte Risikomanagement-Rahmenwerke in Bezug auf IKT anwenden, Vorfälle im Zusammenhang mit IKT gemäß der DORA-Verordnung). Die KNF hat auch die Position der KNF zur Anwendung der DORA-Verordnung durch Investmentfondsgesellschaften und alternative Investmentgesellschaften veröffentlicht.

Die KNF veröffentlicht nicht nur Stellungnahmen und Auslegungen, sondern entfernt auch veraltete Vorschriften aus dem polnischen Rechtssystem. Bisher enthielt der polnische Rechtsrahmen Empfehlungen der KNF zur IT- und Telekommunikationssicherheit in Banken und anderen Institutionen. Aufgrund von Überschneidungen mit DORA wurden diese Vorschriften aufgehoben (z. B. Empfehlung D). Darüber hinaus wurde die „Mitteilung der UKNF zur Verarbeitung von Informationen in öffentlichen oder hybriden Cloud-Computing-Umgebungen durch beaufsichtigte Unternehmen“ aus dem Jahr 2020 aufgehoben, was eine bedeutende Änderung darstellt, da sie in den letzten Jahren als regulatorische Referenz für Cloud-Lösungen gedient hatte.

Informations- und Meldepflichten

Deutschland: Im Rahmen der Umsetzung der Informationspflichten nach Art. 28 Abs. 3 DORA sowie der Pflicht zur Meldung schwerwiegender IKT-bezogener Vorfälle gemäß Art. 19 DORA hat die BaFin ein zentrales Meldeportal (MVP-Portal) eingerichtet, über das Institute ihre Informationsregister und weitere Meldungen einreichen müssen. Die BaFin stellt hierfür Excel-Vorlagen, technische Validierungshilfen und ein detailliertes Fehlerprotokoll zur Verfügung.

Polen: Die KNF hat ein DORA-Meldesystem (SSD) entwickelt, das für die Übermittlung der DORA-Meldeformulare sowie für die Kommunikation im Zusammenhang mit der DORA-Verordnung verwendet wird. Insbesondere wurde ein separates System, das „DORA-Incident-Management-System“, für die Meldung von Vorfällen und Cyberbedrohungen eingerichtet. Die KNF hat außerdem Formulare für die Meldung schwerwiegender IKT-Vorfälle und bedeutender Cyberbedrohungen zur Verfügung gestellt.

IKT-Tests und Prüfregime nach DORA

Deutschland: Die BaFin stellt klar, dass nach Art. 24–27 DORA verpflichtend risikoangemessene IKT-Tests durchzuführen sind. Hierzu gehören sowohl allgemeine technische Tests (Art. 24–25 DORA) als auch – bei bestimmten Instituten – TLPTs (Art. 26–27 DORA). Im Gegensatz zu den allgemeinen Anforderungen für das Testen gelten die erweiterten Tests auf der Basis von TLPTs nur für eine kleine Anzahl an Finanzunternehmen, die anhand der Kriterien von Art. 26 Abs. 8 Unterabsatz 3 DORA identifiziert werden. Diese identifizierten Unternehmen werden von der BaFin als zuständiger Aufsichtsbehörde oder im Falle von signifikanten Kreditinstituten von der EZB durch einen Identifikationsbescheid über ihre Verpflichtung zur Durchführung von TLPTs informiert.

Polen: Die KNF weist in den auf der Website veröffentlichten Auslegungen darauf hin, dass Sicherheitstests für beaufsichtigte Unternehmen zwar kein neues Konzept sind, TLPTs jedoch umfassender sind, da sie durch die Analyse und Simulation potenzieller Bedrohungen ein Verständnis der operativen digitalen Widerstandsfähigkeit von Organisationen ermöglichen. Die KNF hob auch die Komplexität von TLPTs hervor, die die Einführung geeigneter Verfahren erfordern, um die Wirksamkeit der Tests und die Sicherheit der Organisation während ihrer Durchführung zu gewährleisten. Darüber hinaus trat am 08.07.2025 die Delegierte Verordnung 2025/1190 über TLPT in Kraft. Gemäß dieser Verordnung müssen TLPT-Behörden prüfen, ob andere Finanzinstitute als Kreditinstitute, Zahlungsinstitute, E-Geldinstitute, zentrale Gegenparteien, zentrale Wertpapierverwahrstellen, Handelssysteme, Versicherungsunternehmen und Rückversicherungsunternehmen der Verpflichtung zur Durchführung von TLPTs unterliegen.