News

Update bAV: Noch ein Jahr für die Umsetzung des DORA

31.01.2024

Ab dem 17. Januar 2025 wird der Digital Operational Resilience Act (DORA) der Europäischen Union auch auf Einrichtungen der betrieblichen Altersversorgung (EbAV) Anwendung finden. Sein Ziel ist es, die operationale Resilienz von Finanzunternehmen durch hohe Sicherheitsstandards für Netzwerk- und Informationssysteme, die die Geschäftsprozesse von Finanzunternehmen unterstützen, zu erhöhen und dadurch den EU-Finanzmarkt gegen Cyberrisiken zu stärken.

Als Verordnung bedarf es keines weiteren Umsetzungsakts mehr in nationales Recht. Die Anforderungen des DORA – die nun binnen eines Jahres umzusetzen sind – sind durchaus weitreichend. Einrichtungen der betrieblichen Altersvorsorge werden durch die aufsichtsrechtlichen Mindestanforderungen an die Geschäftsorganisation von Einrichtungen der betrieblichen Altersversorgung der BaFin („MaGo für EbAV“) bereits einigen Vorgaben zu Governance-Themen unterworfen. Der DORA wird das Regulierungsgeflecht im Hinblick auf cybersicherheitsbezogene Organisationspflichten noch weiter verdichten.

Anwendungsbereich

Der DORA ist auf die in seinem Art. 2 Abs. 1 genannten Finanzunternehmen anwendbar. Darunter fallen etwa klassische Kreditinstitute, Zahlungsinstitute oder auch Versicherungs- und Rückversicherungsunternehmen. Doch auch EbAV fallen grundsätzlich in den Anwendungsbereich. Eine Ausnahme gilt dann, wenn das betreffende EbAV Altersversorgungssysteme mit insgesamt weniger als 15 Versorgungsanwärter:innen betreibt.

Zur Definition des EbAV verweist der DORA auf die Richtlinie (EU) 2016/2341 (EbAV-Richtlinie). Daher sind also Pensionsfonds und Pensionskassen grundsätzlich vom Anwendungsbereich des DORA umfasst. Erbringen Versicherer bAV-Leistungen, unterfallen sie als Versicherungsunternehmen dem DORA.

Vorgaben des DORA

Eine Besonderheit des DORA ist, dass er durch sogenannte Technische Durchführungsstandards (ITS) und Technische Regulierungsstandards (RTS) konkretisiert werden muss, die durch die Europäische Wertpapier- und Marktaufsichtsbehörde (ESMA), Europäische Bankenaufsichtsbehörde (EBA) und Europäische Aufsichtsbehörde für das Versicherungswesen und die betriebliche Altersversorgung (EIOPA) erarbeitet werden. Weitere Informationen zu aktuellen und vorangehenden Konsultationen finden sich auf den Seiten der ESMA. Diese Rechtsakte werden noch für weitere Rechtsklarheit sorgen. Doch unabhängig davon können EbAV sich bereits jetzt auf folgende Vorgaben des DORA einstellen:

IKT-Risikomanagement: Die Adressaten müssen eine angemessene Governance und Organisation einführen, die letztlich durch das Leitungsorgan genehmigt, überwacht und verantwortet werden muss. Dies muss Strategien, Leit- und Richtlinien, Verfahren sowie IKT-Protokolle und -Tools umfassen. Für kleine EbAV (solche mit Altersversorgungssysteme mit insgesamt weniger als 100 Versorgungsanwärter:innen) gibt es Erleichterungen.
IKT-Drittparteienrisikomanagement: Da immer mehr IKT-Dienstleistungen von Dritten bezogen werden (etwa Cloudleistungen oder Managed Services), sieht der DORA detaillierte Vorgaben für diesen Bezug von Services vor. Teilweise sind die Anforderungen bereits heute in der MaGo für EbAV im Zusammenhang mit Ausgliederungen bekannt. Wir erwarten allerdings, dass Verträge nachverhandelt werden müssen.
IKT-Vorfallmeldewesen: Wie bereits aus Rechtsakten wie dem BSIG oder der DSGVO bekannt, müssen IKT-bezogene Vorfälle gemeldet werden. Da im Ernstfall oft Unsicherheit darüber herrscht, wer was macht, empfehlen wir einen möglichst klaren und doch umfassenden Notfallplan.
Testen der digitalen operationalen Resilienz (einschließlich Threat-led Penetration Testing): Finanzunternehmen haben ein Programm zur Prüfung der Resilienz zu etablieren und aufrechtzuerhalten. Das umfasst vor allem Schwachstellenbewertung und -scans sowie Penetrationstests. Besonders kritische Finanzunternehmen müssen sogar sogenannte Threat-led Penetration Tests durchführen.

Derzeit laufen noch umfassende Konsultationen und auch die BaFin prüft, wie sie die Anforderungen des DORA in die Aufsichtspraxis überführt. Besonders mit Spannung wird erwartet, welche Rolle künftig etwa die BaFin-Rundschreiben bankaufsichtlichen, versicherungsaufsichtlichen, kapitalverwaltungsaufsichtlichen und zahlungsdiensteaufsichtliche Anforderungen an die IT (BAIT, VAIT, KAIT und ZAIT) spielen werden. Weitere Infos der Aufsicht und erste Erwartungen der BaFin finden Sie hier. Mit Blick auf den überschaubaren Zeitrahmen für die Umsetzung sollten EbAV jedoch keine Zeit verlieren und sich eingängig mit den Anforderungen des DORA befassen.