Frage 1: Herr Högel, die BaFin hat kürzlich Änderungen der Wertpapierinstituts-Prüfungsberichtsverordnung und der Schwarmfinanzierungsdienstleister-Prüfungsverordnung vorgestellt, um die EU-DORA-Verordnung umzusetzen. Was ist der Kern dieser Neuerungen?
Högel: Der Hauptfokus dieser Änderungen liegt auf der Stärkung der digitalen operationalen Resilienz im Finanzsektor. Die BaFin möchte sicherstellen, dass Wertpapierinstitute und Schwarmfinanzierungsdienstleister angemessen auf digitale Risiken vorbereitet sind. Konkret werden Prüfer künftig verpflichtet, die IKT-Organisation und IKT-Systeme der Unternehmen detailliert zu bewerten. Dazu zählen unter anderem die Prüfung des Risikomanagements, der Resilienztests und der Abhängigkeit von Drittanbietern.
Frage 2: Was bedeutet das für die betroffenen Unternehmen in der Praxis?
Högel: Für die Unternehmen bedeutet dies, dass sie ihre internen Systeme und Prozesse erheblich stärken müssen. Sie müssen sicherstellen, dass alle relevanten IT-Systeme die Anforderungen an Integrität, Vertraulichkeit und Verfügbarkeit erfüllen. Auch externe IT-Dienstleister fallen in den Prüfungsumfang, was bedeutet, dass auch hier ein hohes Maß an Transparenz und Kontrolle erforderlich ist.
Frage 3: Die BaFin hebt hervor, dass es keine zusätzlichen Kosten für Bürgerinnen und Bürger oder die Verwaltung gibt. Wie bewerten Sie diese Aussage?
Högel: Diese Aussage ist formal korrekt, da die Verordnung keine direkten Gebühren oder Abgaben vorsieht. Allerdings sollten die indirekten Kosten nicht unterschätzt werden. Unternehmen müssen in Systeme und Personal investieren, um die Anforderungen zu erfüllen. Diese Kosten könnten langfristig an die Endkunden weitergegeben werden, insbesondere wenn kleinere Anbieter mit den Anforderungen überfordert sind.
Frage 4: Gibt es Übergangsfristen, um die neuen Anforderungen zu implementieren?
Högel: Ja, die neuen Regelungen treten am 17. Januar 2025 in Kraft. Prüfungen basieren erstmals auf Unterlagen, die ein nach dem 31. Dezember 2024 beginnendes Geschäftsjahr betreffen. Dies gibt den Unternehmen etwas Zeit, sich auf die Anforderungen vorzubereiten, aber sie sollten nicht zögern, die nötigen Schritte einzuleiten.
Frage 5: Welche Risiken bestehen für Unternehmen, die die Vorgaben nicht einhalten?
Högel: Unternehmen, die die Anforderungen nicht erfüllen, setzen sich erheblichen Risiken aus. Neben potenziellen Bußgeldern könnten sie auch Vertrauensverlust bei Kunden und Geschäftspartnern erleiden. Zudem besteht das Risiko, dass Sicherheitslücken zu kostspieligen Datenverlusten oder Angriffen führen, die den Geschäftsbetrieb massiv beeinträchtigen können.
Frage 6: Wie bewerten Sie die Zielsetzung der BaFin, den Finanzsektor widerstandsfähiger gegen digitale Risiken zu machen?
Högel: Die Zielsetzung ist absolut sinnvoll und notwendig. Angesichts der zunehmenden Digitalisierung und der wachsenden Bedrohung durch Cyberangriffe ist es entscheidend, dass der Finanzsektor gut abgesichert ist. Die Maßnahmen der BaFin sind ein Schritt in die richtige Richtung, allerdings sollten sie pragmatisch umgesetzt werden, um eine Überforderung der Unternehmen zu vermeiden.
Frage 7: Gibt es Parallelen zwischen den neuen DORA-Vorgaben und klassischen Bilanzierungsvorschriften, wie etwa bei der SPORTTOTAL AG?
Högel: Beide Themenfelder – digitale Resilienz und Bilanzierung – zielen darauf ab, Transparenz und Sicherheit zu gewährleisten. Während es bei Bilanzierungsstandards um die korrekte Darstellung der finanziellen Lage geht, fokussiert sich die digitale Resilienz auf die Absicherung von Prozessen und Systemen. Gemeinsam haben sie, dass sie Vertrauen schaffen und Stabilität gewährleisten sollen.
Fazit:
Die Änderungen durch die DORA-Verordnung und deren nationale Umsetzung durch die BaFin bringen signifikante Herausforderungen, aber auch Chancen für den Finanzsektor mit sich. Unternehmen sollten die Übergangsfrist nutzen, um ihre Systeme anzupassen und eine nachhaltige Grundlage für digitale Resilienz zu schaffen
Kommentar hinterlassen