Mit dem Finanzmarktdigitalisierungsgesetz (FinmadiG) wurde der Anwendungsbereich der DORA-Verordnung in Deutschland erweitert. Dadurch werden künftig auch Finanzierungsleasing- und Factoringgesellschaften verpflichtet, die Anforderungen an die digitale operationelle Resilienz umzusetzen. Während Banken und Versicherungen bereits seit dem 17. Januar 2025 unter DORA fallen, endet für Leasing- und Factoringgesellschaften die Übergangsfrist zum 01. Januar 2027.
Viele Unternehmen gehen derzeit noch davon aus, dass die bisherigen BAIT-Anforderungen ausreichend sind. Tatsächlich müssen jedoch künftig umfassende Vorgaben zum IKT-Risikomanagement, zur Steuerung von IT-Dienstleistern, zur Dokumentation von Sicherheitsmaßnahmen sowie zum Umgang mit IT-Sicherheitsvorfällen erfüllt werden. Bereits heute bestehen für betroffene Institute Anforderungen an die Meldung schwerwiegender IKT-Vorfälle.
Fehlende Strukturen, unzureichend dokumentierte Prozesse oder eine nicht ausreichende Steuerung kritischer IT-Dienstleister können künftig zu erheblichen regulatorischen Risiken führen. Gleichzeitig steigt die Erwartungshaltung von Aufsichtsbehörden, Geschäftspartnern und Kunden hinsichtlich der digitalen Resilienz von Finanzunternehmen.
Was müssen betroffene Unternehmen tun?
Leasing- und Factoringgesellschaften sollten insbesondere:
- einen DORA-Gap-Check durchführen und bestehende Strukturen bewerten,
- ein angemessenes IKT-Risikomanagement etablieren,
- kritische Geschäftsprozesse und IT-Systeme identifizieren,
- Verantwortlichkeiten für Informationssicherheit und IT-Risiken definieren,
- IKT-Dienstleister und Auslagerungen systematisch bewerten und dokumentieren,
- Prozesse zur Erkennung, Behandlung und Meldung von IT-Sicherheitsvorfällen etablieren,
- Mitarbeitende regelmäßig sensibilisieren und schulen,
- eine prüfungsfähige Dokumentation der DORA-Anforderungen aufbauen.
Unsere Erfahrung aus der Praxis zeigt:
Viele Unternehmen beschäftigen sich aktuell nicht mehr mit der Frage, ob sie betroffen sind, sondern vielmehr damit, wie sie die Anforderungen pragmatisch, risikoorientiert und prüfungssicher umsetzen können.
Die verbleibenden Wochen bis Ende Juli sollten daher genutzt werden, um bestehende Lücken zu identifizieren und die notwendigen Maßnahmen strukturiert umzusetzen.
Besonders relevant:
Die Verantwortung für die Umsetzung liegt ausdrücklich bei der Geschäftsleitung. Verstöße können nicht nur regulatorische Folgen haben, sondern auch haftungsrechtliche Risiken mit sich bringen.
Rund 29.500 Unternehmen in Deutschland fallen inzwischen unter die NIS2-Regulierung. Dennoch haben zahlreiche betroffene Organisationen ihre Registrierung oder die erforderlichen Vorbereitungen bislang nicht vollständig umgesetzt.
Unsere Lösung:
Wir unterstützen Leasing- und Factoringgesellschaften praxisnah bei der Umsetzung der DORA-Anforderungen:
- Durchführung von DORA-Gap-Analysen,
- Aufbau eines DORA-konformen IKT-Risikomanagements,
- Unterstützung bei der Identifikation und Bewertung von IT-Risiken,
- Analyse und Bewertung von IT-Dienstleistern und Auslagerungen,
- Erstellung und Optimierung der erforderlichen Richtlinien und Dokumentationen,
- Unterstützung bei der Vorbereitung auf Prüfungen und Aufsichtsanfragen,
- Durchführung von Management-Workshops und Mitarbeiterschulungen,
- Begleitung bei der Implementierung eines nachhaltigen Informationssicherheitsmanagements.
Unsere Experten verfügen über langjährige Erfahrung in den Bereichen Finanzregulatorik, Informationssicherheit, DORA, NIS2 und IT-Compliance. Dabei setzen wir auf pragmatische Lösungen, die sich an Größe, Risikoprofil und Komplexität des jeweiligen Instituts orientieren.
Julian Piroué
Senior Consultant ESG-Compliance, Creditreform Compliance Services GmbH