BaFin-Prüfung vorbereiten — DORA in der Praxis
Was die Aufsichtsbehörde bei einer DORA-Prüfung sehen will und wie Sie Ihr Institut vorbereiten.
DORA-Prüfungen kommen — die Frage ist wann, nicht ob
DORA gilt seit Januar 2025. Die Aufsichtsbehörden — BaFin in Deutschland, FMA in Österreich — haben nun die rechtliche Grundlage, DORA-Compliance zu prüfen.
Für kleine Institute bedeutet das: Es ist keine Frage, ob eine Prüfung kommt, sondern wann. Und wer dann nicht vorbereitet ist, hat ein Problem, das über eine Beanstandung hinausgeht.
Was die Aufsicht prüfen wird
Basierend auf den DORA-Anforderungen und den bisherigen Prüfungsschwerpunkten der BaFin im ICT-Bereich sind folgende Bereiche zu erwarten:
1. ICT-Drittparteirisiko-Governance
Die Aufsicht will sehen, dass Ihr Institut das Thema organisatorisch verankert hat:
- Verantwortlichkeiten: Wer ist für das ICT-Drittparteirisikomanagement zuständig?
- Leitlinie: Gibt es eine dokumentierte Strategie für den Umgang mit ICT-Dienstleistern?
- Geschäftsleitungsbeteiligung: Ist die Geschäftsleitung eingebunden und informiert?
2. Register of Information
Das Register of Information wird mit hoher Wahrscheinlichkeit einer der ersten Prüfungspunkte sein:
- Ist das Register vollständig?
- Sind die Daten aktuell?
- Kann es im EBA-Format exportiert werden?
- Sind Konzernstrukturen und Sub-Outsourcing dokumentiert?
3. Vertragliche Absicherung
Die Aufsicht wird stichprobenartig Verträge prüfen:
- Enthalten die Verträge die Pflichtklauseln nach Art. 30?
- Sind Audit-Rechte und Kündigungsrechte verankert?
- Gibt es Regelungen zur Datensicherheit und zu Sub-Outsourcing?
4. Risikobewertung
- Werden ICT-Dienstleister regelmäßig bewertet?
- Gibt es eine dokumentierte Methodik für die Bewertung?
- Sind kritische und wichtige ICT-Dienstleistungen identifiziert?
5. Exit-Strategien
- Existieren Exit-Pläne für kritische ICT-Dienstleister?
- Sind Alternativanbieter identifiziert?
- Sind Übergangsfristen und Datenmigrationspläne dokumentiert?
6. Konzentrationsrisiken
- Gibt es Abhängigkeiten von einzelnen ICT-Anbietern?
- Sind diese Konzentrationsrisiken dokumentiert und bewertet?
- Welche Maßnahmen wurden ergriffen?
Vertiefung: Konzentrationsrisiko nach DORA.
Der Prüfungsprozess: Was Sie erwartet
Vor der Prüfung
In der Regel kündigt die BaFin eine Prüfung mit Vorlauf an. Sie werden aufgefordert, Unterlagen bereitzustellen:
- Register of Information (im EBA-Format)
- ICT-Drittparteirisiko-Leitlinie
- Dokumentation der Risikobewertungsmethodik
- Stichprobe relevanter Verträge
- Exit-Pläne für kritische Anbieter
Die Frist ist kurz. Wer diese Unterlagen nicht vorliegen hat, kann sie nicht in zwei Wochen erstellen.
Während der Prüfung
Die Prüfer werden:
- Dokumentation gegen die tatsächliche Praxis abgleichen
- Stichproben ziehen (bestimmte Anbieter, bestimmte Verträge)
- Verantwortliche befragen
- Prozesse nachvollziehen (z.B.: “Zeigen Sie mir, wie ein neuer ICT-Dienstleister ongeboardet wird”)
Nach der Prüfung
Bei Feststellungen erhalten Sie einen Mängelbericht mit Fristen zur Behebung. Schwerwiegende Mängel können zu Auflagen oder im Extremfall zu Sanktionen führen.
Praktische Checkliste: Prüfungsbereitschaft
Prüfen Sie diese Punkte — wenn Sie mehr als zwei mit “Nein” beantworten, besteht Handlungsbedarf:
| Frage | Status |
|---|---|
| Haben Sie ein vollständiges Register aller ICT-Dienstleister? | |
| Können Sie das Register im EBA-Format exportieren? | |
| Sind Ihre ICT-Dienstleisterverträge gegen Art. 30 geprüft? | |
| Haben Sie eine dokumentierte Risikobewertungsmethodik? | |
| Werden Risikobewertungen regelmäßig aktualisiert? | |
| Existieren Exit-Pläne für kritische ICT-Dienstleister? | |
| Ist die Geschäftsleitung über den Status informiert? | |
| Gibt es eine Leitlinie zum ICT-Drittparteirisikomanagement? | |
| Sind Konzentrationsrisiken identifiziert und dokumentiert? | |
| Können Sie die genannten Unterlagen innerhalb von 5 Werktagen vorlegen? |
Eine ausführlichere Selbsteinschätzung finden Sie in unserer DORA Readiness Checkliste.
Was ich aus der Praxis gelernt habe
Als ich DORA-Compliance für eine regulierte Bank aufgebaut habe — bevor die Verordnung in Kraft trat — war eine der wichtigsten Erkenntnisse: Die Aufsicht prüft nicht, ob Sie ein perfektes System haben. Sie prüft, ob Sie einen nachvollziehbaren Prozess haben.
Das heißt konkret:
- Dokumentation schlägt Perfektion. Ein dokumentierter Prozess mit bekannten Lücken ist besser als ein “wir machen das schon”-Ansatz ohne Nachweis.
- Konsistenz zählt. Wenn Ihre Leitlinie sagt “jährliche Risikobewertung” und die letzte Bewertung ist 18 Monate alt, ist das ein Befund.
- Ehrlichkeit hilft. Eine Gap-Analyse, die offene Punkte benennt und einen Zeitplan zur Behebung enthält, wird positiver bewertet als ein geschöntes Bild.
Nächste Schritte
- DORA Readiness Checkliste — 10 Fragen zur schnellen Selbsteinschätzung
- Register of Information — Aufbau und Anforderungen im Detail
- Artikel 30 Vertragsprüfung — die Pflichtklauseln im Überblick