Proportionalität & Ausnahmen
Proportionalitätsprinzip
DORA berücksichtigt das Proportionalitätsprinzip: Anforderungen sollen im Verhältnis zur Größe, zum Risikoprofil und zur Komplexität der Finanzunternehmen stehen.
Vereinfachter IKT-Risikomanagementrahmen (Art. 16)
Kleinstunternehmen dürfen einen vereinfachten IKT-Risikomanagementrahmen anwenden. Dieser umfasst:
- Dokumentation aller IKT-unterstützten Geschäftsfunktionen und zugehörigen Risiken
- Schutz aller IKT-Systeme gegen die häufigsten Cyberbedrohungen
- Gewährleistung der physischen Sicherheit und des Umgebungsschutzes
- Zugangskontrolle zu IKT-Systemen
- Mechanismen zur zeitnahen Erkennung anomaler Aktivitäten
- Geschäftsfortführungsmaßnahmen und Backup-Strategien
- Review und Lessons Learned nach IKT-Vorfällen
Ausnahmen nach Unternehmensart
| Unternehmensgröße | Ausnahmen |
|---|---|
| Kleinstunternehmen (≤ 10 MA, ≤ 2 Mio. EUR) | Vereinfachter Risikorahmen (Art. 16), kein TLPT; Drittparteienrisiko (Kap. V) gilt weiterhin vollumfänglich |
| Art. 16-Unternehmen (namentlich in Art. 16 Abs. 1 gelistet) | Vereinfachter Risikorahmen, kein TLPT; Berechtigung ist unternehmensartspezifisch, nicht rein größenbasiert |
| Art. 16-Unternehmen (namentlich in Art. 16 Abs. 1) | Vereinfachter Rahmen, eingeschränkte Testpflichten |
| Alle anderen | Voller Umfang |
BaFin-Aufsichtsmitteilung (21.08.2025)
Die BaFin hat Hinweise zur Umsetzung des vereinfachten IKT-Risikomanagementrahmens veröffentlicht mit konkreten Dokumentationsanforderungen für berechtigte Unternehmen.
BAUER GROUP-Einordnung
BAUER GROUP als IKT-Dienstleister profitiert nicht direkt vom Proportionalitätsprinzip, da die Anforderungen indirekt über Kundenverträge kommen. Allerdings: Kunden, die dem vereinfachten Rahmen unterliegen, stellen geringere vertragliche Anforderungen – dies wird bei der Vertragsgestaltung durch abgestufte Vertragsmodule berücksichtigt.
Vertragliche Abstufung
Empfehlung: Zwei Vertragsmodule vorbereiten:
- Standard-Modul – Für Kleinstunternehmen und vereinfachten Rahmen
- Premium-Modul – Für systemrelevante Finanzunternehmen mit vollem DORA-Umfang