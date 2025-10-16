DORA-Regulierung überfordert kleinere Banken - GVB legt praxisnahe Verbesserungsvorschläge vor / Genossenschaftsverband Bayern dringt nach ersten Praxiserfahrungen auf schnelle Vereinfachungen
München (ots) - Der Genossenschaftsverband Bayern (GVB) fordert Korrekturen bei
der Umsetzung der EU-Verordnung Digital Operational Resilience Act (DORA). Ziel
der Regulierung ist es, die digitale Widerstandsfähigkeit im Finanzsektor zu
stärken. "DORA verfolgt ein richtiges Ziel. In der Praxis ist das Regelwerk aber
zu kleinteilig geraten. Gerade kleinere Banken werden mit bürokratischen
Anforderungen überzogen, die in keinem Verhältnis zu ihrem Risikoprofil stehen",
warnt GVB-Präsident Stefan Müller am Donnerstag in München.
In einem Positionspapier hat der Verband nun konkrete Verbesserungsvorschläge
vorgelegt. Diese stammen aus der Praxis der bayerischen Volksbanken und
Raiffeisenbanken, die DORA seit knapp neun Monaten umsetzen müssen. Der Verband
zeigt in dem Papier anhand von Beispielen auf, wie die Vorgaben praxistauglicher
und verhältnismäßiger gestaltet werden können - ohne Abstriche bei der
Cybersicherheit. "Die Strategien, Leitlinien, Richtlinien und
Verfahrensanweisungen für DORA füllen bei einer mittelgroßen Volks- und
Raiffeisenbank rund 350 bis 400 Seiten im Organisationshandbuch. Das mag für
einen internationalen Großkonzern angebracht sein, passt aber nicht zu einer
Regionalbank. DORA ignoriert die Realität der Regionalbanken - und gefährdet
damit ausgerechnet jene Institute, die in den Regionen die Versorgung mit
Finanzdienstleistungen verlässlich gewährleisten", sagt Müller.
Der Verband drängt auf schnelle Anpassungen am DORA-Regelwerk. Bislang ist
angedacht, dass die EU-Kommission im Jahr 2028 eine Überprüfung der Verordnung
vornimmt. "Die Praxiserfahrungen zeigen jetzt schon, welche Regeln
praxisuntauglich sind. Es gibt keinen Grund, mit Verbesserungen an DORA noch
drei Jahre zu warten", betont Müller.
Kritisch sieht der Verband unter anderem die fehlende Berücksichtigung zentraler
IT-Dienstleister bei den Meldepflichten: "Für kleine Banken ist eine eigene
24/7-Meldepflicht fast nicht umsetzbar und unverhältnismäßig. Ihre kritischen
Systeme werden ohnehin von zentralen Verbunddienstleistern überwacht, die
ihrerseits meldepflichtig sind. DORA verkennt die Praxis und produziert
Pflichten, die weder sinnvoll noch sicherheitsrelevant sind."
Ein weiteres Beispiel ist die Definition von "schwerwiegenden IKT-Vorfällen",
die entsprechende Melde- und Dokumentationspflichten nach sich ziehen. Während
diese in der DORA-Verordnung eng definiert sind, legen die Umsetzungstexte der
EU-Behörden eine viel weitere Definition zugrunde - mit der Folge, dass nahezu
alle Vorfälle als "schwerwiegend" gezählt werden müssen. "Die EU-Behörden
schießen über das Ziel hinaus. Die Definitionen müssen an den ursprünglichen
Verordnungstext angepasst werden. Ansonsten entsteht ein unnötiger
Verwaltungsaufwand bei den Banken und eine Flut an vollkommen irrelevanten
Sicherheitsmeldungen", fordert Müller.
Der Verband betont seine konstruktive Haltung: Ziel sei nicht weniger
Regulierung, sondern bessere Regulierung. "Wir wollen DORA nicht aufhalten,
sondern praktikabel machen", sagt Müller. "Der GVB hat konkrete Vorschläge
vorgelegt, wie sich Doppelarbeiten vermeiden und kleine Banken entlasten lassen
- ohne Abstriche bei der Cybersicherheit. Das wäre echte Resilienz mit
Augenmaß."
Das Positionspapier kann auf der GVB-Webseite (https://www.gv-bayern.de/position
en.html#%23news-content%7C%2Fartikel%2F2025%2F10%2Fpositionspapier-zu-dora-erfah
rungen-aus-der-bankwirtschaftlichen-praxis.html%7Cajax) heruntergeladen werden.
