Keba: KeBob - Ihr smarter Helfer im Foyer
ANWENDUNG17. Oktober 2025

DORA-Regulierung überfordert kleinere Banken – GVB setzt sich für Vereinfachung ein

Grok

Der Genossenschaftsverband Bayern (GVB) fordert Korrekturen bei der Umsetzung der EU-Verordnung Digital Operational Resilience Act (DORA). Ziel der Regulierung ist es, die digitale Widerstandsfähigkeit im Finanzsektor zu stärken. „DORA verfolgt ein richtiges Ziel. In der Praxis ist das Regelwerk aber zu kleinteilig geraten. Gerade kleinere Banken werden mit bürokratischen Anforderungen überzogen, die in keinem Verhältnis zu ihrem Risikoprofil stehen“, warnt GVB-Präsident Stefan Müller am Donnerstag in München.

In einem Positionspapier hat der Verband nun konkrete Verbesserungsvorschläge vorgelegt. Diese stammen aus der Praxis der bayerischen Volksbanken und Raiffeisenbanken, die DORA seit knapp neun Monaten umsetzen müssen. Der Verband zeigt in dem Papier anhand von Beispielen auf, wie die Vorgaben praxistauglicher und verhältnismäßiger gestaltet werden können – ohne Abstriche bei der Cybersicherheit. „Die Strategien, Leitlinien, Richtlinien und Verfahrensanweisungen für DORA füllen bei einer mittelgroßen Volks- und Raiffeisenbank rund 350 bis 400 Seiten im Organisationshandbuch. Das mag für einen internationalen Großkonzern angebracht sein, passt aber nicht zu einer Regionalbank. DORA ignoriert die Realität der Regionalbanken – und gefährdet damit ausgerechnet jene Institute, die in den Regionen die Versorgung mit Finanzdienstleistungen verlässlich gewährleisten“, sagt Müller.

Der Verband drängt auf schnelle Anpassungen am DORA-Regelwerk. Bislang ist angedacht, dass die EU-Kommission im Jahr 2028 eine Überprüfung der Verordnung vornimmt. „Die Praxiserfahrungen zeigen jetzt schon, welche Regeln praxisuntauglich sind. Es gibt keinen Grund, mit Verbesserungen an DORA noch drei Jahre zu warten“, betont Müller. Kritisch sieht der Verband unter anderem die fehlende Berücksichtigung zentraler IT-Dienstleister bei den Meldepflichten:

Für kleine Banken ist eine eigene 24/7-Meldepflicht fast nicht umsetzbar und unverhältnismäßig. Ihre kritischen Systeme werden ohnehin von zentralen Verbunddienstleistern überwacht, die ihrerseits meldepflichtig sind. DORA verkennt die Praxis und produziert Pflichten, die weder sinnvoll noch sicherheitsrelevant sind.“

Stefan Müller, Präsident des GVB

Schießt die EU bei DORA über das Ziel hinaus?

DORA Informationsregister
DORA

Ein weiteres Beispiel ist die Definition von „schwerwiegenden IKT-Vorfällen“, die entsprechende Melde- und Dokumentationspflichten nach sich ziehen. Während diese in der DORA-Verordnung eng definiert sind, legen die Umsetzungstexte der EU-Behörden eine viel weitere Definition zugrunde – mit der Folge, dass nahezu alle Vorfälle als „schwerwiegend“ gezählt werden müssen. „Die EU-Behörden schießen über das Ziel hinaus. Die Definitionen müssen an den ursprünglichen Verordnungstext angepasst werden. Ansonsten entsteht ein unnötiger Verwaltungsaufwand bei den Banken und eine Flut an vollkommen irrelevanten Sicherheitsmeldungen“, fordert Müller.

Der Verband betont seine konstruktive Haltung: Ziel sei nicht weniger Regulierung, sondern bessere Regulierung.

Wir wollen DORA nicht aufhalten, sondern praktikabel machen. Der GVB hat konkrete Vorschläge vorgelegt, wie sich Doppelarbeiten vermeiden und kleine Banken entlasten lassen – ohne Abstriche bei der Cybersicherheit. Das wäre echte Resilienz mit Augenmaß.“

Stefan Müller, Präsident des GVBtw

 
Sie finden diesen Artikel im Internet auf der Website:
https://itfm.link/234531

 

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert