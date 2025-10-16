DORA-Regulierung überfordert kleinere Banken - GVB legt praxisnahe

Verbesserungsvorschläge vor / Genossenschaftsverband Bayern dringt

nach ersten Praxiserfahrungen auf schnelle Vereinfachungen

München (ots) - Der Genossenschaftsverband Bayern (GVB) fordert Korrekturen bei

der Umsetzung der EU-Verordnung Digital Operational Resilience Act (DORA). Ziel

der Regulierung ist es, die digitale Widerstandsfähigkeit im Finanzsektor zu

stärken. "DORA verfolgt ein richtiges Ziel. In der Praxis ist das Regelwerk aber

zu kleinteilig geraten. Gerade kleinere Banken werden mit bürokratischen

Anforderungen überzogen, die in keinem Verhältnis zu ihrem Risikoprofil stehen",

warnt GVB-Präsident Stefan Müller am Donnerstag in München.

In einem Positionspapier hat der Verband nun konkrete Verbesserungsvorschläge

vorgelegt. Diese stammen aus der Praxis der bayerischen Volksbanken und

Raiffeisenbanken, die DORA seit knapp neun Monaten umsetzen müssen. Der Verband

zeigt in dem Papier anhand von Beispielen auf, wie die Vorgaben praxistauglicher

und verhältnismäßiger gestaltet werden können - ohne Abstriche bei der

Cybersicherheit. "Die Strategien, Leitlinien, Richtlinien und

Verfahrensanweisungen für DORA füllen bei einer mittelgroßen Volks- und

Raiffeisenbank rund 350 bis 400 Seiten im Organisationshandbuch. Das mag für

einen internationalen Großkonzern angebracht sein, passt aber nicht zu einer

Regionalbank. DORA ignoriert die Realität der Regionalbanken - und gefährdet

damit ausgerechnet jene Institute, die in den Regionen die Versorgung mit

Finanzdienstleistungen verlässlich gewährleisten", sagt Müller.

Der Verband drängt auf schnelle Anpassungen am DORA-Regelwerk. Bislang ist

angedacht, dass die EU-Kommission im Jahr 2028 eine Überprüfung der Verordnung

vornimmt. "Die Praxiserfahrungen zeigen jetzt schon, welche Regeln

praxisuntauglich sind. Es gibt keinen Grund, mit Verbesserungen an DORA noch

drei Jahre zu warten", betont Müller.

Kritisch sieht der Verband unter anderem die fehlende Berücksichtigung zentraler

IT-Dienstleister bei den Meldepflichten: "Für kleine Banken ist eine eigene

24/7-Meldepflicht fast nicht umsetzbar und unverhältnismäßig. Ihre kritischen

Systeme werden ohnehin von zentralen Verbunddienstleistern überwacht, die

ihrerseits meldepflichtig sind. DORA verkennt die Praxis und produziert

Pflichten, die weder sinnvoll noch sicherheitsrelevant sind."

Ein weiteres Beispiel ist die Definition von "schwerwiegenden IKT-Vorfällen",

die entsprechende Melde- und Dokumentationspflichten nach sich ziehen. Während

diese in der DORA-Verordnung eng definiert sind, legen die Umsetzungstexte der

EU-Behörden eine viel weitere Definition zugrunde - mit der Folge, dass nahezu

alle Vorfälle als "schwerwiegend" gezählt werden müssen. "Die EU-Behörden

schießen über das Ziel hinaus. Die Definitionen müssen an den ursprünglichen

Verordnungstext angepasst werden. Ansonsten entsteht ein unnötiger

Verwaltungsaufwand bei den Banken und eine Flut an vollkommen irrelevanten

Sicherheitsmeldungen", fordert Müller.

Der Verband betont seine konstruktive Haltung: Ziel sei nicht weniger

Regulierung, sondern bessere Regulierung. "Wir wollen DORA nicht aufhalten,

sondern praktikabel machen", sagt Müller. "Der GVB hat konkrete Vorschläge

vorgelegt, wie sich Doppelarbeiten vermeiden und kleine Banken entlasten lassen

- ohne Abstriche bei der Cybersicherheit. Das wäre echte Resilienz mit

Augenmaß."

Das Positionspapier kann auf der GVB-Webseite (https://www.gv-bayern.de/position

en.html#%23news-content%7C%2Fartikel%2F2025%2F10%2Fpositionspapier-zu-dora-erfah

rungen-aus-der-bankwirtschaftlichen-praxis.html%7Cajax) heruntergeladen werden.

Pressekontakt:

Dr. Gerald Schneider

Pressesprecher

Telefon: +49 89 / 2868 - 3401

E-Mail: mailto:presse@gv-bayern.de

Weiteres Material: http://presseportal.de/pm/24076/6138901

OTS: Genossenschaftsverband Bayern e.V.