Der Genossenschaftsverband Bayern (GVB) hat die EU-Verordnung Digital Operational Resilience Act (DORA) ins Visier genommen und fordert wesentliche Anpassungen. Diese Regulierung zielt darauf ab, die digitale Widerstandsfähigkeit im Finanzsektor zu stärken. „Obwohl DORA ein wichtiges Ziel verfolgt, ist das Regelwerk in der Praxis zu detailliert ausgefallen“, erklärt GVB-Präsident Stefan Müller in München. Besonders kleinere Banken sehen sich mit bürokratischen Anforderungen konfrontiert, die nicht ihrem Risikoprofil entsprechen.
In einem aktuellen Positionspapier präsentiert der Verband konkrete Verbesserungsvorschläge aus den Erfahrungen bayerischer Volksbanken und Raiffeisenbanken, die seit fast neun Monaten mit DORA arbeiten müssen. Das Papier illustriert anhand von Beispielen, wie Vorgaben praxisnäher und verhältnismäßiger gestaltet werden können – ohne Kompromisse bei der Cybersicherheit einzugehen. „Die Dokumentation für DORA umfasst bei einer mittelgroßen Regionalbank etwa 350 bis 400 Seiten im Organisationshandbuch“, so Müller weiter. „Das mag für große internationale Konzerne angemessen sein, aber nicht für regionale Banken.“
Der Verband drängt auf eine rasche Überarbeitung des DORA-Regelwerks und kritisiert den Plan der EU-Kommission, erst 2028 eine Überprüfung vorzunehmen: „Die bisherigen Praxiserfahrungen zeigen bereits jetzt auf, welche Regeln unpraktisch sind“, betont Müller.
Kritik übt der Verband auch an den Meldepflichten zentraler IT-Dienstleister: Für kleine Banken sei eine ständige Meldepflicht kaum umsetzbar und unverhältnismäßig. Ihre kritischen Systeme werden ohnehin von zentralen Dienstleistern überwacht, die selbst meldepflichtig sind.
Ein weiteres Problem stellt die Definition von „schwerwiegenden IKT-Vorfällen“ dar: Während diese in der Verordnung eng gefasst sind, verwenden EU-Behörden weitreichendere Definitionen – was dazu führt, dass nahezu alle Vorfälle als schwerwiegend eingestuft werden müssen.
Müller unterstreicht das konstruktive Anliegen des Verbands: Es gehe nicht um weniger Regulierung sondern um bessere Regulierung. Der GVB habe konkrete Vorschläge gemacht zur Entlastung kleiner Banken ohne Abstriche bei Cybersicherheit hinzunehmen – echte Resilienz mit Augenmaß eben.
Das vollständige Positionspapier steht auf der Webseite des GVB zum Download bereit.
Pressekontakt:
Dr. Gerald Schneider
Pressesprecher
Telefon: +49 89 / 2868 – 3401
E-Mail: presse@gv-bayern.de