Der Genossenschaftsverband Bayern (GVB) hat Anpassungen bei der Umsetzung des Digital Operational Resilience Act (DORA) der EU gefordert. Diese Regulierung zielt darauf ab, die digitale Widerstandsfähigkeit im Finanzsektor zu verbessern. „Obwohl DORA ein wichtiges Ziel verfolgt, ist das Regelwerk in der Praxis zu detailliert und belastet insbesondere kleinere Banken mit übermäßigen bürokratischen Anforderungen, die nicht ihrem Risikoprofil entsprechen“, erklärte GVB-Präsident Stefan Müller am Donnerstag in München.
In einem aktuellen Positionspapier präsentiert der Verband konkrete Verbesserungsvorschläge. Diese basieren auf den Erfahrungen bayerischer Volksbanken und Raiffeisenbanken, die seit fast neun Monaten mit DORA arbeiten müssen. Das Papier zeigt anhand von Beispielen auf, wie man die Vorgaben praxistauglicher gestalten kann – ohne Abstriche bei der Cybersicherheit zu machen. „Die Strategien und Richtlinien für DORA umfassen bei einer mittelgroßen Volks- oder Raiffeisenbank etwa 350 bis 400 Seiten im Organisationshandbuch. Während dies für einen internationalen Großkonzern angemessen sein mag, passt es nicht zu einer Regionalbank“, betont Müller.
Der Verband fordert eine rasche Anpassung des DORA-Regelwerks anstatt bis zur geplanten Überprüfung durch die EU-Kommission im Jahr 2028 zu warten. „Die bisherigen Praxiserfahrungen zeigen bereits jetzt auf, welche Regeln unpraktisch sind; es gibt keinen Grund für eine dreijährige Verzögerung“, unterstreicht Müller.
Kritik übt der Verband auch an den Meldepflichten: „Für kleine Banken ist eine eigene Rund-um-die-Uhr-Meldepflicht kaum umsetzbar und unverhältnismäßig.“ Die kritischen Systeme dieser Banken werden ohnehin von zentralen Dienstleistern überwacht, welche selbst meldepflichtig sind – was zeigt, dass einige Pflichten unnötig und sicherheitsirrelevant sind.
Ein weiteres Problem stellt die Definition von „schwerwiegenden IKT-Vorfällen“ dar: Während diese in DORA eng definiert sind, verwenden EU-Behörden breitere Definitionen – was dazu führt, dass nahezu alle Vorfälle als schwerwiegend gelten müssen. Dies verursacht unnötigen Verwaltungsaufwand sowie irrelevante Sicherheitsmeldungen.
Trotz Kritik bleibt der Verband konstruktiv: Es geht um bessere statt weniger Regulierung.“Wir wollen keine Blockade von DORA erreichen sondern dessen Praktikabilität steigern,“ erklärt Müller weiter.“Der GVB hat Vorschläge gemacht wie Doppelarbeiten vermieden werden können ohne Kompromisse bei Cybersecurity einzugehen.“
Das vollständige Positionspapier steht zum Download auf unserer Webseite bereit.
Pressekontakt:
Dr. Gerald Schneider
Pressesprecher
Telefon: +49 89 / 2868 – 3401
E-Mail: presse@gv-bayern.de