DORA Proportionalität & vereinfachter Rahmen

DORA-Proportionalitat: Anforderungen nach Grosse und Risiko

Die DORA-Verordnung erkennt an, dass Finanzunternehmen unterschiedliche Grossen, Komplexitaten und Risikoprofile aufweisen. Das Proportionalitatsprinzip (Art. 4) stellt sicher, dass die Anforderungen an das IKT-Risikomanagement dem jeweiligen Risikoprofil angemessen sind. Fur Kleinstunternehmen sieht Artikel 16 einen vereinfachten IKT-Risikomanagementrahmen vor, der die Compliance-Last erheblich reduziert — ohne das grundlegende Schutzniveau aufzugeben.

Was ist das Proportionalitatsprinzip? (Art. 4)

Artikel 4 der DORA-Verordnung verankert das Proportionalitatsprinzip als durchganiges Leitprinzip fur die gesamte Verordnung. Finanzunternehmen mussen die Anforderungen der Kapitel II bis IV unter Berucksichtigung folgender Faktoren umsetzen:

• Grosse des Unternehmens (Bilanzsumme, Mitarbeiterzahl, Umsatz)
• Art, Umfang und Komplexitat der erbrachten Finanzdienstleistungen
• Risikoprofil der IKT-Systeme und -Prozesse
• Gesamtrisikoprofil des Unternehmens einschliesslich Geschaftsmodell und Marktposition
• Interkonnektivitat mit anderen Finanzunternehmen und der Finanzinfrastruktur

Das Proportionalitatsprinzip ist kein Freibrief fur reduzierte Sicherheit. Es bedeutet vielmehr, dass der Aufwand fur die Umsetzung dem tatsachlichen Risiko angemessen sein muss. Ein kleines Zahlungsinstitut mit einfachen Prozessen muss nicht denselben Dokumentationsumfang vorhalten wie eine systemrelevante Grossbank — die grundlegenden Schutzziele bleiben jedoch fur alle gleich.

Wer qualifiziert sich fur den vereinfachten Rahmen?

Der vereinfachte IKT-Risikomanagementrahmen nach Artikel 16 steht Kleinstunternehmen zur Verfugung, die bestimmte Grossenkriterien erfullen. Die Definition basiert auf der EU-Empfehlung 2003/361/EG:

Beide Kriterien mussen gleichzeitig erfullt sein. Sobald eines der Kriterien uberschritten wird, gelten die vollstandigen DORA-Anforderungen. Daruber hinaus konnen die zustandigen Aufsichtsbehorden bestimmte Finanzunternehmen auch bei Erfullung der Grossenkriterien vom vereinfachten Rahmen ausschliessen, wenn deren Risikoprofil dies erfordert.

Art. 16 im Detail: Was ist vereinfacht?

Der vereinfachte Rahmen nach Artikel 16 reduziert die Anforderungen in mehreren Bereichen, behalt aber die grundlegenden Schutzprinzipien bei:

Reduzierter IKT-Risikomanagementrahmen

Kleinstunternehmen mussen einen IKT-Risikomanagementrahmen unterhalten, der jedoch weniger komplex und weniger formalisiert sein darf als der vollstandige Rahmen nach Art. 6. Die wesentlichen Elemente umfassen:

• Eine grundlegende IKT-Sicherheitsstrategie, die das Engagement des Leitungsorgans dokumentiert
• Einfache Schutzmassnahmen fur IKT-Systeme (Zugriffskontrollen, Verschlusselung, Patch-Management)
• Grundlegende Erkennungsmechanismen fur anomale Aktivitaten und IKT-bezogene Vorfalle
• Einfache Notfallplane fur die Wiederherstellung kritischer Geschaftsfunktionen
• Dokumentationspflichten in reduziertem Umfang

Reduzierte Governance-Anforderungen

Die Governance-Pflichten nach Art. 5 gelten auch fur Kleinstunternehmen, sind aber im Umfang reduziert. Das Leitungsorgan tragt weiterhin die Gesamtverantwortung, muss aber keine eigene, unabhangige IKT-Kontrollfunktion einrichten. Die Schulungspflichten konnen in vereinfachter Form erfullt werden.

Vergleich: Vollstandiger vs. vereinfachter Rahmen

Was bleibt gleich? Keine Erleichterung bei Meldepflichten

Wichtig zu verstehen: Bestimmte DORA-Anforderungen gelten fur alle Finanzunternehmen unabhangig von der Grosse und werden nicht durch den vereinfachten Rahmen reduziert:

• Meldepflichten (Art. 17-23): Die Pflicht zur Meldung schwerwiegender IKT-Vorfalle gilt fur alle Finanzunternehmen — einschliesslich der Meldefristen (4h / 72h / 1 Monat). Details auf unserer Seite zur DORA-Meldepflicht.
• Drittparteienrisiko-Grundpflichten (Art. 28-30): Auch Kleinstunternehmen mussen ihre IKT-Drittanbieter angemessen steuern, Vertrage gemas Art. 30 gestalten und ein Informationsregister fuhren. Der Umfang darf jedoch proportional sein.
• Vorfallmanagement: Die Klassifizierung und Behandlung von IKT-Vorfallen bleibt auch im vereinfachten Rahmen verpflichtend.

Proportionalitat bei Resilienztests

Die Resilienztests nach DORA unterliegen ebenfalls dem Proportionalitatsprinzip:

• Kleinstunternehmen (Art. 16): Vereinfachte Tests, keine TLPT-Pflicht. Basis-Tests wie Schwachstellenscans und einfache Szenario-Tests sind ausreichend.
• Mittlere Unternehmen: Vollstandiges Basis-Testprogramm (Art. 25), keine TLPT-Pflicht — es sei denn, die Aufsichtsbehorde ordnet dies an.
• Systemrelevante Institute: Vollstandiges Basis-Testprogramm plus TLPT mindestens alle drei Jahre (Art. 26-27).

Praktische Empfehlungen fur Kleinstunternehmen

Auch wenn der vereinfachte Rahmen den Aufwand reduziert, mussen Kleinstunternehmen proaktiv handeln. Folgende Massnahmen sollten prioritar umgesetzt werden:

• Grundlegende IKT-Sicherheitsstrategie: Ein kompaktes Dokument (5-10 Seiten), das die IKT-Risikostrategie, Verantwortlichkeiten und grundlegenden Schutzmassnahmen beschreibt
• Kritische Systeme identifizieren: Liste aller IKT-Systeme, die fur die Geschaftskontinuitat wesentlich sind
• Meldeprozess etablieren: Auch Kleinstunternehmen mussen schwerwiegende Vorfalle innerhalb von 4 Stunden melden konnen — ein einfacher, dokumentierter Prozess ist Pflicht
• Drittanbieter dokumentieren: Alle IKT-Dienstleister im Informationsregister erfassen, auch wenn der Umfang geringer ist
• Regelm. Schwachstellenscans: Automatisierte Scans der IKT-Systeme als Mindest-Testmassnahme

Eine vollstandige Ubersicht aller DORA-Anforderungen — fur den vereinfachten und den vollstandigen Rahmen — findest du auf unserer DORA-Anforderungsseite. Fur die operative Umsetzung empfehlen wir unsere Ubersicht zu Kosten und Ablauf.