Auch im Rahmen von DORA sehen wir seit dem offiziellen Inkrafttreten zu Beginn des Jahres Entlastungsbedarf. Trotz der Verankerung von Verhältnismäßigkeit in DORA wird genau diese in der praktischen Auslegung und in den technischen Regulierungsstandards (RTS/ITS) nicht konsequent durchdekliniert. Pflichten wie das vollständige Register aller IKT-Dienstleister, umfangreiche IT-Dokumentationen oder vielfach redundante Meldepflichten aus DORA, NIS2 und DSGVO erzeugen Aufwand ohne entsprechenden Sicherheitsgewinn. Sinnvolle Schwellenwerte – etwa nach Kritikalität, Auslagerungsvolumen oder Relevanz für die Geschäftsfortführung und langfristig standardisierte Meldeplattformen mit automatisiertem Datenabruf – könnten hier gezielt entlasten. So würden Ressourcen auf tatsächliche Risiken gelenkt statt in formalistische Pflichterfüllung gebunden.
Gleiches gilt für das Threat Led Penetration Testing (TLPT), das gemäß der deutschen Finanzmarktdigitalisierung keine risikoorientierte Begrenzung vorsieht. Gerade kleinere Institute verfügen in der Regel über weniger komplexe IT-Infrastrukturen und ein geringeres systemisches Risiko für den Finanzsektor.
Wir setzen uns dafür ein, dass Finanzinstitute aus dem CRA-Anwendungsbereich herausgelöst werden. Ferner sollten DORA und deutsche Umsetzungsgesetze wie das Finanzmarktdigitalisierungsgesetz die Verhältnismäßigkeit adäquat leben. Das gilt insbesondere für die Herausnahme kleinerer Institute aus TLPT. Die Regulierung soll sich auf das konzentrieren, was wirklich zählt – auf die Wirksamkeit der Resilienz.