Bankenaufsicht 2025: Cyberresilienz und DORA im Fokus

2025 stehen Banken und deren Dienstleister*innen vor einer Vielzahl neuer Herausforderungen: Cyberangriffe nehmen zu, digitale Abhängigkeiten wachsen und DORA bringt tiefgreifende Veränderungen mit sich. Doch welche Aspekte werden die Aufsichtsbehörden besonders kritisch prüfen? Das Nationale Aufsichtsprogramm (NAP) 2025 – 2027 gibt eine klare Richtung vor. 

Überblick über das Nationale Aufsichtsprogramm (NAP) 2025 – 2027 

Das Nationale Aufsichtsprogramm (NAP) wird jährlich gemeinsam von der BaFin und der Deutschen Bundesbank festgelegt. Es dient als Leitfaden für die Beaufsichtigung nationaler Kreditinstitute in Deutschland und basiert auf einer umfassenden Bewertung der Risiken und Handlungsfelder der beaufsichtigten Institute. Das Programm berücksichtigt auch die Schwerpunkte des Einheitlichen Europäischen Aufsichtsmechanismus (SSM) und passt sich aktuellen wirtschaftlichen und geopolitischen Entwicklungen an.

Für 2025 – 2027 wurden folgende Kernprioritäten festgelegt: 

1. Digitale Resilienz und Umsetzung von DORA – Die Sicherstellung der IT-Widerstandsfähigkeit von Finanzinstituten und die Überprüfung der Umsetzung von DORA. 

2. IT-Sicherheit und Cyberrisiken – Erhöhte Anforderungen an den Schutz vor Cyberangriffen und die Abhängigkeit von Drittanbietern. 

3. Risikomanagement und Kreditüberwachung – Beobachtung von Kreditvergabestandards und Bewertung von Sicherheiten, insbesondere im Gewerbeimmobilienmarkt. 

4. Governance und Geschäftsmodelle – Überprüfung der Führungsstrukturen und der langfristigen Tragfähigkeit der Geschäftsmodelle. 

5. Zinsrisiken und Marktvolatilität – Analyse der Zinssensitivität der Institute und potenzieller Auswirkungen auf ihre Finanzstabilität. 

DORA als Schwerpunkt: Umsetzung und regulatorische Kontrolle 

Die Stärkung der digitalen Resilienz ist das zentrale Ziel von DORA, und die Aufsicht wird 2025 gezielt prüfen, inwiefern Finanzinstitute ihre IT-Risiken tatsächlich im Griff haben. In den vergangenen Jahren haben Regulierer festgestellt, dass viele Banken zwar Richtlinien verabschiedet haben, deren Umsetzung in der Praxis jedoch oft lückenhaft bleibt.  

Ein besonderer Fokus liegt daher auf der operationalen Umsetzung des IKT-Risikomanagements. Institute müssen nachweisen, dass ihre Identifikation, Bewertung und Minderung von IT-Risiken nicht nur auf dem Papier existieren, sondern in den Geschäftsprozessen verankert sind. Dabei werden insbesondere folgende Fragen im Rahmen der Aufsicht relevant sein: 

• Gibt es etablierte und regelmäßig getestete Notfall- und Krisenpläne, die Cyberangriffe oder Systemausfälle realistisch simulieren? 

• Werden IKT-Risiken kontinuierlich überwacht, oder reagieren Institute erst, wenn Probleme auftreten? 

• Wie wird das Drittparteimanagement umgesetzt, insbesondere im Hinblick auf kritische IKT-Drittdienstleister? 

• Haben Banken ein vollständiges Informationsregister über ihre IT-Dienstleister*innen erstellt und bei Notwendigkeit auch sämtliche Unterauftragnehmer*innen erfasst? 

Exkurs Informationsregister:

Die Anforderungen an das Informationsregister für IKT-Drittdienstleister*innen sind dabei weiter konkretisiert worden. Gemäß Artikel 28 Absatz 3 DORA müssen Finanzinstitute nicht nur eine vollständige Übersicht über ihre Verträge mit IT-Dienstleister*innen führen, sondern diese auch fristgerecht bei der Aufsicht einreichen. Neben direkten Vertragspartner*innen müssen auch Unterauftragnehmer*innen dokumentiert werden, sofern sie kritische oder wichtige Funktionen für das Institut übernehmen. 

Die BaFin hat hierzu präzisiert, dass die ersten Register bis 11. April 2025 über die Melde- und Veröffentlichungsplattform (MVP) eingereicht werden müssen, um die Anforderungen der Europäischen Aufsichtsbehörden (ESAs) zu erfüllen. Diese Register werden anschließend von den zuständigen Behörden bis zum 30. April 2025 an die ESAs weitergeleitet. Ab 2026 erfolgt die Übermittlung jährlich zum 31. März, basierend auf den Vertragsinformationen des vorangegangenen Jahres. 

Praxisbeispiele: Wiederkehrende Schwachstellen aus Prüfungen 

Vergangene Prüfungen der Aufsichtsbehörden haben gezeigt, dass Finanzinstitute weiterhin erhebliche Defizite in ihrer digitalen Resilienz haben. Die fünf häufigsten Schwachstellen betreffen nach dem Monatsbericht der Bundesbank aus September 2024: 

• Kritische Schwachstellen im ICT-Risikomanagement – Über die Hälfte der identifizierten Findings wurden als „major“ oder „critical“ eingestuft. 

• Defizite im Management von Drittparteienrisiken – Finanzinstitute haben häufig unvollständige Verträge mit IKT-Drittdienstleister*innen und ein unzureichendes Risikomanagement in diesem Bereich. 

• Unzureichende Notfallplanung und Backup-Strategien – Ransomware-Angriffe haben gezeigt, dass viele Finanzinstitute keine robusten Backup- und Wiederherstellungsmechanismen implementiert haben. 

• Mangelhafte Identifikation und Dokumentation von IKT-Assets – In mehreren Prüfungen wurde festgestellt, dass Banken Defizite bei der Ermittlung des Schutzbedarfs von Informationen haben und damit einhergehend keine vollständigen und aktuellen Inventare ihrer IKT-Assets führen. 

• Fehlende Schulungen für Mitarbeitende zu Cybersecurity-Best-Practices – Mehr als zwei Drittel der Mitarbeiter*innen umgehen bewusst Sicherheitsvorgaben. Prüfungen zeigen, dass Schutzmaßnahmen oft unzureichend umgesetzt oder überprüft werden, was Banken anfälliger für Cyberangriffe macht. 

Fazit: DORA als Grundlage für eine zukunftssichere Bankenlandschaft 

Die konsequente Umsetzung von DORA und die Stärkung der digitalen Resilienz werden 2025 im Mittelpunkt der Bankenaufsicht stehen. Die Aufsichtsbehörden setzen verstärkt auf gezielte Prüfungen und eine enge Überwachung der Umsetzung von IT-Sicherheitsmaßnahmen. Banken, die frühzeitig handeln, können nicht nur regulatorische Anforderungen erfüllen, sondern sich auch strategische Vorteile im Wettbewerb sichern. Die kommenden Jahre werden zeigen, welche Institute in der Lage sind, die neuen Herausforderungen erfolgreich zu meistern.