← Zurück zur Startseite

DORA & FinmadiG: Was Versicherer jetzt wissen müssen

DORA ist da, FinmadiG folgt: Versicherer müssen ihre digitale Resilienz stärken – proportional zu Größe, Risiko und Ressourcen.
Bild von Jürgen Gerhard Ripp
Jürgen Gerhard Ripp
Jetzt teilen:

Mit dem Inkrafttreten des Digital Operational Resilience Act (DORA) am 17. Januar 2025 und der gestaffelten Umsetzung des Finanzmarktdigitalisierungsgesetzes (FinmadiG) steht Versicherern eine neue Phase der IKT-Aufsicht bevor. Ziel ist es, die digitale Widerstandsfähigkeit der Branche gegenüber Cyberangriffen und IT-Ausfällen nachhaltig zu stärken. Doch was bedeutet das konkret für Versicherer?

  • Ein IKT-Risikomanagement, das Bedrohungen frühzeitig erkennt und steuert.
  • Klare Meldepflichten für schwerwiegende IT-Vorfälle.
  • Regelmäßige Tests zur Überprüfung der digitalen Widerstandsfähigkeit.
  • Strenge Vorgaben für das Outsourcing und Management kritischer IKT-Dienstleister.

Einen kompakten Überblick zu Zielen, Inhalten und Hintergründen von DORA finden Sie in unserem Beitrag "DORA: Alle wichtigen Informationen auf einen Blick".

BaFin schafft DORA-Entlastung für kleinere Versicherer

Gerade für kleinere Versicherer stellt sich dabei die Herausforderung, diese Vorgaben mit begrenzten Ressourcen umzusetzen. An dieser Stelle greift der Proportionalitätsgrundsatz: Die Anforderungen werden an Größe, Geschäftsmodell, Komplexität und Risikoprofil des jeweiligen Versicherers angepasst. Für kleinere Versicherer und Vermittler bedeutet das: Sie müssen die Vorgaben erfüllen, können dies jedoch in einem Verhältnis umsetzen, das ihren Ressourcen entspricht.

Im August 2025 hat die BaFin hierzu praxisnahe Hinweise veröffentlicht. Diese sind zwar nicht rechtsverbindlich, bieten aber Orientierung und eröffnen gerade kleineren Versicherern konkrete Erleichterungen:

  • Einsatz eines vereinfachten IKT-Risikomanagementrahmens (Art. 16 DORA),
  • Anpassungen beim IKT-Drittparteien-Risikomanagement (Art. 28–30 DORA),
  • Reduzierung formaler Anforderungen mit stärkerem Fokus auf Governance und Dokumentation.

Damit schafft die Aufsicht Spielräume, um regulatorische Vorgaben wirksam umzusetzen, ohne kleinere Versicherer über Gebühr zu belasten.

1. IKT-Risikomanagement

Große Versicherer: Ein großer, international tätiger Versicherer muss ein hochkomplexes, mehrstufiges IKT-Risikomanagement-Rahmenwerk implementieren, das detaillierte Risikoanalysen für alle Systeme, Anwendungen und Prozesse umfasst. Dies beinhaltet die Nutzung einer hochspezialisierten GRC-Software (Governance, Risk, Compliance), die Durchführung regelmäßiger quantitativer Risikoanalysen und die Integration von IKT-Risikokennzahlen in das unternehmensweite Risikoreporting auf höchster Managementebene.

Kleinere Versicherer: Ein kleiner, national tätiger Versicherer mit einem überschaubaren IKT-System und weniger komplexen Geschäftsprozessen kann ein vereinfachtes IKT-Risikomanagement-Rahmenwerk implementieren. Dies könnte bedeuten:

  • Dokumentation: Statt einer umfangreichen GRC-Software kann eine klare, aber weniger detaillierte Dokumentation mittels einer modulbasierten und auf die Bedürfnisse kleinerer Versicherer angepassten GRC-Software ausreichen. Der Fokus liegt auf der Identifizierung und Bewertung der wesentlichen Risiken für die kritischen Geschäftsprozesse.
  • Risikoanalyse: Die Risikoanalyse kann qualitativer und weniger granular ausfallen. Statt komplexer quantitativer Modelle können Experteninterviews und Workshops zur Bewertung von Eintrittswahrscheinlichkeit und Schadensausmaß genügen.
  • Reporting: Das Reporting an die Geschäftsleitung kann weniger häufig und mit weniger Detailtiefe erfolgen, solange die wesentlichen Risiken und die ergriffenen Maßnahmen transparent dargestellt werden.

2. IKT-Drittparteien-Risikomanagement

Große Versicherer: Ein großer Versicherer, der zahlreiche IKT-Dienstleistungen an externe Cloud-Anbieter, Softwareentwickler und Rechenzentren auslagert, muss ein umfassendes Drittparteien-Risikomanagement etablieren. Dies beinhaltet detaillierte Due-Diligence-Prüfungen, regelmäßige Audits bei allen kritischen Dienstleistern, die Implementierung von Exit-Strategien und die kontinuierliche Überwachung der digitalen Resilienz der gesamten Lieferkette.

Kleinere Versicherer: Ein kleinerer Versicherer, der nur wenige IKT-Dienstleistungen auslagert, kann ein angepasstes Drittparteien-Risikomanagement implementieren:

  • Due Diligence: Die Due-Diligence-Prüfungen können sich auf die wichtigsten Aspekte der digitalen Resilienz und Sicherheit konzentrieren, ohne die gleiche Tiefe wie bei großen Anbietern zu erreichen. Standardisierte Fragebögen und Zertifizierungen können als Basis dienen.
  • Audits: Statt eigener, aufwendiger Audits kann der kleinere Versicherer auf Audit-Berichte der Dienstleister (z.B. ISAE 3402, SOC 2) zurückgreifen oder sich an gemeinsamen Audits mit anderen Nutzern des Dienstleisters beteiligen.
  • Vertragsgestaltung: Die Verträge müssen die DORA-Anforderungen berücksichtigen, können aber in ihrer Komplexität und den spezifischen Klauseln weniger umfangreich sein, solange die wesentlichen Schutzmechanismen enthalten sind.

Mit der PASS GRC Suite das Interne Kontrollsystem managen

Das Interne Kontrollsystem (IKS) anzupassen und die Übersicht zu behalten, wird aufgrund aufsichtsrechtlicher Regularien und zunehmender Komplexität innerhalb von Versicherungen immer schwieriger. Die PASS GRC Suite verfügt über eine branchenspezifische IKS Software und hilft Versicherungsunternehmen bei der Umsetzung, Überwachung und Einhaltung der Leitlinien zu Auslagerungen sowie für das Management von IKT- und Sicherheitsrisiken.
Hier informieren
Tipp!

3. Meldepflichten für IKT-Vorfälle

Große Versicherer: Große Versicherer müssen detaillierte Prozesse für die Meldung von IKT-Vorfällen etablieren, die eine schnelle Erkennung, Klassifizierung und Meldung an die Aufsichtsbehörden innerhalb sehr kurzer Fristen ermöglichen. Dies erfordert automatisierte Systeme zur Vorfallerkennung und ein dediziertes Incident-Response-Team.

Kleinere Versicherer: Kleinere Versicherer müssen ebenfalls IKT-Vorfälle melden, die Prozesse können jedoch vereinfacht sein:

  • Prozesse: Statt hochautomatisierter Systeme können manuelle Prozesse zur Erkennung und Meldung von Vorfällen ausreichen, solange die Meldepflichten fristgerecht erfüllt werden können. Ein klar definierter Eskalationspfad und Verantwortlichkeiten sind hier entscheidend.
  • Dokumentation: Die Dokumentation des Vorfalls kann weniger detailliert sein, solange alle relevanten Informationen für die Aufsichtsbehörde enthalten sind.

4. Tests der digitalen operationalen Resilienz

Große Versicherer: Große Versicherer müssen regelmäßig fortgeschrittene Tests der digitalen operationalen Resilienz durchführen, einschließlich Threat-Led Penetration Testing (TLPT) durch externe, zertifizierte Dienstleister. Diese Tests sind aufwendig und erfordern eine detaillierte Planung und Nachbereitung.

Kleinere Versicherer: Kleinere Versicherer müssen ebenfalls Tests durchführen, die jedoch weniger komplex sein können:

  • Testarten: Statt TLPT können regelmäßige Schwachstellenanalysen, Penetrationstests (scope-basiert) und Funktionstests der Backup- und Wiederherstellungssysteme ausreichen. Die Tests können auch in längeren Intervallen durchgeführt werden.
  • Ressourcen: Die Tests können mit weniger internem Personal und gegebenenfalls mit Unterstützung externer Dienstleister durchgeführt werden, die auf die Bedürfnisse kleinerer Unternehmen spezialisiert sind.

5. Governance

Große Versicherer: Die Geschäftsleitung großer Versicherer muss sich regelmäßig und detailliert mit der digitalen operationalen Resilienz befassen, umfassende Berichte erhalten und strategische Entscheidungen treffen. Es gibt klare Verantwortlichkeiten auf Vorstandsebene für IKT-Risiken.

Kleinere Versicherer: Auch bei kleineren Versicherern muss die Geschäftsleitung die Verantwortung tragen, die Ausgestaltung der Governance kann jedoch einfacher sein:

  • Berichterstattung: Die Berichterstattung an die Geschäftsleitung kann weniger formalisiert und in kürzeren Abständen erfolgen, solange die wesentlichen Informationen zur digitalen Resilienz und zu den IKT-Risiken vermittelt werden.
  • Rollen: Die Aufgaben des IKT-Risikomanagements können von bestehenden Mitarbeitern mit entsprechenden Qualifikationen übernommen werden, ohne dass zwingend neue, dedizierte Positionen geschaffen werden müssen.

DORA-Anforderungen für Versicherer im Vergleich: große vs. kleine Versicherer

BereichGroße Versicherer Kleine Versicherer
IKT-Risikomanagement
  • Mehrstufiges, komplexes Rahmenwerk
  • Nutzung hochspezialisierter GRC-Software
  • Quantitative Risikoanalysen
  • Integration von IKT-Risikokennzahlen ins Management-Reporting
  • Vereinfachtes Rahmenwerk
  • Modulbasierte GRC-Software
  • Qualitative Risikoanalysen (Workshops, Interviews)
  • Schlankeres Reporting an die Geschäftsleitung
IKT-Drittparteien-Risikomanagement
  • Umfassende Due-Diligence-Prüfungen
  • Regelmäßige Audits bei kritischen Dienstleistern
  • Exit-Strategien
  • Permanente Überwachung der Lieferkette
  • Fokus auf wesentliche Resilienz-Aspekte
  • Standardisierte Fragebögen, Zertifizierungen
  • Nutzung externer Audit-Berichte
  • Verträge einfacher, aber DORA-konform
Meldepflichten für IKT-Vorfälle
  • Automatisierte Systeme zur Vorfallerkennung
  • Dediziertes Incident-Response-Team
  • Meldung innerhalb kurzer Fristen
  • Manuelle Prozesse möglich
  • Klare Eskalationspfade und Verantwortlichkeiten
  • Weniger detaillierte, aber vollständige Dokumentation
Tests der digitalen Resilienz
  • Regelmäßige, komplexe Tests
  • TLPT durch externe Spezialisten
  • Hoher Planungs- und Nachbereitungsaufwand
  • Weniger komplexe Tests (Schwachstellenanalysen, Penetrationstests im begrenzten Umfang)
  • Funktionstests von Backups/Wiederherstellung
  • Längere Intervalle möglich
  • Unterstützung durch spezialisierte Dienstleister
Governance
  • Vorstand trägt Verantwortung für IKT-Risiken
  • Regelmäßige, detaillierte Berichte
  • Strategische Entscheidungen auf höchster Ebene
  • Verantwortung ebenfalls bei der Geschäftsleitung
  • Einfachere Berichtsformate in kürzeren Abständen
  • Aufgaben können von vorhandenen Mitarbeitern übernommen werden

Fazit

DORA und FinmadiG stellen die Versicherungswirtschaft vor neue Herausforderungen. Der Proportionalitätsgrundsatz und die BaFin-Hinweise schaffen jedoch praxisnahe Orientierung. Gerade kleinere Versicherer können die regulatorischen Vorgaben ressourcenschonend umsetzen – und gleichzeitig ihre digitale Widerstandsfähigkeit gezielt stärken.

Ein wesentlicher Baustein dabei ist ein funktionierendes Internes Kontrollsystem (IKS). Der Einsatz einer entsprechenden Software unterstützt Versicherer im Kontext von DORA dabei,

  • aufsichtsrechtliche Verstöße zu vermeiden,
  • mögliche Abweichungen frühzeitig zu erkennen,
  • eine übergeordnete Kontrollebene für die Umsetzung der Anforderungen einzuziehen,
  • sowie Nachweise zentral und revisionssicher abzulegen und zu pflegen.

Damit wird deutlich: Ein systematisch aufgesetztes IKS kann zu einem zentralen Hebel werden, um die neuen regulatorischen Vorgaben effizient, nachvollziehbar und zukunftssicher zu erfüllen.

Bildquelle: Shutterstock

Schreibe einen Kommentar

Ähnliche Artikel
Linkedin Instagram Facebook Youtube Soundcloud Rss