Sind Sie ein kleines und nicht verflochtenes Wertpapierinstitut?
Diese Einstufung nach dem Wertpapierinstitutsgesetz (WpIG) entscheidet, welche DORA-Tiefe für Sie gilt. Sie orientiert sich an mehreren Kriterien. Die folgenden Punkte geben eine erste Richtung.
- Überschaubares verwaltetes Vermögen und begrenztes Volumen bearbeiteter Kundenaufträge
- Keine Verflechtung als bedeutendes oder gruppenweit vernetztes Institut
- Bilanzsumme und Erträge unterhalb der maßgeblichen Schwellen
- Kein umfangreicher Eigenhandel über den relevanten Grenzen
Voller Rahmen oder vereinfachter Rahmen?
Der Unterschied entscheidet über Aufwand und Tiefe. Kleine und nicht verflochtene Institute arbeiten nach dem verhältnismäßigeren Artikel 16.
Voller IKT-Rahmen (Art. 5 bis 15)
- Für größere und verflochtene Finanzunternehmen
- Detaillierte Governance und Strategien
- Umfangreiche Test- und Berichtspflichten
- Hoher Dokumentations- und Ressourcenaufwand
Vereinfachter Rahmen (Art. 16)
- Für kleine und nicht verflochtene Institute
- Solider, dokumentierter IKT-Rahmen
- Laufende Überwachung und Vorfallmeldung
- Verhältnismäßig, aber verbindlich
Auch der vereinfachte Rahmen ist kein Freibrief: Er verlangt einen echten, gepflegten und nachweisbaren IKT-Risikomanagementrahmen. Die BaFin hat dazu 2025 konkretisierende Hinweise veröffentlicht.
Vom Paragraphen zur Leistung: der Rahmen in der Praxis
So übersetzen wir die Anforderungen des vereinfachten Rahmens in konkrete, laufende Managed-IT-Leistungen.
| Anforderung (Art. 16) | Was das bedeutet | Unsere Managed-IT-Leistung |
|---|---|---|
| Dokumentierter IKT-Rahmen | Ein schriftliches, gepflegtes Regelwerk für IKT-Risiken. | Wir erstellen und pflegen die Dokumentation, Richtlinien und Prozesse mit Ihnen. |
| Laufende Überwachung | Sicherheit und Funktion der IT-Systeme fortlaufend im Blick. | Monitoring rund um die Uhr und konsequentes Patch-Management. |
| Schutz und Prävention | Zugriffe absichern, Angriffe erschweren. | Managed Firewall, Netzsegmentierung, Mehr-Faktor-Authentifizierung. |
| Erkennung und Meldung | Vorfälle erkennen und fristgerecht melden können. | Alarmierung, Notfallplan und geübte Meldewege. |
| Backup und Wiederherstellung | Daten sichern und im Ernstfall zurückholen. | Getestetes 3-2-1-Backup und dokumentierte Wiederherstellung. |
| Drittparteienmanagement | Überblick und Verträge zu IKT-Dienstleistern. | Als Ihr Dienstleister liefern wir die nötigen Nachweise und Vertragsbausteine. |
Den vereinfachten Rahmen jetzt sauber aufsetzen
Bis Ende 2026 ist genug Zeit, um es richtig zu machen, statt zu improvisieren. Im kostenfreien Erstgespräch ordnen wir Ihren Stand ein und zeigen die nächsten Schritte, ehrlich und ohne Verpflichtung.
Häufige Fragen
Interesse geweckt?
Erzählen Sie uns von Ihren Anforderungen – wir melden uns innerhalb von 24 Stunden mit konkreten Lösungsansätzen. Persönlich, pragmatisch, unverbindlich.
Direkter Draht
Vor Ort
Garske Systems
Inh. Patrick Garske
An der Bausenheide 55
40474 Düsseldorf