Übergangsfrist bis Ende 2026

DORA & Managed IT für kleine Wertpapierinstitute

Kleine und nicht verflochtene Wertpapierinstitute nutzen den vereinfachten IKT-Risikomanagementrahmen nach Artikel 16 DORA. Wir setzen ihn praktisch um und betreiben Ihre IT gleich mit: dokumentierter Rahmen, Monitoring, Vorfallmeldung und Backup, herstellerunabhängig und mit festem Ansprechpartner.

Art. 16

vereinfachter IKT-Rahmen

5 bis 15

diese DORA-Artikel entfallen

Ende 2026

Übergangsfrist

1

fester Ansprechpartner
01

Sind Sie ein kleines und nicht verflochtenes Wertpapierinstitut?

Diese Einstufung nach dem Wertpapierinstitutsgesetz (WpIG) entscheidet, welche DORA-Tiefe für Sie gilt. Sie orientiert sich an mehreren Kriterien. Die folgenden Punkte geben eine erste Richtung.

  • Überschaubares verwaltetes Vermögen und begrenztes Volumen bearbeiteter Kundenaufträge
  • Keine Verflechtung als bedeutendes oder gruppenweit vernetztes Institut
  • Bilanzsumme und Erträge unterhalb der maßgeblichen Schwellen
  • Kein umfangreicher Eigenhandel über den relevanten Grenzen
Die genauen Schwellen regelt das WpIG, die Einstufung prüft die BaFin. Fallen Sie darunter, gilt der vereinfachte Rahmen nach Artikel 16. Eine allgemeine Einordnung zu DORA gibt unser Ratgeber Was ist DORA. Für alle Finanzunternehmen jenseits dieser Einstufung ist unsere Seite zur DORA-konformen IT der richtige Einstieg.
02

Voller Rahmen oder vereinfachter Rahmen?

Der Unterschied entscheidet über Aufwand und Tiefe. Kleine und nicht verflochtene Institute arbeiten nach dem verhältnismäßigeren Artikel 16.

Voller IKT-Rahmen (Art. 5 bis 15)

  • Für größere und verflochtene Finanzunternehmen
  • Detaillierte Governance und Strategien
  • Umfangreiche Test- und Berichtspflichten
  • Hoher Dokumentations- und Ressourcenaufwand

Vereinfachter Rahmen (Art. 16)

  • Für kleine und nicht verflochtene Institute
  • Solider, dokumentierter IKT-Rahmen
  • Laufende Überwachung und Vorfallmeldung
  • Verhältnismäßig, aber verbindlich

Auch der vereinfachte Rahmen ist kein Freibrief: Er verlangt einen echten, gepflegten und nachweisbaren IKT-Risikomanagementrahmen. Die BaFin hat dazu 2025 konkretisierende Hinweise veröffentlicht.

03

Vom Paragraphen zur Leistung: der Rahmen in der Praxis

So übersetzen wir die Anforderungen des vereinfachten Rahmens in konkrete, laufende Managed-IT-Leistungen.

Anforderung (Art. 16) Was das bedeutet Unsere Managed-IT-Leistung
Dokumentierter IKT-Rahmen Ein schriftliches, gepflegtes Regelwerk für IKT-Risiken. Wir erstellen und pflegen die Dokumentation, Richtlinien und Prozesse mit Ihnen.
Laufende Überwachung Sicherheit und Funktion der IT-Systeme fortlaufend im Blick. Monitoring rund um die Uhr und konsequentes Patch-Management.
Schutz und Prävention Zugriffe absichern, Angriffe erschweren. Managed Firewall, Netzsegmentierung, Mehr-Faktor-Authentifizierung.
Erkennung und Meldung Vorfälle erkennen und fristgerecht melden können. Alarmierung, Notfallplan und geübte Meldewege.
Backup und Wiederherstellung Daten sichern und im Ernstfall zurückholen. Getestetes 3-2-1-Backup und dokumentierte Wiederherstellung.
Drittparteienmanagement Überblick und Verträge zu IKT-Dienstleistern. Als Ihr Dienstleister liefern wir die nötigen Nachweise und Vertragsbausteine.
Kein Wertpapierinstitut, aber trotzdem DORA-betroffen? Banken, Zahlungsdienstleister, Versicherungsvermittler und andere Finanzunternehmen finden den passenden Einstieg auf unserer allgemeinen Seite zur DORA-konformen IT. Wie DORA und NIS-2 zusammenhängen, zeigt unser Beitrag zu NIS-2 für KMU.

Den vereinfachten Rahmen jetzt sauber aufsetzen

Bis Ende 2026 ist genug Zeit, um es richtig zu machen, statt zu improvisieren. Im kostenfreien Erstgespräch ordnen wir Ihren Stand ein und zeigen die nächsten Schritte, ehrlich und ohne Verpflichtung.

Häufige Fragen

Ja. DORA gilt grundsätzlich für Wertpapierinstitute. Für kleine und nicht verflochtene Wertpapierinstitute gelten die Artikel 5 bis 15 aber nicht in voller Tiefe. Stattdessen greift nach Artikel 16 der vereinfachte IKT-Risikomanagementrahmen. Er verlangt weiterhin einen soliden, dokumentierten Rahmen, ist aber verhältnismäßiger ausgestaltet.

Das ist eine Einstufung nach dem Wertpapierinstitutsgesetz (WpIG), die sich an Kriterien wie verwaltetem Vermögen, bearbeiteten Kundenaufträgen, Bilanzsumme und Ertrag orientiert. Ob Ihr Haus darunterfällt, hängt vom Einzelfall ab und wird von der BaFin geprüft. Wir richten die IT an der für Sie geltenden Einstufung aus.

Für kleine und nicht verflochtene Wertpapierinstitute läuft eine Übergangsfrist bis Ende 2026. Wer jetzt beginnt, hat genügend Vorlauf, um den dokumentierten IKT-Rahmen sauber aufzubauen und im Betrieb zu verankern, statt kurz vor Fristablauf improvisieren zu müssen.

Sie müssen einen soliden, schriftlich dokumentierten Rahmen für das Management Ihrer IKT-Risiken errichten und pflegen, die Sicherheit und das Funktionieren Ihrer IT laufend überwachen, Vorfälle erkennen und melden können sowie Backup und Wiederherstellung sicherstellen. Der Rahmen wird regelmäßig überprüft und fortgeschrieben. Wir bilden diese Punkte in konkrete Managed-IT-Leistungen ab.

Ja. Genau das ist der Vorteil: Wir setzen den vereinfachten Rahmen nicht nur einmalig auf, sondern betreiben Ihre IT laufend mit, mit Monitoring, Patch-Management, Backup und einem festen Ansprechpartner. So fällt die Nachweisführung im Alltag leichter, weil Betrieb und Dokumentation zusammenlaufen.

Nein. Wir liefern die technische und organisatorische Umsetzung sowie die Nachweise. Die verbindliche aufsichtsrechtliche Bewertung, etwa Ihrer Einstufung nach WpIG und der konkreten DORA-Pflichten, gehört in fachkundige Hände. Diese Seite dient der Orientierung.

Interesse geweckt?

Erzählen Sie uns von Ihren Anforderungen – wir melden uns innerhalb von 24 Stunden mit konkreten Lösungsansätzen. Persönlich, pragmatisch, unverbindlich.

Direkter Draht

+49 211 542 496 65

[email protected]

Vor Ort

Garske Systems
Inh. Patrick Garske
An der Bausenheide 55
40474 Düsseldorf