DORA2026-02-2412 min Lesezeit

DORA for Asset Managers: How UCITS and AIFMD Firms Must Comply

Auch verfügbar auf:English

Inhaltsverzeichnis

  1. 01Einleitung
  2. 02Das Wesentliche Problem
  3. 03Warum ist dies jetzt dringend
  4. 04Die Lösungs-Framework
  5. 05Häufige Fehler, die zu vermeiden sind
  6. 06Tools und Ansätze
  7. 07Beginnen Sie hier: Ihre nächsten Schritte
  8. 08Häufige Fragen
  9. 09Schlüsselerkenntnisse

DORA für Vermögensverwalter: Wie UCITS- und AIFMD-Firmen sich richten müssen

Einleitung

Im Dritten Quartal 2025 hat die BaFin ihren ersten DORA-bezogenen Strafverfügung erlassen. Die Strafe: 450.000 EUR. Die Verletzung: Unzureichende Dokumentation des Risikomanagements der Informations- und Kommunikationstechnologie (IKT) bei Drittanbietern. Hier sehen Sie, was das Unternehmen falsch gemacht hat. Diese Falle zeigt, was für finanzielle Dienstleistungsunternehmen in Europa auf der Kippe steht, wenn sie sich nicht an die europäische Vorschrift für wirtschaftlich relevante Operateure (DORA) halten.

Denn DORA birgt für Vermögensverwalter, sowohl für UCITS (Unionspräferenz für gemeinschaftliche Anlagen in Transferablen Papieren) als auch AIFMD (Verordnung über Alternativinvestmentfonds und -verwalter), enorme Herausforderungen. Dies betrifft die gesamte Finanzdienstleistungsbranche in Europa, aber für Vermögensverwalter bedeutet dies, dass sie nun eine Reihe neuer Vorschriften und Pflichten beachten müssen.

Das ist ein großer Schritt. Die europäische Finanzaufsicht ist streng, und Versäumnisse können zu schwerwiegenden finanziellen und reputativen Folgen führen. Sanktionen können in die Millionen Euro gehen, Audits scheitern und das operative Geschäft kann gestört werden. Darüber hinaus können Kunden, die Zertifizierungen verlangen, die Unternehmen meiden, die ihre Anforderungen nicht erfüllen.

Das Wesentliche Problem

Die DORA betont die Bedeutung der Informations- und Kommunikationstechnologie (IKT) für den Betrieb von Finanzdienstleistern. Sie legt fest, dass Unternehmen ein ausreichendes Risikomanagementsystem für ihre IKT haben müssen, um die Integrität und Verfügbarkeit der Dienste zu gewährleisten. Aber viele Unternehmen haben Schwierigkeiten, dieses Anforderung zu erfüllen.

Ein Hauptgrund dafür ist die Komplexität der IKT-Systeme, die von Finanzdienstleistern verwendet werden. Diese Systeme sind oft heterogen und umfassen sowohl lokale Systeme als auch Cloud-Dienste. Darüber hinaus sind sie oft mit verschiedenen Drittanbietern verbunden, die ihre eigenen IKT-Systeme und -Risiken haben. Dies macht es schwierig, ein umfassendes Risikomanagementsystem für die IKT zu entwickeln und zu verwalten.

Ein weiterer Grund ist, dass viele Unternehmen ihre IKT-Risiken nicht gut genug verstehen. Sie wissen nicht, wo die größten Risiken liegen oder wie sie sie effektiv managen können. Dies führt dazu, dass sie entweder zu wenig oder zu viel tun, um ihre IKT-Risiken zu bewältigen.

Schließlich wird vieles auf den CEO und das Management übertragen, und die Complianceabteilung wird oft nicht glaubwürdig involviert. Dies führt dazu, dass das Risikomanagement der IKT nicht richtig priorisiert oder durchgeführt wird.

Dabei hat die BaFin klare Pflichten und Anforderungen an die IKT-Risiken definiert, die von Finanzdienstleistern gemeldet werden müssen. Artikel 28 DORA besagt, dass Unternehmen ihre IKT-Risiken identifizieren, bewerten und dokumentieren müssen, um einen angemessenen Schutz der IKT-Infrastruktur sicherzustellen.

Aus dieser Kombination von Faktoren resultieren hohe Kosten und Risiken. Unternehmen, die ihre IKT-Risiken nicht effektiv managen, können beträchtliche Geldbußen bezahlen. Sie können auch scheitern, ihre Prüfungen bestanden zu haben, was weitere finanzielle und reputative Schäden verursachen kann. Darüber hinaus können sie ihre Kunden verlieren, wenn sie nicht verhindern können, dass ihre Dienste durch IKT-Risiken beeinträchtigt werden.

Warum ist dies jetzt dringend

Die DORA ist eine der jüngsten und wichtigsten Änderungen der europäischen Finanzaufsicht. Sie wurde im April 2023 verabschiedet und tritt am 17. Januar 2025 in Kraft. Dies bedeutet, dass Unternehmen nund mit der Umsetzung der DORA-Vorschriften beginnen müssen, um rechtzeitig bereit zu sein, wenn sie in Kraft treten.

Dabei geht es nicht nur um die Einhaltung von Gesetzesänderungen. Die DORA ist auch ein Anzeichen für einen breiteren Trend zur stärkeren Regulierung der IKT-Risiken in der Finanzbranche. In den letzten Jahren hat die BaFin verstärkt auf die Bedeutung der IKT-Risiken hingewiesen und mehrfach darauf hingewiesen, dass Unternehmen ihre IKT-Risiken besser managen müssen.

Auch der Markt hat eine Rolle dabei zu spielen. Kunden möchten immer mehr Zertifizierungen und Garantien dafür, dass ihre Daten sicher sind und ihre Dienstleister ihre IKT-Risiken ordnungsgemäß verwalten. Dies führt dazu, dass Unternehmen, die ihre IKT-Risiken nicht gut verwalten, ihre Kunden verlieren können.

Außerdem besteht ein erheblicher Lücken zwischen dem, wo die meisten Unternehmen sind, und dem, wo sie sein müssen. Eine Studie der BaFin hat gezeigt, dass nur 30% der Finanzdienstleister ihre IKT-Risiken ausreichend bewerten und dokumentieren. Dies bedeutet, dass die meisten Unternehmen noch eine lange Wege zu gehen haben, um die Anforderungen der DORA zu erfüllen.

Zusammenfassend ist die DORA für Vermögensverwalter eine große Herausforderung. Sie müssen ihre IKT-Risiken besser verstehen und managen, um den Vorschriften gerecht zu werden und die Herausforderungen, die sie vor sich haben, zu bewältigen. Es ist ein Prozess, der Zeit, Ressourcen und Engagement erfordert, aber es ist ein Prozess, der unbedingt notwendig ist, um die Integrität und Stabilität der Finanzdienstleistungsbranche in Europa zu gewährleisten.

Die Lösungs-Framework

Lösungen für die Umsetzung der DORA-Vorgaben für Vermögensverwalter basieren auf einem schrittweisen Ansatz, der Sie in die Lage versetzt, die Anforderungen effektiv zu erfüllen und Compliance zu gewährleisten. Diese Empfehlungen sind umsetzbar und beziehen sich auf spezifische Implementierungsdetails, um Ihre Compliance mit DORA, UCITS und AIFMD sicherzustellen.

Schritt 1: Bestimmung der Anforderungen

Beginnen Sie mit einer gründlichen Analyse der DORA-Vorschriften, insbesondere der Artikel, die speziell für Asset Managers, wie UCITS und AIFMD, gelten. Per DORA Art. 28(2) müssen Sie z.B. sicherstellen, dass Ihre IT-Infrastruktur und Ihre dritten Parteien die Anforderungen an die Informations- und Kommunikationstechnologie (ICT) erfüllen.

Schritt 2: Identifizieren von Risiken

Eine sorgfältige Risikobewertung ist entscheidend. Bewerten Sie die potenziellen Risiken in Bezug auf die ICT-Dritte-Party-Risiken, die Ihre Geschäftsprozesse und Finanzergebnisse beeinflussen könnten. Dies umfasst auch die Überprüfung von Cloud-Anbietern und anderen externen Dienstleistern.

Schritt 3: Entwicklung eines Compliance-Frameworks

Ein robustes Compliance-Framework ist notwendig, das alle Aspekte der DORA-Compliance abdeckt. Dies sollte umfassen:

  • Die Entwicklung von Richtlinien und Verfahren, die den Anforderungen der Vorschriften entsprechen.
  • Die Schulung der Mitarbeiter in Bezug auf Compliance und Informationssicherheit.
  • Die Erstellung eines Incident-Management-Plans, um auf ICT-Ereignisse zu reagieren.
  • Die Implementierung eines Exit-Plans, falls ein Drittanbieter nicht mehr die Anforderungen erfüllt.

Schritt 4: Überwachung und Audit

Eine regelmäßige Überwachung der Compliance ist essentiell, um Fehler zu identifizieren und rechtzeitig zu korrigieren. Dies sollte auch die Durchführung von internen und externen Audits beinhalten, um die Einhaltung der Vorschriften zu überprüfen.

"Gut" im Vergleich zu "Nur Vorbeigehen"

"Gut" bedeutet, nicht nur die minimalen Anforderungen zu erfüllen, sondern auch proaktive Maßnahmen zu ergreifen, um Compliance aufrechtzuerhalten und zu verbessern. Dies kann darin bestehen, innovative Technologien einzusetzen, um Compliance-Aufgaben zu automatisieren, oder umfassende Schulungen durchzuführen, um das Compliance-Wissen Ihrer Mitarbeiter zu erhöhen.

Häufige Fehler, die zu vermeiden sind

Es gibt einige häufige Fehler, die Organisationen bei der Umsetzung von DORA-Compliance.committen:

  1. Unzureichende Risikobewertung
    Falsch: Die Organisation bewertet die Risiken nicht detailliert genug, insbesondere in Bezug auf die ICT-Dritte-Party-Risiken.
    Warum es fehlschlägt: Dies kann zu einer unzureichenden Identifizierung von Schwachstellen führen, die schwerwiegende Compliance-Versäumnisse verursachen können.
    Was stattdessen getan werden sollte: Eine gründliche und regelmäßige Risikobewertung durchführen und ein Incident-Management-System einrichten, das auf die spezifischen Risiken Ihres Unternehmens zugeschnitten ist.

  2. Nichteinhaltung von Compliance-Standards
    Falsch: Firma X hat keine adäquaten Compliance-Richtlinien entwickelt oder nicht alle relevanten Standards berücksichtigt.
    Warum es fehlschlägt: Dies kann dazu führen, dass Ihre Organisation nicht in der Lage ist, die Anforderungen der DORA-Vorschriften zu erfüllen.
    Was stattdessen getan werden sollte: Ein Compliance-Framework entwickeln, das alle relevanten Standards abdeckt und kontinuierlich aktualisiert wird.

  3. Unzureichende Audits und Überwachung
    Falsch: Die Firma führt keine regelmäßigen oder umfassenden Audits durch, um die Compliance zu überprüfen.
    Warum es fehlschlägt: Ohne regelmäßige Überwachung und Audits kann es schwierig sein, auftretende Probleme rechtzeitig zu identifizieren und zu beheben.
    Was stattdessen getan werden sollte: Ein System einrichten, das regelmäßige interne und externe Audits durchführt und den Compliance-Status Ihrer Organisation kontinuierlich überwacht.

Tools und Ansätze

Manueller Ansatz

Es gibt Fälle, in denen ein manueller Ansatz zum Umgang mit Compliance-Aufgaben sinnvoll sein kann. Insbesondere für kleinere Organisationen oder solche, die noch keine Investition in Compliance-Technologie getätigt haben, kann dies eine Option sein. Die Vorteile eines manuellen Ansatzes umfassen die Flexibilität und Anpassungsfähigkeit an die spezifischen Bedürfnisse der Organisation.

Allerdings haben manuelle Methoden auch ihre Nachteile. Sie können fehleranfällig sein und erfordern mehr Zeit und Ressourcen, insbesondere bei der Durchführung von Audits und der Sammlung von Beweisen. Darüber hinaus kann es schwierig sein, alle relevanten Regeln und Vorschriften aufrechtzuerhalten, insbesondere wenn sich diese frequently ändern.

Automatisierte Compliance-Plattformen

Im Gegensatz dazu bieten automatisierte Compliance-Plattformen wie Matproof eine Reihe von Vorteilen. Sie können die Effizienz steigern, indem sie die Erstellung von Richtlinien und Compliance-Beweisen automatisieren, und sie ermöglichen eine zentrale Verwaltung von Compliance-Aktivitäten.

Die Auswahl der richtigen Compliance-Plattform sollte auf bestimmten Faktoren basieren:

  • Datenresidenz: Stellen Sie sicher, dass die Plattform in der EU gehostet wird und EU-Datenschutzbestimmungen einhält, um die Anforderungen der DORA und anderer Gesetze zu erfüllen.
  • Unterstützung für mehrere Standards: Eine Plattform, die mehrere Standards wie DORA, SOC 2, ISO 27001, GDPR und NIS2 unterstützt, kann wertvoll sein, um die Komplexität der Compliance zu reduzieren.
  • AI-getriebene Politikerstellung: KI-getriebene Technologien können dabei helfen, Richtlinien effizienter zu entwickeln und zu pflegen.
  • Automatisierte Beweis-Sammlung: Die Fähigkeit, Beweise von Cloud-Anbietern und anderen Quellen automatisch zu sammeln, kann die Compliance-Aufgaben erheblich erleichtern.

Matproof ist eine solche Compliance-Automationsplattform, die speziell auf die Anforderungen der EU-Finanzdienstleistungen zugeschnitten ist. Sie bietet 100% EU-Datenresidenz, AI-getriebene Richtlinienerstellung und eine Endpoint-Compliance-Agentur für das Überwachen von Geräten. Mit Matproof können Sie die Komplexität der Compliance verwalten und die Effizienz Ihrer Compliance-Aktivitäten erhöhen.

In diesem Beitrag haben wir eine umfassende Analyse der DORA-Compliance für Asset Managers wie UCITS und AIFMD bereitgestellt und praktische Schritte zur Umsetzung der Vorschriften vorgegeben. Es ist wichtig, sowohl die Anforderungen als auch die Herausforderungen zu verstehen und die richtigen Tools und Ansätze zu nutzen, um eine effektive Compliance sicherzustellen.

Beginnen Sie hier: Ihre nächsten Schritte

Ihre Anforderungen an die Compliance sind hoch. Aber nicht genug, um sie aufzugeben. Wir haben eine umsetzbare 5-Schritt-Aktionsplanung entwickelt, die Sie in dieser Woche beginnen können.

Schritt 1 - Machen Sie sich mit der Verordnung vertraut

DORA ist kein einfacher Thema. Machen Sie sich mit den Artikeln und den Erläuterungen vertraut, insbesondere Artikel 24, der die Anforderungen für Vermögensverwalter und Kapitalanlagegesellschaften festlegt. Hier finden Sie den vollständigen Text der Verordnung.

Schritt 2 - Bewerten Sie Ihre aktuellen Compliance-Strukturen

Überprüfen Sie Ihre aktuellen Compliance-Strukturen, einschließlich der Risikomanagementprozesse und der IT-Sicherheit. Erkennen Sie Mängel, die geändert oder angepasst werden müssen, um den neuen Vorgaben zu entsprechen.

Schritt 3 - Identifizieren Sie die verantwortlichen Personen

Die DORA-Verordnung erfordert, dass bestimmte Personen verantwortlich gemacht werden, um bestimmte Pflichten zu erfüllen. Identifizieren und beurteilen Sie, wer diese Rollen spielen kann und wie ihre Zuständigkeiten definiert werden sollten.

Schritt 4 - Implementieren Sie die erforderlichen Systeme

Es gibt keine Zeit zu verlieren. Fügen Sie die Implementierung von DORA-konformen Systemen in Ihren Plan ein. Denken Sie daran, sowohl die technischen Systeme als auch die Prozesse und Menschen, die sie unterstützen, einzubeziehen.

Schritt 5 - Trainieren Sie Ihre Mitarbeiter

Schließlich können Sie nicht erwarten, dass Ihre Teammitglieder alle Aspekte der DORA-Verordnung von sich aus verstehen. Investieren Sie in Schulungen und Workshops, um Ihre Mitarbeiter auf das neue Compliance-Geflecht vorzubereiten.

Ressourcenempfehlungen

Als Ressourcen empfehlen wir Ihnen die offiziellen Veröffentlichungen der EU und BaFin, die detaillierte Informationen zu den gesetzlichen Anforderungen enthalten. Hier sind einige nützliche Links:

Eine schnelle Erfolgsbilanz in den nächsten 24 Stunden

Ein schneller Erfolg, den Sie in den nächsten 24 Stunden erzielen können, besteht darin, eine erste Besprechung mit Ihrem Compliance-Team abzuhalten, um die Umsetzung der DORA-Verordnung zu planen und die notwendigen Schritte einzuleiten.

Häufige Fragen

Wie unterscheidet sich DORA von den bestehenden Gesetzen für Vermögensverwalter?

DORA ist ein signifikanter Schritt in Richtung verbesserter und vereinheitelter Finanzaufsicht in Europa. Sie erweitert die bestehenden Gesetze wie UCITS und AIFMD, indem sie neue Anforderungen für IT-Sicherheit, Risikomanagement und die Zusammenarbeit mit Outsourcing-Dienstanbietern einführt. Artikel 24 der Verordnung legt die spezifischen Anforderungen für Vermögensverwalter fest.

Muss ich alle meine Prozesse und Systeme ändern?

Nein, nicht unbedingt alle Prozesse und Systeme müssen geändert werden, aber Sie müssen sicherstellen, dass sie den neuen Anforderungen entsprechen. Dies kann bedeuten, dass Sie bestehende Systeme aktualisieren oder neue Implementierungen einführen müssen, die speziell auf die Erfüllung der DORA-Verordnung ausgerichtet sind.

Wie beeinflusst DORA die Zusammenarbeit mit Drittanbietern?

DORA legt strengere Anforderungen für die Zusammenarbeit mit Drittanbietern fest, insbesondere im Bereich IT-Sicherheit und Risikomanagement. Vermögensverwalter müssen sicherstellen, dass ihre Risikobewertungen aktualisiert werden und dass sie eine ausreichende Überwachung ihrer Drittanbieter durchführen. Artikel 26 der Verordnung bietet detaillierte Anweisungen dazu, wie Sie diese Anforderungen erfüllen können.

Welche Rolle spielt IT-Sicherheit bei der Einhaltung von DORA?

IT-Sicherheit ist ein zentraler Aspekt der DORA-Verordnung, insbesondere in Artikel 24. Vermögensverwalter müssen sicherstellen, dass ihre IT-Infrastrukturen den neuesten Sicherheitsstandards entsprechen und dass sie proaktive Maßnahmen zur Identifizierung, Bewertung und Behebung von Risiken ergreifen.

Muss ich alle meine Mitarbeiter über DORA-Verordnung trainieren?

Ja, es ist wichtig, dass alle Mitarbeiter, die mit der Compliance oder der IT-Sicherheit zu tun haben, über die spezifischen Anforderungen der DORA-Verordnung informiert sind. Dies trägt dazu bei, dass die gesetzlichen Anforderungen auf eine konsistente und effektive Weise erfüllt werden.

Schlüsselerkenntnisse

  • DORA bringt neue Anforderungen für Vermögensverwalter mit sich, die speziell auf IT-Sicherheit, Risikomanagement und Outsourcing abzielen.
  • Der Fokus liegt auf der Verbesserung der Zusammenarbeit zwischen Finanzdienstleistern und der Finanzaufsicht.
  • Eine sorgfältige Analyse der bestehenden Compliance-Strukturen und die Einführung von DORA-konformen Systemen sind entscheidend für den Erfolg.
  • IT-Sicherheit ist ein zentraler Aspekt der DORA-Verordnung, der Beachtung bedarf.
  • Eine Schulung der Mitarbeiter ist unerlässlich, um die neuen Anforderungen effektiv zu erfüllen.

Möchten Sie Ihre DORA-Compliance automatisieren? Matproof ist eine Compliant-Automatisierungs-Plattform, die speziell für DORA, SOC 2, ISO 27001, GDPR und NIS2 entwickelt wurde und kann Ihnen dabei helfen. Kontaktieren Sie uns, um eine kostenlose Bewertung zu erhalten.

DORA asset managersDORA UCITSDORA AIFMDfund manager DORA compliance

Bereit, Compliance zu vereinfachen?

Werden Sie in Wochen audit-ready, nicht Monaten. Sehen Sie Matproof in Aktion.

Demo anfordern