DORA-Regulierung überfordert kleinere Banken - GVB legt praxisnahe Verbesserungsvorschläge vor / Genossenschaftsverband Bayern dringt nach ersten Praxiserfahrungen auf schnelle Vereinfachungen München (ots) - Der Genossenschaftsverband Bayern (GVB) fordert Korrekturen bei der Umsetzung der EU-Verordnung Digital Operational Resilience Act (DORA). Ziel der Regulierung ist es, die digitale Widerstandsfähigkeit im Finanzsektor zu stärken. "DORA verfolgt ein richtiges Ziel. In der Praxis ist das Regelwerk aber zu kleinteilig geraten. Gerade kleinere Banken werden mit bürokratischen Anforderungen überzogen, die in keinem Verhältnis zu ihrem Risikoprofil stehen", warnt GVB-Präsident Stefan Müller am Donnerstag in München. In einem Positionspapier hat der Verband nun konkrete Verbesserungsvorschläge vorgelegt. Diese stammen aus der Praxis der bayerischen Volksbanken und Raiffeisenbanken, die DORA seit knapp neun Monaten umsetzen müssen. Der Verband zeigt in dem Papier anhand von Beispielen auf, wie die Vorgaben praxistauglicher und verhältnismäßiger gestaltet werden können - ohne Abstriche bei der Cybersicherheit. "Die Strategien, Leitlinien, Richtlinien und Verfahrensanweisungen für DORA füllen bei einer mittelgroßen Volks- und Raiffeisenbank rund 350 bis 400 Seiten im Organisationshandbuch. Das mag für einen internationalen Großkonzern angebracht sein, passt aber nicht zu einer Regionalbank. DORA ignoriert die Realität der Regionalbanken - und gefährdet damit ausgerechnet jene Institute, die in den Regionen die Versorgung mit Finanzdienstleistungen verlässlich gewährleisten", sagt Müller. Der Verband drängt auf schnelle Anpassungen am DORA-Regelwerk. Bislang ist angedacht, dass die EU-Kommission im Jahr 2028 eine Überprüfung der Verordnung vornimmt. "Die Praxiserfahrungen zeigen jetzt schon, welche Regeln praxisuntauglich sind. Es gibt keinen Grund, mit Verbesserungen an DORA noch drei Jahre zu warten", betont Müller. Kritisch sieht der Verband unter anderem die fehlende Berücksichtigung zentraler IT-Dienstleister bei den Meldepflichten: "Für kleine Banken ist eine eigene 24/7-Meldepflicht fast nicht umsetzbar und unverhältnismäßig. Ihre kritischen Systeme werden ohnehin von zentralen Verbunddienstleistern überwacht, die ihrerseits meldepflichtig sind. DORA verkennt die Praxis und produziert Pflichten, die weder sinnvoll noch sicherheitsrelevant sind." Ein weiteres Beispiel ist die Definition von "schwerwiegenden IKT-Vorfällen", die entsprechende Melde- und Dokumentationspflichten nach sich ziehen. Während diese in der DORA-Verordnung eng definiert sind, legen die Umsetzungstexte der EU-Behörden eine viel weitere Definition zugrunde - mit der Folge, dass nahezu alle Vorfälle als "schwerwiegend" gezählt werden müssen. "Die EU-Behörden schießen über das Ziel hinaus. Die Definitionen müssen an den ursprünglichen Verordnungstext angepasst werden. Ansonsten entsteht ein unnötiger Verwaltungsaufwand bei den Banken und eine Flut an vollkommen irrelevanten Sicherheitsmeldungen", fordert Müller. Der Verband betont seine konstruktive Haltung: Ziel sei nicht weniger Regulierung, sondern bessere Regulierung. "Wir wollen DORA nicht aufhalten, sondern praktikabel machen", sagt Müller. "Der GVB hat konkrete Vorschläge vorgelegt, wie sich Doppelarbeiten vermeiden und kleine Banken entlasten lassen - ohne Abstriche bei der Cybersicherheit. Das wäre echte Resilienz mit Augenmaß." Das Positionspapier kann auf der GVB-Webseite (https://www.gv-bayern.de/position en.html#%23news-content%7C%2Fartikel%2F2025%2F10%2Fpositionspapier-zu-dora-erfah rungen-aus-der-bankwirtschaftlichen-praxis.html%7Cajax) heruntergeladen werden.