28. Februar 2026
Zwei Jahre nach ihrem Peer-Review zu IKT-Risiken im aufsichtlichen Überprüfungsprozess zieht die Europäische Bankenaufsichtsbehörde Bilanz. Die zuständigen Behörden haben nachweislich aufgeholt – getragen vom Inkrafttreten des Digital Operational Resilience Act. Dennoch mahnt die EBA zu weiteren strukturellen Anstrengungen.
EBA zieht Bilanz zur IKT-Risikoaufsicht: Behörden auf Kurs, Lücken bleiben
Die Europäische Bankenaufsichtsbehörde (EBA) hat einen Folgebericht zu ihrem Peer-Review von 2022 über die Bewertung von IKT-Risiken im Rahmen des aufsichtlichen Überprüfungs- und Bewertungsprozesses (SREP) veröffentlicht. Das Dokument attestiert den nationalen Aufsichtsbehörden messbare Fortschritte, verweist aber zugleich auf anhaltenden Handlungsbedarf hinsichtlich einer einheitlichen Aufsichtspraxis innerhalb der Europäischen Union.
Als zentraler Treiber der Verbesserungen gilt die Anwendung des Gesetzes über die digitale operative Widerstandsfähigkeit (DORA), das seit Januar 2025 verbindlich gilt. Die Behörden haben demnach ihre Kapazitäten und ihr fachliches Know-how im Bereich IKT-Aufsicht ausgebaut, setzen horizontale Analysen häufiger ein und wenden Aufsichtsinstrumente zunehmend systematisch an. Auch bei der Verwendung von IKT-Risiko-Unterkategorien sind Fortschritte erkennbar: Diese werden inzwischen von nahezu allen zuständigen Stellen weitgehend genutzt.
Im Rahmen der Folgebewertung prüfte die EBA, inwieweit die 2022 ausgesprochenen Empfehlungen umgesetzt wurden. Dazu gehörten neben gezielten Benchmarking-Fragen auch die bevorstehende Eingliederung der IKT-SREP-Leitlinien in die überarbeiteten allgemeinen SREP-Leitlinien – eine der Kernempfehlungen des Ausgangsberichts. Die Analyse stützte sich vorrangig auf begleitende Arbeiten zur aufsichtlichen Konvergenz.
Der Bericht richtet klare Erwartungen an die zuständigen Behörden: IKT-Risikomethoden und die entsprechenden Unterkategorien sollen vollständig in die regulären Aufsichtsprozesse eingebettet werden. Zudem hält die EBA dazu an, die Bemühungen um eine stärkere Konvergenz und eine robustere operative Widerstandsfähigkeit im gesamten EU-Raum fortzusetzen.
Rechtliche Grundlage für den Folgebericht ist Artikel 30 der EBA-Verordnung (EU) Nr. 1093/2010. Demnach ist der Überprüfungsausschuss verpflichtet, zwei Jahre nach Veröffentlichung eines Peer-Reviews einen Folgebericht zu erstellen und dem Aufsichtsrat vorzulegen. Inhalt dieser Bewertung ist unter anderem die Frage, ob und in welchem Umfang die betroffenen Behörden die empfohlenen Maßnahmen tatsächlich ergriffen haben.
Ähnliche Themen:
ISACA veröffentlicht Leitfaden zu NIS2 und DORA: Orientierungshilfe für Europas Unternehmen
Mehr Gesetze, mehr Druck: Was bei NIS2, CRA, DORA & Co. am Ende zählt
Bild/Quelle: https://depositphotos.com/de/home.html
Fachartikel
Sicherheitslücken in Claude Code: Wie Konfigurationsdateien zur Angriffsfläche werden
Google zerschlägt chinesisches Spionagenetzwerk: 53 Angriffe auf Telekommunikation und Behörden weltweit
Diesel Vortex: Russische Phishing-Gruppe greift systematisch Logistikunternehmen an
Oblivion: Neue Android-Malware umgeht Sicherheitsschichten auf Samsung, Xiaomi und Co.
Starkiller: Phishing-Framework setzt auf Echtzeit-Proxy statt HTML-Klone
Studien
KI beschleunigt Cyberangriffe: IBM X-Force warnt vor wachsenden Schwachstellen in Unternehmen
Finanzsektor unterschätzt Cyber-Risiken: Studie offenbart strukturelle Defizite in der IT-Sicherheit
CrowdStrike Global Threat Report 2026: KI beschleunigt Cyberangriffe und weitet Angriffsflächen aus
IT-Sicherheit in Großbritannien: Hohe Vorfallsquoten, steigende Budgets – doch der Wandel stockt
IT-Budgets 2026: Deutsche Unternehmen investieren mehr – und fordern messbaren Gegenwert
Whitepaper
EBA-Folgebericht: Fortschritte bei IKT-Risikoaufsicht unter DORA – weitere Harmonisierung nötig
Böswillige KI-Nutzung erkennen und verhindern: Anthropics neuer Bedrohungsbericht mit Fallstudien
Third Party Risk Management – auch das Procurement benötigt technische Unterstützung
EU-Toolbox für IKT-Lieferkettensicherheit: Gemeinsamer Rahmen zur Risikominderung
EU-Behörden stärken Cybersicherheit: CERT-EU und ENISA veröffentlichen neue Rahmenwerke
Hamsterrad-Rebell
Incident Response Retainer – worauf sollte man achten?
KI‑basierte E‑Mail‑Angriffe: Einfach gestartet, kaum zu stoppen
NIS2: „Zum Glück gezwungen“ – mit OKR-basiertem Vorgehen zum nachhaltigen Erfolg
Cyberversicherung ohne Datenbasis? Warum CIOs und CISOs jetzt auf quantifizierbare Risikomodelle setzen müssen
