FinmadiG & DORA: Auswirkungen auf Leasing- und Factoring Unternehmen

Finanzmarktdigitalisierungsgesetz (FinmadiG) und Digital Operational Resilience Act (DORA) – was bedeuten diese neuen Regelungen für Leasing- und Factoring-Unternehmen? In diesem Blogartikel erklären wir praxisnah, warum DORA durch das FinmadiG auch für Leasing- und Factoring-Unternehmen verbindlich wird, welche Anforderungen ab Januar 2025 bzw. Januar 2027 gelten und wie Sie sich schon jetzt vorbereiten können. Entscheider:innen in Leasing- und Factoring-Unternehmen erfahren hier, welche neuen Pflichten auf sie zukommen, was sich im Vergleich zur bisherigen IT-Aufsicht (BAIT) ändert und welche konkreten Handlungsempfehlungen es gibt.

DORA und FinmadiG – Überblick und Hintergrund

DORA (Digital Operational Resilience Act) ist eine EU-Verordnung (EU 2022/2554) zur Stärkung der digitalen Betriebssicherheit im Finanzsektor. Sie soll sicherstellen, dass Finanzunternehmen robuste Mechanismen zum IKT-Risikomanagement, zur Meldung von IT-Vorfällen und zur Überwachung von IT-Drittanbieter:innen einführen. Seit dem 17. Januar 2025 findet diese auf alle EU regulierten Finanzunternehmen Anwendung und harmonisiert die Anforderungen an die IT-Sicherheit in u. a. Banken, Versicherungen, Zahlungsdienstleister:innen – nun auch in Deutschland für weitere Sektoren.

Das FinmadiG (Finanzmarktdigitalisierungsgesetz) ist ein deutsches Gesetzespaket, das Ende 2024 verabschiedet wurde und mehrere EU-Regelwerke (u. a. MiCA für Kryptowerte und DORA) nach nationalen Maßgaben erweitert. Ursprünglich zählte DORA Leasing- und Factoring-Unternehmen nicht zur „positiven Liste“ der betroffenen Finanzunternehmen, doch der deutsche Gesetzgeber hat die Reichweite nach § 1a Abs. 2a KWG erweitert, um auch diese Institute digital noch resilienter zu machen. Das FinmadiG stellt dabei sicher, dass die Verhältnismäßigkeit gewahrt bleibt – speziell für kleinere Akteurinnen und Akteure.

Geltungsbereich: Warum Leasing- und Factoring-Unternehmen jetzt betroffen sind

Welche Unternehmen sind gemeint? In der Praxis betrifft es u. a. Finanzierungsleasing- und Factoring-Gesellschaften, die nach KWG (Kreditwesengesetz) als Finanzdienstleistungsinstitute gelten. Viele Leasingfirmen, die sog. Finanzierungsleasing mit Anschaffungskostenübernahme anbieten, benötigen eine BaFin-Erlaubnis und fielen bisher unter nationale Vorgaben (BAIT). Ebenso sind Factoring-Anbietende als Finanzdienstleister:innen reguliert. Durch FinmadiG werden diese nun verbindlich DORA-pflichtig gestellt. Unregulierte Leasinggebende, die z. B. nur Operating-Leasing ohne Finanzierungsfunktion betreiben, bleiben dagegen außen vor – es sei denn, sie fungieren als IKT-Dienstleister:innen für Finanzinstitute (dann könnten sie als IKT-Drittanbietende im DORA-Sinne erfasst sein).

Was bezweckt der Gesetzgeber? Leasing- und Factoring-Unternehmen verwalten oftmals große Vermögenswerte und sensible Daten. Ihre digitale Betriebsstabilität ist wichtig, um Ausfälle, Cyberangriffe oder IT-Pannen zu vermeiden, die finanzielle Kettenreaktionen auslösen könnten. DORA soll hier ein Mindestniveau an IT-Sicherheit etablieren – vom Risikomanagement über Vorfallerkennung und -meldung bis zur Kontrolle ausgelagerter IT-Services. Der deutsche Gesetzgeber nutzt das FinmadiG, um Lücken zu schließen: Auch wenn diese Firmen kleiner als Banken sind, unterliegen sie nun vergleichbaren Grundanforderungen, allerdings in vereinfachter Form (Stichwort Proportionalität).

Vereinfachte Anforderungen nach Art. 16 DORA

Für Leasing- und Factoring-Unternehmen gelten erleichterte DORA-Pflichten gemäß Artikel 16 DORA („Simplified ICT Risk Management Framework“). Diese Gesellschaften müssen zwar ein IKT-Risikomanagement umsetzen, aber in vereinfachter Ausprägung. Konkret bedeutet das:

• Basis-IKT-Risikomanagement: Es genügen grundlegende Mechanismen, um IKT-Risiken zu identifizieren, bewerten, steuern und überwachen. Umfang und Tiefe der Prozesse sollen angemessen zur Unternehmensgröße und Komplexität sein.
• Verhältnismäßiger Ansatz: Die Maßnahmen dürfen risikobasiert und proportional gestaltet werden. Kleinere, weniger komplexe Leasing-/Factoring-Anbietende müssen keine bankgleichen Prozesse etablieren, sondern praxisgerechte Lösungen finden.
• Dokumentation und Prüfung: Auch im vereinfachten Rahmen ist eine dokumentierte IKT-Governance nötig (z. B. IT-Richtlinien, Zuständigkeiten, Notfallkonzept). Diese sollte regelmäßig überprüft und aktualisiert werden, allerdings mit Augenmaß und ohne bürokratischen Overkill.

Wichtig: Die allgemeinen DORA-Anforderungen der Artikel 5–15 (vollumfängliches IKT-Rahmenwerk) entfallen für diese Unternehmen. Damit sind insbesondere aufwändige Prozesse, die für Großbanken gedacht sind, hier nicht verpflichtend.

Zudem gibt es gezielte Ausnahmen: Bedrohungsgesteuerte Penetrationstests (Threat-Led Penetration Testing, TLPT) nach Art. 26/27 DORA müssen Leasing- und Factoring-Unternehmen nicht durchführen. Die Pflicht zu diesen sehr anspruchsvollen, simulationsgestützten Attack-Tests bleibt kritischen Großinstituten vorbehalten. Auch im IKT-Drittanbieter-Risikomanagement gibt es Erleichterungen: Wenn ein Leasing-/Factoring-Unternehmen als „Mikrounternehmen“ im Sinne DORA einzustufen ist (weniger als 10 Mitarbeitende und < 2 Mio. € Jahresumsatz/Bilanzsumme), sind bestimmte Anforderungen an die Auslagerungsüberwachung nicht anzuwenden.

Von BAIT zu DORA: Was ändert sich?

Bisher richteten sich viele der betroffenen Unternehmen nach den BAIT (Bankaufsichtliche Anforderungen an die IT) – einer nationalen Richtlinie der BaFin. Durch DORA und FinmadiG entsteht nun ein neuer Ordnungsrahmen, der BAIT schrittweise ablösen wird. BaFin hat angekündigt, die bisherigen IT-Aufsichtsregeln (BAIT, aber auch ZAIT/VAIT/KAIT für Zahlungsdienste, Versicherer, Kapitalverwaltungen) nicht parallel laufen zu lassen, sondern DORA als einheitlichen Standard einzuführen. Konkret bedeutet das:

• BAIT gilt übergangsweise bis Ende 2026 weiter, soweit ein Institut noch nicht direkt DORA-pflichtig ist. Spätestens ab 01.01.2027 sollen alle relevanten Institute ausschließlich DORA-Anforderungen erfüllen, und die BAIT werden komplett aufgehoben. Für Institute, die durch FinmadiG erst ab 2027 unter DORA fallen (siehe Fristen unten), dienen die BAIT bis dahin als Brücke.
• Inhaltliche Unterschiede: DORA ist detaillierter und EU-weit einheitlich formuliert, während BAIT eher prinzipienorientierte Leitlinien waren. Neu durch DORA sind z. B. verpflichtende Meldungen von schweren IT-Vorfällen an die Aufsicht innerhalb enger Fristen – BAIT verlangte zwar internes Incident-Management, aber keine formale externe Meldepflicht in dieser Form.
• Erleichterungen vs. BAIT: Laut Gesetzesbegründung sind die vereinfachten DORA-Vorgaben sogar weniger anspruchsvoll als die bisherigen BAIT-Regeln für diese Unternehmen. Das heißt, wer BAIT-konform gearbeitet hat, dürfte die DORA-Pflichten im vereinfachten Rahmen gut erfüllen können – es fehlen z. B. einige Detailanforderungen der BAIT, die jetzt bewusst außen vor bleiben, um kleine Firmen nicht zu überfordern.
• Mehr Verbindlichkeit: DORA ist als EU-Verordnung rechtlich unmittelbar gültig und bei Verstößen sanktionierbar. Während BAIT „nur“ Verwaltungsvorschriften waren, die in Prüfungen herangezogen wurden, ist DORA direkt geltendes Recht. Unternehmen sollten sich also auf prüfungsfeste Erfüllung der DORA-Vorgaben einstellen.

Wichtige Termine und Pflichten

17. Januar 2025: DORA tritt in Kraft – Leasing- und Factoring-Unternehmen müssen ab diesem Datum schwere IKT-Vorfälle unverzüglich an die Aufsicht melden (vereinheitlichte Kriterien nach Art. 18/19 DORA). Bestehende IT-Regularien (BAIT, ZAIT etc.) werden ab diesem Zeitpunkt schrittweise durch DORA ersetzt.

01. Januar 2027: Ablauf der Übergangsfrist – bis zu diesem Datum muss jedes Leasing-/Factoring-Unternehmen ein vereinfachtes IKT-Risikomanagement nach DORA (Art. 16) vollständig implementiert haben. Auch alle weiteren relevanten DORA-Vorgaben gelten ab 2027 uneingeschränkt. Gleichzeitig enden die BAIT endgültig zum 31. Dezember 2026.

Kein Penetrationstest-Zwang: Threat-led Penetration Tests (DORA Art. 26/27) entfallen für Leasing- und Factoring-Anbieter – diese aufwendigen Angriffe-Simulationen sind nicht verpflichtend.

Ausnahme Kleinstunternehmen: Firmen mit <10 Mitarbeitenden und <2 Mio € Umsatz gelten als Mikro-Unternehmen. Für sie sind gewisse Anforderungen – z. B. formales Drittanbieter-Risikomanagement – nicht vorgeschrieben.

Praktische Handlungsempfehlungen: So bereiten Sie sich vor

Auch wenn einige Pflichten erst 2027 voll greifen, sollten Leasing- und Factoring-Unternehmen jetzt aktiv werden. Folgende Schritte empfehlen sich, um die kommenden Anforderungen rechtzeitig und effizient umzusetzen:

• IKT-Risikomanagement etablieren: Entwickeln Sie ein grundlegendes IKT-Risikomanagement, das zu Ihrer Unternehmensgröße passt. Identifizieren Sie zentrale IKT-Risiken (z. B. Cyberangriff, Systemausfall), bewerten Sie deren mögliche Auswirkungen und definieren Sie Gegenmaßnahmen. Dokumentieren Sie das Vorgehen in einer IT-Richtlinie oder einem Konzept. Wichtig ist, Verantwortlichkeiten klar festzulegen – z. B. eine:n IT-Risikomanager:in oder ein kleines Team, das Risiken überwacht und Maßnahmen koordiniert.
  
• Vorfallmanagement und -register einführen: Richten Sie einen Prozess ein, um IT-Sicherheitsvorfälle (z. B. Cyberattacken, größere Systemstörungen) intern zu erkennen, zu melden und zu behandeln. Schaffen Sie ein Vorfallsregister, in dem jeder erhebliche Vorfall mit Datum, Auswirkungen und Maßnahmen festgehalten wird. Dieses Register hilft nicht nur intern, sondern dient auch dazu, die behördliche Meldepflicht zu erfüllen und ggf. den Nachweis zu erbringen, dass man systematisch mit Incidents umgeht.
  
• Übersicht über IKT-Dienstleister erstellen: Stellen Sie eine vollständige Liste aller IKT-Drittanbieter und ausgelagerten IT-Services zusammen (z. B. Rechenzentrumsbetreibende, Cloud-Services, Software-Dienstleister:innen). Dieses Informationsregister sollte die jeweiligen Verträge und die Kritikalität der Dienste dokumentieren. DORA verlangt ein effektives „ICT Third-Party Risk Management“, wozu gehört, dass man seine kritischen Dienstleister:innen kennt und überwacht. Prüfen Sie Verträge auf Notfallpläne, Ausstiegsrechte und Sicherheitszusagen und holen Sie ggf. Nachbesserungen ein, um DORA-Standards (Art. 28-31) zu genügen.
  
• Meldeprozess an Aufsicht vorbereiten: Ab Januar 2025 müssen erhebliche IT-Störungen an die BaFin gemeldet werden. Definieren Sie intern, welche Schwellen einen Vorfall meldepflichtig machen (DORA bietet Kriterien wie Anzahl betroffener Kunden, Ausfallzeit, finanzielle Verluste etc.). Legen Sie fest, wer im Ernstfall die Meldung übernimmt und wie Sie innerhalb der vorgegebenen Frist (i. d. R. max. 72 Stunden) alle nötigen Informationen zusammentragen. Schulen Sie Mitarbeitende in diesem Prozess, damit im Ernstfall schnell reagiert werden kann.
  
• Awareness und Schulungen: Sensibilisieren Sie Ihr Team für die neuen Anforderungen. IKT-Sicherheit ist nicht nur Sache der IT-Abteilung – alle Mitarbeitende sollten Grundprinzipien kennen (z. B. Phishing-Gefahren) und wissen, wie Vorfälle zu melden sind. Führen Sie regelmäßige Schulungen bzw. Workshops durch, um eine risikobewusste Unternehmenskultur zu fördern.
  
• Beobachtung von Standards und Guidance: Halten Sie Ausschau nach weiteren technischen Regulierungsstandards (RTS) und Leitlinien zu DORA, die von den europäischen Aufsichtsbehörden und BaFin noch veröffentlicht werden. Diese Konkretisierungen (z. B. genaue Meldeformate, Evaluierungsmethoden für Risiken) werden Ihnen helfen, die Anforderungen präzise umzusetzen. Planen Sie Puffer ein, um neue Vorgaben zeitnah in Ihre Prozesse zu integrieren.

Fazit

Für Leasing- und Factoring-Unternehmen bringt die Erweiterung des DORA-Regelwerks durch das FinmadiG neue Pflichten, aber auch Chancen. Ab 2025 rücken IT-Risiken und deren Beherrschung endgültig in den Fokus der Aufsicht – eine Entwicklung, die angesichts wachsender Cybergefahren sinnvoll ist. Entscheidend ist, die Übergangszeit bis 2027 zu nutzen: Wer frühzeitig ein passendes IKT-Risikomanagement aufbaut, ein Vorfalls- und Informationsregister pflegt und seine Belegschaft sensibilisiert, wird die DORA-Anforderungen nicht nur erfüllen, sondern auch die digitale Widerstandsfähigkeit des eigenen Unternehmens stärken.

Die gute Nachricht: Die vereinfachten Vorgaben sind machbar und teilweise weniger streng als frühere BAIT-Regeln. Durch kluge Vorbereitung und pragmatische Maßnahmen können Leasing- und Factoring-Anbieter die kommenden regulatorischen Anforderungen als Chance zur Professionalisierung der IT-Sicherheit begreifen – zum Wohle des eigenen Betriebs und des Kundenvertrauens.