# ============================================================================= # Financial Regulations Legal Corpus # For Legal RAG Integration # ============================================================================= # # Enthält Kernpassagen aus: # - DORA (EU 2022/2554) # - MaRisk (BaFin) # - BAIT (BaFin) # # Diese Passagen werden in den Qdrant Vector Store geladen # und für Legal RAG Erklärungen verwendet. # # ============================================================================= metadata: version: "1.0.0" created: "2026-01-29" sources: - name: "DORA" reference: "Verordnung (EU) 2022/2554" effective_date: "2025-01-17" - name: "MaRisk" reference: "Rundschreiben 10/2021 (BA)" version: "7. MaRisk-Novelle" - name: "BAIT" reference: "Rundschreiben 10/2017 (BA)" version: "2021" # ============================================================================= # DORA - Digital Operational Resilience Act # ============================================================================= dora_passages: # --- Anwendungsbereich --- - id: DORA-ART-2 article: "Artikel 2" title: "Anwendungsbereich" category: scope text: | (1) Diese Verordnung gilt für folgende Finanzunternehmen: a) Kreditinstitute, b) Zahlungsinstitute, c) Kontoinformationsdienstleister, d) E-Geld-Institute, e) Wertpapierfirmen, f) Anbieter von Krypto-Dienstleistungen, g) Zentralverwahrer, h) zentrale Gegenparteien, i) Handelsplätze, j) Transaktionsregister, k) Verwalter alternativer Investmentfonds und Verwaltungsgesellschaften, l) Datenbereitstellungsdienste, m) Versicherungs- und Rückversicherungsunternehmen, n) Versicherungsvermittler, Rückversicherungsvermittler und Versicherungsvermittler in Nebentätigkeit, o) Einrichtungen der betrieblichen Altersversorgung, p) Ratingagenturen, q) Administratoren kritischer Referenzwerte, r) Schwarmfinanzierungsdienstleister, s) Verbriefungsregister. legal_refs: - "DORA Art. 2(1)" keywords: - Anwendungsbereich - Finanzunternehmen - Kreditinstitute - Versicherungen - Krypto # --- IKT-Risikomanagement --- - id: DORA-ART-6 article: "Artikel 6" title: "IKT-Risikomanagementrahmen" category: ict_risk_management text: | (1) Finanzunternehmen verfügen über einen soliden, umfassenden und gut dokumentierten IKT-Risikomanagementrahmen, der ihnen ermöglicht, IKT-Risiken schnell, effizient und umfassend anzugehen und ein hohes Maß an digitaler operationaler Resilienz zu gewährleisten. (2) Der IKT-Risikomanagementrahmen umfasst mindestens Strategien, Leit- und Richtlinien, Verfahren sowie IKT-Protokolle und -Tools, die zum angemessenen Schutz aller Informations- und IKT-Assets erforderlich sind. (3) Das Leitungsorgan des Finanzunternehmens ist für die Festlegung, Genehmigung, Überwachung und Verantwortung der Umsetzung aller Vorkehrungen im Zusammenhang mit dem IKT-Risikomanagementrahmen verantwortlich. legal_refs: - "DORA Art. 6" keywords: - IKT-Risikomanagement - Governance - Leitungsorgan - digitale Resilienz - id: DORA-ART-8 article: "Artikel 8" title: "Identifizierung" category: ict_risk_management text: | (1) Finanzunternehmen identifizieren, klassifizieren und dokumentieren alle IKT-gestützten Unternehmensfunktionen, Rollen und Verantwortlichkeiten, die Informations- und IKT-Assets, die diese Funktionen unterstützen, sowie deren Abhängigkeiten in Bezug auf IKT-Risiken. (2) Finanzunternehmen identifizieren alle Quellen von IKT-Risiken, insbesondere das Risiko gegenüber und von anderen Finanzunternehmen, und bewerten Cyberbedrohungen und IKT-Schwachstellen, die für ihre IKT-gestützten Unternehmensfunktionen, Informations- und IKT-Assets relevant sind. legal_refs: - "DORA Art. 8" keywords: - Identifizierung - IKT-Assets - Cyberbedrohungen - Schwachstellen - id: DORA-ART-9 article: "Artikel 9" title: "Schutz und Prävention" category: ict_risk_management text: | (1) Um einen angemessenen Schutz der IKT-Systeme zu gewährleisten und Maßnahmen zur Reaktion auf IKT-bezogene Vorfälle zu organisieren, überwachen und kontrollieren Finanzunternehmen kontinuierlich die Sicherheit und das Funktionieren der IKT-Systeme und -Tools. (2) Finanzunternehmen konzipieren und implementieren IKT-Sicherheitsmaßnahmen, einschließlich Leit- und Richtlinien, Verfahren, Protokolle und Tools zum Schutz aller IKT-Assets. legal_refs: - "DORA Art. 9" keywords: - Schutz - Prävention - IKT-Sicherheit - Überwachung # --- IKT-Vorfälle --- - id: DORA-ART-17 article: "Artikel 17" title: "IKT-bezogenes Vorfallmanagement" category: incident_management text: | (1) Finanzunternehmen definieren, erstellen und implementieren einen IKT-bezogenen Vorfallmanagementprozess zur Erkennung, Verwaltung und Meldung von IKT-bezogenen Vorfällen. (2) Finanzunternehmen zeichnen alle IKT-bezogenen Vorfälle und erheblichen Cyberbedrohungen auf. Finanzunternehmen richten geeignete Verfahren und Prozesse ein, um eine kohärente und integrierte Überwachung, Handhabung und Nachverfolgung von IKT-bezogenen Vorfällen zu gewährleisten. legal_refs: - "DORA Art. 17" keywords: - Vorfallmanagement - Incident Response - Meldepflicht - Cyberbedrohungen - id: DORA-ART-19 article: "Artikel 19" title: "Meldung schwerwiegender IKT-bezogener Vorfälle" category: incident_management text: | (1) Finanzunternehmen melden schwerwiegende IKT-bezogene Vorfälle der nach Artikel 46 zuständigen Behörde. (2) Bei der Klassifizierung von IKT-bezogenen Vorfällen und der Bestimmung der Auswirkungen eines IKT-bezogenen Vorfalls wenden Finanzunternehmen folgende Kriterien an: a) die Anzahl und/oder Relevanz der betroffenen Kunden oder Finanzgegenparteien, b) die Dauer des IKT-bezogenen Vorfalls, c) die geografische Ausbreitung, d) die Datenverluste, e) die Kritikalität der betroffenen Dienste, f) die wirtschaftlichen Auswirkungen. legal_refs: - "DORA Art. 19" keywords: - Meldepflicht - BaFin - schwerwiegende Vorfälle - Klassifizierung # --- Digitale Resilienz-Tests --- - id: DORA-ART-24 article: "Artikel 24" title: "Allgemeine Anforderungen für Resilienz-Tests" category: resilience_testing text: | (1) Finanzunternehmen richten ein solides und umfassendes Programm für das Testen der digitalen operationalen Resilienz ein, das als integraler Bestandteil des IKT-Risikomanagementrahmens Teil des Programms ist. (2) Das Programm für das Testen der digitalen operationalen Resilienz umfasst eine Reihe von Bewertungen, Tests, Methoden, Verfahren und Tools, die gemäß den Artikeln 25 und 26 anzuwenden sind. legal_refs: - "DORA Art. 24" keywords: - Resilienz-Tests - Penetrationstests - Vulnerability Assessment - Testprogramm - id: DORA-ART-26 article: "Artikel 26" title: "Erweiterte Tests von IKT-Tools" category: resilience_testing text: | (1) Finanzunternehmen, die keine Kleinstunternehmen sind, führen mindestens alle drei Jahre erweiterte Tests durch bedrohungsgeleitete Penetrationstests (TLPT) durch. (2) Der bedrohungsgeleitete Penetrationstest deckt mehrere oder alle kritischen oder wichtigen Funktionen eines Finanzunternehmens ab und wird an Live-Produktionssystemen durchgeführt, die diese Funktionen unterstützen. legal_refs: - "DORA Art. 26" keywords: - TLPT - Penetrationstest - Red Teaming - kritische Funktionen # --- IKT-Drittparteirisiko --- - id: DORA-ART-28 article: "Artikel 28" title: "Allgemeine Grundsätze" category: third_party_risk text: | (1) Finanzunternehmen verwalten das IKT-Drittparteirisiko als integralen Bestandteil des IKT-Risikos innerhalb ihres IKT-Risikomanagementrahmens und im Einklang mit folgenden Grundsätzen: a) Finanzunternehmen, die vertragliche Vereinbarungen über die Nutzung von IKT-Diensten mit IKT-Drittdienstleistern geschlossen haben, bleiben jederzeit uneingeschränkt für die Einhaltung und Erfüllung aller Verpflichtungen nach dieser Verordnung und dem geltenden Finanzdienstleistungsrecht verantwortlich. b) Das Leitungsorgan des Finanzunternehmens ist für die Überwachung des IKT-Drittparteirisikos verantwortlich. legal_refs: - "DORA Art. 28" keywords: - Drittparteirisiko - Outsourcing - IKT-Dienstleister - Verantwortlichkeit - id: DORA-ART-30 article: "Artikel 30" title: "Wesentliche Vertragsbestimmungen" category: third_party_risk text: | (1) Die Rechte und Pflichten des Finanzunternehmens und des IKT-Drittdienstleisters werden klar in einem schriftlichen Vertrag festgelegt und zugewiesen. (2) Vertragliche Vereinbarungen über die Nutzung von IKT-Diensten enthalten mindestens folgende Elemente: a) eine klare und vollständige Beschreibung aller Funktionen und IKT-Dienste, b) die Standorte, an denen Dienste erbracht werden und Daten verarbeitet werden, c) Bestimmungen über die Verfügbarkeit, Authentizität, Integrität und Vertraulichkeit in Bezug auf den Datenschutz, d) Bestimmungen über die Gewährleistung des Zugangs, der Wiederherstellung und der Rückgabe von Daten, e) Service Level Agreements, f) Unterstützungspflichten bei IKT-Vorfällen, g) Kündigungsfristen und Berichtspflichten. legal_refs: - "DORA Art. 30" keywords: - Vertragsbestimmungen - SLA - Auslagerungsvertrag - Mindestanforderungen - id: DORA-ART-29 article: "Artikel 29" title: "Vorläufige Bewertung des IKT-Konzentrationsrisikos" category: third_party_risk text: | (2) Finanzunternehmen identifizieren und bewerten das IKT-Konzentrationsrisiko auf Ebene des Finanzunternehmens unter Berücksichtigung: a) des Umfangs der kritischen oder wichtigen Funktionen, die gegenüber jedem IKT-Drittdienstleister bestehen, b) des Grades der Substituierbarkeit jedes IKT-Drittdienstleisters, c) des Anteils von IKT-Drittdienstleistern an einem begrenzten Markt. legal_refs: - "DORA Art. 29" keywords: - Konzentrationsrisiko - Substituierbarkeit - kritische Dienstleister - Marktkonzentration # --- Sanktionen --- - id: DORA-ART-50 article: "Artikel 50" title: "Verwaltungsrechtliche Sanktionen" category: sanctions text: | (1) Unbeschadet etwaiger strafrechtlicher Sanktionen und unbeschadet der Aufsichtsbefugnisse der zuständigen Behörden stellen die Mitgliedstaaten sicher, dass ihre zuständigen Behörden befugt sind, verwaltungsrechtliche Sanktionen und Abhilfemaßnahmen zu verhängen. (4) Die Mitgliedstaaten können vorsehen, dass die zuständigen Behörden befugt sind, gegen juristische Personen Geldbußen zu verhängen, die einen Höchstbetrag von mindestens 1 % des gesamten weltweiten Jahresumsatzes erreichen. legal_refs: - "DORA Art. 50" keywords: - Sanktionen - Bußgelder - Compliance - Durchsetzung # ============================================================================= # MaRisk - Mindestanforderungen an das Risikomanagement # ============================================================================= marisk_passages: - id: MARISK-AT-4.3.5 section: "AT 4.3.5" title: "Verwendung von Modellen" category: model_risk text: | (1) Bei der Verwendung von Risikomodellen oder Risikomessverfahren sind die mit der Verwendung von Modellen verbundenen Risiken (Modellrisiken) zu identifizieren, zu überwachen und zu steuern. (2) Für wesentliche Risikomodelle ist eine unabhängige Validierung durchzuführen. Die Validierung umfasst mindestens: - die Überprüfung der konzeptionellen Grundlagen, - die Überprüfung der Datenqualität, - das Backtesting, - die Überprüfung der Modellanwendung. (3) Die Ergebnisse der Validierung sind zu dokumentieren und der Geschäftsleitung sowie dem zuständigen Aufsichtsorgan zu berichten. (4) Bei wesentlichen Defiziten sind unverzüglich Maßnahmen zu ergreifen und das Ergebnis der Maßnahmen zu dokumentieren. legal_refs: - "MaRisk AT 4.3.5" keywords: - Modellvalidierung - Risikomodelle - Backtesting - KI-Modelle - id: MARISK-AT-9 section: "AT 9" title: "Auslagerung" category: outsourcing text: | (1) Bei Auslagerungen hat das Institut vorab eine Risikoanalyse durchzuführen. Die Risikoanalyse hat insbesondere zu umfassen: - die strategische Bedeutung der Aktivitäten und Prozesse, - die Auswirkungen auf das Risikoprofil des Instituts, - die Qualifikation und Zuverlässigkeit des Auslagerungsunternehmens, - die Wirtschaftlichkeit. (2) Bei wesentlichen Auslagerungen sind die folgenden zusätzlichen Anforderungen einzuhalten: - schriftliche Auslagerungsvereinbarung mit Mindestinhalt, - Sicherstellung von Weisungs-, Prüfungs- und Kontrollrechten, - Gewährleistung von Zugangs- und Informationsrechten der Aufsicht, - Einbeziehung in das Notfallmanagement, - angemessene Exit-Strategien. (3) Ein Auslagerungsregister ist zu führen und regelmäßig zu aktualisieren. legal_refs: - "MaRisk AT 9" keywords: - Auslagerung - Outsourcing - Risikoanalyse - Exit-Strategie - id: MARISK-AT-4.3.2 section: "AT 4.3.2" title: "Risikoberichterstattung" category: risk_reporting text: | (1) Die Risikoberichterstattung hat die Geschäftsleitung und gegebenenfalls das Aufsichtsorgan über die Risikosituation des Instituts zu informieren. (2) Die Berichte müssen: - regelmäßig erstellt werden, - aussagekräftig und für die Empfänger verständlich sein, - die wesentlichen Risiken umfassen, - Veränderungen der Risikosituation aufzeigen. (3) Bei wesentlichen Ereignissen ist eine Ad-hoc-Berichterstattung sicherzustellen. legal_refs: - "MaRisk AT 4.3.2" keywords: - Risikoberichterstattung - Geschäftsleitung - Monitoring - Ad-hoc-Meldung - id: MARISK-BTO-1.2 section: "BTO 1.2" title: "Kreditrisikosteuerung" category: credit_risk text: | (1) Die Kreditrisikosteuerung hat sicherzustellen, dass die aus der Risikostrategie abgeleiteten Limite eingehalten werden. (2) Bei der Verwendung von Scoring-Modellen für Kreditentscheidungen ist deren Trennschärfe regelmäßig zu überprüfen (Backtesting). (3) Die Entscheidungsprozesse bei Kreditvergaben müssen so gestaltet sein, dass eine angemessene Kreditwürdigkeitsprüfung gewährleistet ist. legal_refs: - "MaRisk BTO 1.2" keywords: - Kreditrisiko - Scoring - Kreditentscheidung - Backtesting # ============================================================================= # BAIT - Bankaufsichtliche Anforderungen an die IT # ============================================================================= bait_passages: - id: BAIT-TZ-1-9 section: "Tz. 1-9" title: "IT-Strategie" category: it_strategy text: | (1) Das Institut hat eine mit der Geschäftsstrategie konsistente IT-Strategie festzulegen. Die IT-Strategie hat mindestens folgende Aspekte zu umfassen: - strategische Entwicklung der IT-Aufbau- und IT-Ablauforganisation, - strategische Entwicklung der IT-Architektur, - Aussagen zu Standards für IT-Sicherheit, - Aussagen zum Notfallmanagement. (2) Die IT-Strategie ist regelmäßig und anlassbezogen zu überprüfen und bei Bedarf anzupassen. (3) Die IT-Strategie ist von der Geschäftsleitung zu genehmigen. legal_refs: - "BAIT Tz. 1-9" keywords: - IT-Strategie - Geschäftsleitung - IT-Architektur - IT-Sicherheit - id: BAIT-TZ-10-21 section: "Tz. 10-21" title: "IT-Governance" category: it_governance text: | (1) Das Institut hat aufbau- und ablauforganisatorische Regelungen zur IT-Governance zu treffen. Diese müssen insbesondere: - Rollen und Verantwortlichkeiten klar definieren, - die IT-bezogenen Aufgaben der Geschäftsleitung festlegen, - Regelungen zur IT-bezogenen Risikosteuerung umfassen. (2) Die IT-Governance hat sicherzustellen, dass: - Interessenkonflikte vermieden werden, - ein Informationsrisikomanagement implementiert ist, - Ressourcen für die IT-Sicherheit bereitgestellt werden. (3) Das Drei-Linien-Modell ist auf die IT-Risiken anzuwenden. legal_refs: - "BAIT Tz. 10-21" keywords: - IT-Governance - Rollen - Verantwortlichkeiten - Drei-Linien-Modell - id: BAIT-TZ-27-42 section: "Tz. 27-42" title: "Anwendungsentwicklung (Projektmanagement, SDLC)" category: development text: | (1) Bei der Entwicklung von Anwendungen sind angemessene Verfahren und Schutzmaßnahmen zu implementieren. Dies umfasst: - Anforderungsmanagement, - Entwicklungsrichtlinien, - Testverfahren, - Abnahme- und Freigabeverfahren. (2) Die Entwicklung hat in kontrollierten Umgebungen zu erfolgen. Testdaten dürfen keine produktiven Echtdaten enthalten, sofern diese nicht angemessen anonymisiert oder pseudonymisiert sind. (3) Änderungen an Anwendungen sind über ein Änderungsmanagement zu steuern. Notfalländerungen sind nachträglich zu dokumentieren und zu genehmigen. legal_refs: - "BAIT Tz. 27-42" keywords: - SDLC - Anwendungsentwicklung - Testverfahren - Änderungsmanagement - id: BAIT-TZ-58-66 section: "Tz. 58-66" title: "Benutzerberechtigungsmanagement" category: access_management text: | (1) Das Institut hat ein Berechtigungskonzept zu erstellen und umzusetzen. Das Berechtigungskonzept hat mindestens zu umfassen: - die Festlegung von Rollen und Berechtigungsprofilen, - die Definition von Prozessen zur Vergabe, Änderung und Entziehung von Berechtigungen, - die Regelung zu privilegierten Berechtigungen. (2) Berechtigungen sind nach dem Prinzip der minimalen Rechte (Least-Privilege-Prinzip) zu vergeben. (3) Berechtigungen sind regelmäßig (mindestens jährlich) zu überprüfen und zu rezertifizieren. legal_refs: - "BAIT Tz. 58-66" keywords: - IAM - Berechtigungen - Least Privilege - Rezertifizierung - id: BAIT-TZ-67-72 section: "Tz. 67-72" title: "IT-Betrieb (Protokollierung)" category: logging text: | (1) Sicherheitsrelevante Ereignisse sind zu protokollieren. Die Protokollierung umfasst mindestens: - Anmeldeversuche (erfolgreich und fehlgeschlagen), - Änderungen an Berechtigungen, - Zugriffe auf sensitive Daten, - administrative Tätigkeiten. (2) Die Protokollierungsdaten sind vor unbefugter Veränderung zu schützen und entsprechend den regulatorischen Anforderungen aufzubewahren. (3) Die Protokollierungsdaten sind regelmäßig auszuwerten. legal_refs: - "BAIT Tz. 67-72" keywords: - Protokollierung - Logging - Audit-Trail - Auswertung # ============================================================================= # Verknüpfungen (für Cross-Referencing) # ============================================================================= cross_references: # DORA verweist auf MaRisk-ähnliche Anforderungen - from: DORA-ART-6 to: MARISK-AT-4.3.5 relation: "extends" note: "DORA erweitert MaRisk-Anforderungen um IKT-spezifische Aspekte" # DORA-Drittparteirisiko baut auf MaRisk-Auslagerung auf - from: DORA-ART-28 to: MARISK-AT-9 relation: "extends" note: "DORA konkretisiert Auslagerungsanforderungen für IKT" # BAIT-SDLC ist relevant für DORA-Testanforderungen - from: DORA-ART-24 to: BAIT-TZ-27-42 relation: "complements" note: "BAIT-SDLC-Anforderungen unterstützen DORA-Testprogramm" # MaRisk-Modellvalidierung gilt auch für KI-Modelle - from: MARISK-AT-4.3.5 to: AI_ACT relation: "applies_to" note: "Modellvalidierung gilt auch für KI-Risikomodelle"