Nachrichten aus der Computerwelt

IT-Sicherheit, DORA & BaFin-Prüfung im MiCAR-Antrag für CASPs

- von Computer4You - Hinterlasse einen Kommentar
Diagramm zur BaFin-Prüfung im MiCAR-Zulassungsantrag für CASPs: IT-Sicherheitskonzept, DORA-Compliance, Risikomanagement, Incident-Handling, Tests und Drittparteiensteuerung.

BaFin MiCAR Zulassungsantrag: IT-Sicherheit und DORA für CASPs im Fokus

Mit dem Start von MiCAR rückt für Krypto-Dienstleister eine Frage in den Mittelpunkt: Wie belastbar sind IT-Sicherheit, Governance und operative Resilienz im Alltag? Wer eine CASP-Zulassung anstrebt, muss im MiCAR-Antrag nicht nur Geschäftsmodell und Organisation erklären, sondern auch nachweisen, dass Informationssicherheit und Ausfallschutz professionell aufgesetzt sind. Besonders relevant wird dabei die Verzahnung aus DORA-Compliance, internen Kontrollen und dem, was die Aufsicht im Verfahren praktisch sehen will.

Was steckt hinter dem Prüf-Fokus: Warum IT-Sicherheit zum Zulassungskriterium wird

MiCAR schafft einen EU-weit einheitlicheren Rahmen für Crypto-Asset Service Provider. Parallel etabliert DORA für den Finanzsektor Anforderungen an die digitale operationelle Resilienz. In der Praxis führt das zu einem klaren Erwartungsbild: Ein Anbieter muss zeigen, dass er Cyberrisiken strukturiert steuert, kritische Prozesse absichert und Störungen beherrscht.

Damit wird IT nicht als „Support-Funktion“ bewertet, sondern als Kernbestandteil der Unternehmenssteuerung. Für den BaFin MiCAR Zulassungsantrag IT-Sicherheit DORA CASP bedeutet das: Dokumentation, Verantwortlichkeiten und Kontrollen müssen inhaltlich zusammenpassen und im Betrieb tragfähig wirken.

IT-Sicherheitskonzept im MiCAR-Antrag: Welche Bausteine plausibel sein müssen

Ein IT-Sicherheitskonzept im Zulassungsprozess muss nachvollziehbar machen, wie Systeme, Daten und Schnittstellen geschützt werden. Entscheidend ist nicht nur das Vorhandensein von Richtlinien, sondern deren Umsetzbarkeit und Anschlussfähigkeit an das Geschäftsmodell.

  • Risikomanagement: identifizierte Bedrohungen, Schutzbedarf, Risikobehandlung und regelmäßige Neubewertung
  • Sicherheitsorganisation: Rollen, Zuständigkeiten, Entscheidungswege, Eskalation bei Incidents
  • Technische und organisatorische Maßnahmen: Zugriffskontrollen, Protokollierung, Schwachstellenmanagement, Patch- und Change-Prozesse
  • Betriebsstabilität: Backups, Wiederanlauf, Business-Continuity-Ansätze und Abhängigkeiten
  • Lieferketten- und Dienstleistersteuerung: Auslagerungen, Cloud, Subdienstleister, Kontrollrechte

Wer hier nur allgemein bleibt, riskiert Nachfragen. Wer zu detailliert beschreibt, muss es auch dauerhaft erfüllen können. Im Ergebnis zählt eine stimmige, überprüfbare Linie.

DORA-Compliance: Welche Resilienz-Anforderungen für CASPs praktisch relevant sind

DORA-Compliance zielt auf ein einheitliches Niveau an digitaler Widerstandsfähigkeit. Für CASPs heißt das: Risiken aus IT-Betrieb, Cyberangriffen, Systemfehlern und Dienstleisterausfällen müssen ganzheitlich adressiert werden. Dabei kommt es auf messbare Steuerung an.

Wichtige Eckpunkte sind:

  • Incident-Handling: klare Melde- und Reaktionsprozesse, interne Klassifizierung und Ursachenanalyse
  • Kontrollsysteme: laufende Überwachung, Reporting, Prüfbarkeit von Maßnahmen
  • Test- und Prüfkonzepte: regelmäßige Sicherheitsprüfungen und belastbare Nachweise
  • IKT-Drittparteien: Steuerung kritischer Dienstleister, vertragliche Mindestanforderungen, Exit-Optionen

Analytisch betrachtet entsteht daraus ein Anspruch an „Operational Readiness“: Nicht nur das Zielbild zählt, sondern die Fähigkeit, Störungen im Betrieb zu erkennen, zu priorisieren und konsequent zu beheben.

BaFin-Prüfung im Zulassungsverfahren: Worauf es in der Praxis hinausläuft

Die BaFin-Prüfung im Kontext des MiCAR-Verfahrens dürfte sich auf Konsistenz und Nachweisbarkeit konzentrieren: Passen Geschäftsmodell, Systemlandschaft, Auslagerungen und Kontrollrahmen zusammen? Gibt es erkennbare Verantwortliche, und sind Prozesse so definiert, dass sie im Alltag funktionieren?

Typische Stolpersteine sind widersprüchliche Dokumente, unklare Rollen oder eine Auslagerungsarchitektur, die zwar technisch effizient ist, aber keine ausreichenden Kontroll- und Prüfpfade vorsieht. Ebenso kritisch: Sicherheitsrichtlinien ohne gelebte Prozesse, etwa wenn Asset-Verwahrung, Schlüsselmanagement oder Zugriffskonzepte nicht sauber mit der operativen Realität verknüpft sind.

Für den MiCAR-Antrag bedeutet das: Wer die Sicherheits- und Resilienzthemen früh in die Gesamtarchitektur einbettet, reduziert Reibungsverluste im Verfahren und senkt das Risiko von Nachforderungen.

Einordnung: Wie CASPs die Zulassungsfähigkeit strukturiert erhöhen können

Berichtend lässt sich festhalten: Der Trend geht zu mehr Standardisierung, mehr Nachweisen und mehr Verknüpfung von Governance und Technik. Für eine robuste CASP-Zulassung ist es sinnvoll, Sicherheits- und Resilienzanforderungen nicht isoliert zu behandeln, sondern entlang der Wertschöpfung zu dokumentieren: von Kundenschnittstellen über Transaktionsprozesse bis zu Auslagerungen.

Wer sich dabei an etablierten Standards orientiert, erhöht die Anschlussfähigkeit. Gleichzeitig bleibt der Maßstab risikobasiert: Komplexität und Kontrolldichte sollten zum Profil des Anbieters passen.

Quellen und weiterführende Informationen

Quelle: Anwalt.de

Ähnliche Beiträge

Symbolbild einer kommunalen Verwaltung: Die VG Gunzenhausen modernisiert ihre IT-Strukturen, stärkt IT-Sicherheit und Datenschutz und schützt Systeme vor Ausfällen und Cyberangriffen.

VG Gunzenhausen modernisiert Verwaltung und IT-Sicherheit

Klinikum Siegen plant Modernisierung: Investitionen in IT-Sicherheit, neue OP-Säle und ein modernes Pflegeheim.

Klinikum Siegen plant IT-Sicherheit, OP-Säle, Pflegeheim

Alt-Text: „BSI kritisiert IT-Sicherheit von Gesundheitssoftware: Schwachstellen bei Updates, Standardkonfigurationen und Lieferketten erhöhen Risiken für Ausfälle und Datenabflüsse.“

BSI bemängelt IT-Sicherheit bei Software im Gesundheitswesen: {{seed_keywords}}

Über Computer4You

Hi, hier sollten ja eigentlich ein paar Dinge über mich stehen, wie zum Beispiel: dann und dann hier und dort geboren, da herumgekommen und dort nicht weg gekommen, nachdem er dieses und jenes gemacht hat, aber jetzt eben doch was anderes macht, entgegen seiner damaligen Vorstellungen und Wünsche. Viel Spaß beim Lesen.

Zeige alle Beiträge von Computer4You →

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert