Durch die DORA-Verordnung (Digital Operational Resilience Act) will die EU-Kommission die Leistungsfähigkeit von Finanzdienstleistungsunternehmen in kritischen Szenarien sicherstellen. Die Regulierung soll die Widerstandsfähigkeit von Unternehmen des Finanzsektors gegen betriebliche Störungen der Informations- und Kommunikations-Technologie (IKT) erhöhen.
Ein Beitrag von Christian Nölke, Principal Consultant der adesso SE
Die DORA-Verordnung reiht sich ein in eine Fülle weiterer nationaler und EU-weiter Regularien, die die Anforderungen an die IT von Finanzdienstleistern deutlich erhöhen. Sie ist zum 16.1.2023 formell in Kraft getreten und wird nach einer Übergangszeit von zwei Jahren ab dem 17.1.2025 angewandt werden.
DORA besteht aus fünf Elementen:
- IKT-Governance und IKT-Risikomanagement
- Testen der digitalen operationalen Resilienz
- Meldewesen für schwerwiegende IKT-Vorfälle
- IKT-Drittparteirisikomanagement
- Europäisches Überwachungsrahmenwerk für kritische IKT-Drittdienstleister Christian Nölke, Principal Consultant, adesso SE
Für den IKT-Bereich legt DORA für Finanzdienstleistungsunternehmen einheitliche Prinzipien fest. Die Anforderungen basieren größtenteils auf schon bekannten Veröffentlichungen und Regularien zur Informationssicherheit. Die Gesamtverantwortung für die Steuerung des IKT-Risikos und für die Einhaltung der Anforderungen liegt stets bei der Geschäftsleitung.
Gerade in Deutschland werden vielen Versicherern DORA-Elemente bekannt vorkommen. Sie haben sowohl in der Zielsetzung als auch in den Maßnahmen eine hohe Überschneidung mit nationalen Regulierungen wie den VAIT (Versicherungsaufsichtliche Anforderungen an die IT), dem IT-Sicherheitsgesetz oder dem BSI-Gesetz (KRITIS). Aber auch diese Regularien sind ein bewegliches Ziel und werden fortlaufend und nicht immer im Gleichklang zueinander weiterentwickelt.
Deshalb sollten Versicherungen einen ganzheitlichen und vorausschauenden Ansatz verfolgen. Besonderer Fokus liegt darauf, mehrfache redundante Arbeit, Dokumentation und Reporting zu vermeiden und trotzdem flexibel auf geänderte Anforderungen zu reagieren. Die wesentlichen Schritte sind:
- Sich mit DORA vertraut machen sowie die Ziele und Maßnahmen mit anderen Regularien im Geltungsbereich abgleichen
- Eine Bestandsaufnahme der bestehenden Maßnahmen und Dokumentationen der Regulatorik für IT-Systeme und -Dienstleistungen sowie der damit verbundenen Risiken durchführen
- Eine Lückenanalyse zwischen den aktuellen Praktiken und den Anforderungen von DORA sowie den anderen Regularien durchführen
- Einen Aktionsplan zur Schließung dieser Lücken erstellen
- Die notwendigen Ressourcen, Prozesse und Maßnahmen zur Umsetzung von DORA bereitstellen oder anpassen
- Die Kommunikation und Zusammenarbeit mit den internen und externen Stakeholdern, wie zum Beispiel dem Management, den Mitarbeitern, den Kunden, den Drittanbietern und den Behörden verbessern
- Fortwährend das regulatorische Umfeld, den Stand der Technik sowie mögliche Risikoszenarien beobachten.
Gerade in Deutschland sind Versicherer durch die weitreichende Regulatorik von BaFin und Gesetzgebern auf DORA gut vorbereitet. Dennoch ist die Zeit bis zum Inkrafttreten nicht lang und sollte nicht ungenutzt verstreichen.
Zum Autor
Der Autor Christian Nölke ist Principal Consultant der adesso SE. Er leitet seit vielen Jahren regulatorische Projekte bei Banken und Versicherungen und berät der Unternehmen bei der Konzeption und Umsetzung solcher Projekte. Sein Schwerpunkt liegt hierbei auf der pragmatischen Verbindung von Regulatorik, Fachlichkeit und Technik. Daneben ist er Autor mehrerer Fachartikel zum Bereich der Banken- und Versicherungsregulatorik, der Nachhaltigkeit sowie zum Datenschutz.