DORA: Neue Herausforderungen für Versicherungs-IT

Durch die DORA-Verordnung (Digital Operational Resilience Act) will die EU-Kommission die Leistungsfähigkeit von Finanzdienstleistungsunternehmen in kritischen Szenarien sicherstellen. Die Regulierung soll die Widerstandsfähigkeit von Unternehmen des Finanzsektors gegen betriebliche Störungen der Informations- und Kommunikations-Technologie (IKT) erhöhen.

The financial crisis and economic decline. Businessman hand stopThe financial crisis and economic decline. Businessman hand stopOleksandr – stock.adobe.com

Ein Beitrag von Christian Nölke, Principal Consultant der adesso SE

Die DORA-Verordnung reiht sich ein in eine Fülle weiterer nationaler und EU-weiter Regularien, die die Anforderungen an die IT von Finanzdienstleistern deutlich erhöhen. Sie ist zum 16.1.2023 formell in Kraft getreten und wird nach einer Übergangszeit von zwei Jahren ab dem 17.1.2025 angewandt werden.

DORA besteht aus fünf Elementen:

  • IKT-Governance und IKT-Risikomanagement
  • Testen der digitalen operationalen Resilienz
  • Meldewesen für schwerwiegende IKT-Vorfälle
  • IKT-Drittparteirisikomanagement
  • Europäisches Überwachungsrahmenwerk für kritische IKT-Drittdienstleister
  • Christian Nölke, Principal Consultant, adesso SE

    Für den IKT-Bereich legt DORA für Finanzdienstleistungsunternehmen einheitliche Prinzipien fest. Die Anforderungen basieren größtenteils auf schon bekannten Veröffentlichungen und Regularien zur Informationssicherheit. Die Gesamtverantwortung für die Steuerung des IKT-Risikos und für die Einhaltung der Anforderungen liegt stets bei der Geschäftsleitung.

    Gerade in Deutschland werden vielen Versicherern DORA-Elemente bekannt vorkommen. Sie haben sowohl in der Zielsetzung als auch in den Maßnahmen eine hohe Überschneidung mit nationalen Regulierungen wie den VAIT (Versicherungsaufsichtliche Anforderungen an die IT), dem IT-Sicherheitsgesetz oder dem BSI-Gesetz (KRITIS). Aber auch diese Regularien sind ein bewegliches Ziel und werden fortlaufend und nicht immer im Gleichklang zueinander weiterentwickelt.

    Deshalb sollten Versicherungen einen ganzheitlichen und vorausschauenden Ansatz verfolgen. Besonderer Fokus liegt darauf, mehrfache redundante Arbeit, Dokumentation und Reporting zu vermeiden und trotzdem flexibel auf geänderte Anforderungen zu reagieren. Die wesentlichen Schritte sind:

  1. Sich mit DORA vertraut machen sowie die Ziele und Maßnahmen mit anderen Regularien im Geltungsbereich abgleichen
  2. Eine Bestandsaufnahme der bestehenden Maßnahmen und Dokumentationen der Regulatorik für IT-Systeme und -Dienstleistungen sowie der damit verbundenen Risiken durchführen
  3. Eine Lückenanalyse zwischen den aktuellen Praktiken und den Anforderungen von DORA sowie den anderen Regularien durchführen
  4. Einen Aktionsplan zur Schließung dieser Lücken erstellen
  5. Die notwendigen Ressourcen, Prozesse und Maßnahmen zur Umsetzung von DORA bereitstellen oder anpassen
  6. Die Kommunikation und Zusammenarbeit mit den internen und externen Stakeholdern, wie zum Beispiel dem Management, den Mitarbeitern, den Kunden, den Drittanbietern und den Behörden verbessern
  7. Fortwährend das regulatorische Umfeld, den Stand der Technik sowie mögliche Risikoszenarien beobachten.
  8. Gerade in Deutschland sind Versicherer durch die weitreichende Regulatorik von BaFin und Gesetzgebern auf DORA gut vorbereitet. Dennoch ist die Zeit bis zum Inkrafttreten nicht lang und sollte nicht ungenutzt verstreichen.

    Zum Autor

    Der Autor Christian Nölke ist Principal Consultant der adesso SE. Er leitet seit vielen Jahren regulatorische Projekte bei Banken und Versicherungen und berät der Unternehmen bei der Konzeption und Umsetzung solcher Projekte. Sein Schwerpunkt liegt hierbei auf der pragmatischen Verbindung von Regulatorik, Fachlichkeit und Technik. Daneben ist er Autor mehrerer Fachartikel zum Bereich der Banken- und Versicherungsregulatorik, der Nachhaltigkeit sowie zum Datenschutz.

LESEN SIE AUCH

Robotic man cyborg face representing artificial intelligence 3DRobotic man cyborg face representing artificial intelligence 3DRobotic man cyborg face representing artificial intelligence 3D
Digitalisierung

KI in der Versicherung: Dürfen die das überhaupt?

Nicht erst seit ChatGPT und Stable Diffusion sind KI-Systeme in aller Munde. Und so bieten sich auch in Versicherungsunternehmen viele Szenarien an, in denen ihr Einsatz den Geschäftsalltag erleichtern und optimieren kann. Die aktuellen Rahmenbedingungen dafür analysiert Christian Nölke, Principal Consultant bei adesso.

Data Center Male It Specialist Using Laptop while Working on ComData Center Male It Specialist Using Laptop while Working on ComGorodenkoff – stock.adobe.comData Center Male It Specialist Using Laptop while Working on ComGorodenkoff – stock.adobe.com
Finanzen

Im Visier der BaFin: Versicherer müssen IT-Systeme modernisieren

Die Finanzaufsichtsbehörde prüft die internen technischen Abläufe aller Versicherungen, um Schwachstellen in der IT aufzudecken und für deren Beseitigung zu sorgen. Vor kurzem drohte die BaFin an, bei schweren IT-Mängeln Unternehmen sogar namentlich zu nennen und Kapitalzuschläge zu verhängen.

Social networkSocial networkalphaspirit – stock.adobe.comSocial networkalphaspirit – stock.adobe.com
Management

KRITIS, NIS2 und DORA: Sind Versicherungsvermittler ein Teil kritischer Finanz-Infrastruktur?

NIS2 und DORA sind Regulierungen, deren Umsetzung nur in sehr großen Unternehmensstrukturen mit IT-Spezialabteilungen und erheblichen finanziellen Ressourcen gelingen dürfte. Somit ist die Besorgnis im Kreis der Versicherungsvermittler groß, dass die stark Branche, in den pflichtenauslösenden Anwendungsbereich von NIS2 und DORA fällt.

6181ad01-bcf3-4a24-99cc-13982f9f98006181ad01-bcf3-4a24-99cc-13982f9f9800Sergey Nivens – stock.adobe.com6181ad01-bcf3-4a24-99cc-13982f9f9800Sergey Nivens – stock.adobe.com
Finanzen

"Schwaches Geschlecht", stark an der Börse

In einem Bereich, der lange Zeit von Männern dominiert wurde, setzen immer mehr Frauen ihre eigenen Maßstäbe und zeigen sich nachhaltig erfolgreich. Mit diesen fünf Stärken trumpfen Börsianerinnen auf.

EU GDPR data bits and bytes wave ripplesEU GDPR data bits and bytes wave ripplesmixmagic – stock.adobe.comEU GDPR data bits and bytes wave ripplesmixmagic – stock.adobe.com
Finanzen

Drohendes Audit-Chaos statt Cybersicherheit im Finanzsektor

Die beiden europäischen Rechtsakte DORA und NIS2 sollen die Cybersicherheit im Finanzsektor der EU stärken. Doch das Nebeneinander von zwei Regularien könnte auch zu unnötig viel Bürokratie führen. Besser wäre es, die Auditverfahren zu harmonisieren und Zuständigkeiten zusammenzuführen.

Investment loss and price falling in the red.  Plummeting valuesInvestment loss and price falling in the red. Plummeting valuesTravis – stock.adobe.comInvestment loss and price falling in the red. Plummeting valuesTravis – stock.adobe.com
Finanzen

Vorzeichen für Krisen am Kapitalmarkt

Investoren müssen zunehmend auf eine von Krisen beherrschte Welt reagieren. Dafür gilt es zu antizipieren, welche Auswirkungen diese auf die Kapitalmärkte haben. Eine Langzeit-Analyse des S&P 500 zeigt: Verlustjahre an der Börse haben bestimmbare Vorzeichen.

Mehr zum Thema

Matt Benkendorf, Chief Investment Officer, Vontobel Quality GrowthVontobelMatt Benkendorf, Chief Investment Officer, Vontobel Quality GrowthVontobel
Finanzen

Vier Schlüsselthemen für die globalen Aktienmärkte im Jahr 2025

Von den Auswirkungen der KI-Welle bis hin zu geopolitischen Verschiebungen: Matt Benkendorf, Chief Investment Officer bei Vontobel Quality Growth, beleuchtet in einem Marktkommentar die vier zentralen Themen, die die globalen Aktienmärkte im Jahr 2025 prägen könnten.

Sind die Deutschen zu 'zinsverliebt'? Man sollte sich nicht allein durch die trügerische Sicherheit der Nominalzinsen leiten lassen, so Thomas Meier, Portfoliomanager bei MainFirst.DALL-ESind die Deutschen zu 'zinsverliebt'? Man sollte sich nicht allein durch die trügerische Sicherheit der Nominalzinsen leiten lassen, so Thomas Meier, Portfoliomanager bei MainFirst.DALL-E
Finanzen

Die Nominalzins-Illusion: Warum die Deutschen zu zinsverliebt sind

Trotz der geopolitischen Unsicherheiten gebe es kein Vorbeikommen an den Aktienmärkten, meint Thomas Meier, Portfoliomanager bei MainFirst.

Rick de los Reyes, Sector Portfolio Manager und Head of Commodities bei T. Rowe PriceT. Rowe PriceRick de los Reyes, Sector Portfolio Manager und Head of Commodities bei T. Rowe PriceT. Rowe Price
Finanzen

„Fast alle Währungen verlieren an Wert – Gold bleibt stabil“

Gold erweist sich als stabiler Wertaufbewahrer, insbesondere in Zeiten von Inflation und Währungsabwertung. Im Interview erläutert Rick de los Reyes, Sector Portfolio Manager und Head of Commodities bei T. Rowe Price, wie Vermittler den langfristigen Wert von Gold erklären können.

Dr. Eduard Baitinger ist seit 2015 Leiter Asset Allocation der FERI AG.FERI AGDr. Eduard Baitinger ist seit 2015 Leiter Asset Allocation der FERI AG.FERI AG
Finanzen

Aufwärtstrend an den Aktienmärkten hält trotz Risiken an

Trotz geopolitischer Spannungen und wirtschaftlicher Herausforderungen setzen die globalen Börsen ihren Höhenflug fort, getragen von den starken US-Märkten und dem KI-Hype. Dr. Eduard Baitinger (FERI AG) beleuchtet die wichtigsten Trends und Risiken.

WorldSpectrum / pixabayWorldSpectrum / pixabay
Finanzen

Volatilitätsindikatoren auf den Kryptomärkten: Ein umfassender Leitfaden

Die Märkte für Kryptowährungen sind sehr volatil. Mit sogenannten Volatilitätsindikatoren lässt sich der Schwankungsgrad messen. Welche dieser Indikatoren es gibt und welche Bedeutung sie haben.

Raten-Kauf / pixabayRaten-Kauf / pixabay
Finanzen

Zinsen für Festgeld und Tagesgeld sinken

Viele Banken und Sparkassen haben nach der letzten Leitzinssenkung der Europäischen Zentralbank ihre Zinsen für Festgeld und Tagesgeld reduziert.