Durch die DORA-Verordnung (Digital Operational Resilience Act) will die EU-Kommission die Leistungsfähigkeit von Finanzdienstleistungsunternehmen in kritischen Szenarien sicherstellen. Die Regulierung soll die Widerstandsfähigkeit von Unternehmen des Finanzsektors gegen betriebliche Störungen der Informations- und Kommunikations-Technologie (IKT) erhöhen.
Ein Beitrag von Christian Nölke, Principal Consultant der adesso SE
Die DORA-Verordnung reiht sich ein in eine Fülle weiterer nationaler und EU-weiter Regularien, die die Anforderungen an die IT von Finanzdienstleistern deutlich erhöhen. Sie ist zum 16.1.2023 formell in Kraft getreten und wird nach einer Übergangszeit von zwei Jahren ab dem 17.1.2025 angewandt werden.
DORA besteht aus fünf Elementen:
- IKT-Governance und IKT-Risikomanagement
- Testen der digitalen operationalen Resilienz
- Meldewesen für schwerwiegende IKT-Vorfälle
- IKT-Drittparteirisikomanagement
- Europäisches Überwachungsrahmenwerk für kritische IKT-Drittdienstleister
Christian Nölke, Principal Consultant, adesso SEFür den IKT-Bereich legt DORA für Finanzdienstleistungsunternehmen einheitliche Prinzipien fest. Die Anforderungen basieren größtenteils auf schon bekannten Veröffentlichungen und Regularien zur Informationssicherheit. Die Gesamtverantwortung für die Steuerung des IKT-Risikos und für die Einhaltung der Anforderungen liegt stets bei der Geschäftsleitung.
Gerade in Deutschland werden vielen Versicherern DORA-Elemente bekannt vorkommen. Sie haben sowohl in der Zielsetzung als auch in den Maßnahmen eine hohe Überschneidung mit nationalen Regulierungen wie den VAIT (Versicherungsaufsichtliche Anforderungen an die IT), dem IT-Sicherheitsgesetz oder dem BSI-Gesetz (KRITIS). Aber auch diese Regularien sind ein bewegliches Ziel und werden fortlaufend und nicht immer im Gleichklang zueinander weiterentwickelt.
Deshalb sollten Versicherungen einen ganzheitlichen und vorausschauenden Ansatz verfolgen. Besonderer Fokus liegt darauf, mehrfache redundante Arbeit, Dokumentation und Reporting zu vermeiden und trotzdem flexibel auf geänderte Anforderungen zu reagieren. Die wesentlichen Schritte sind:
- Sich mit DORA vertraut machen sowie die Ziele und Maßnahmen mit anderen Regularien im Geltungsbereich abgleichen
- Eine Bestandsaufnahme der bestehenden Maßnahmen und Dokumentationen der Regulatorik für IT-Systeme und -Dienstleistungen sowie der damit verbundenen Risiken durchführen
- Eine Lückenanalyse zwischen den aktuellen Praktiken und den Anforderungen von DORA sowie den anderen Regularien durchführen
- Einen Aktionsplan zur Schließung dieser Lücken erstellen
- Die notwendigen Ressourcen, Prozesse und Maßnahmen zur Umsetzung von DORA bereitstellen oder anpassen
- Die Kommunikation und Zusammenarbeit mit den internen und externen Stakeholdern, wie zum Beispiel dem Management, den Mitarbeitern, den Kunden, den Drittanbietern und den Behörden verbessern
- Fortwährend das regulatorische Umfeld, den Stand der Technik sowie mögliche Risikoszenarien beobachten.
Gerade in Deutschland sind Versicherer durch die weitreichende Regulatorik von BaFin und Gesetzgebern auf DORA gut vorbereitet. Dennoch ist die Zeit bis zum Inkrafttreten nicht lang und sollte nicht ungenutzt verstreichen.
Zum Autor
Der Autor Christian Nölke ist Principal Consultant der adesso SE. Er leitet seit vielen Jahren regulatorische Projekte bei Banken und Versicherungen und berät der Unternehmen bei der Konzeption und Umsetzung solcher Projekte. Sein Schwerpunkt liegt hierbei auf der pragmatischen Verbindung von Regulatorik, Fachlichkeit und Technik. Daneben ist er Autor mehrerer Fachartikel zum Bereich der Banken- und Versicherungsregulatorik, der Nachhaltigkeit sowie zum Datenschutz.
Themen:
LESEN SIE AUCH
KI in der Versicherung: Dürfen die das überhaupt?
Nicht erst seit ChatGPT und Stable Diffusion sind KI-Systeme in aller Munde. Und so bieten sich auch in Versicherungsunternehmen viele Szenarien an, in denen ihr Einsatz den Geschäftsalltag erleichtern und optimieren kann. Die aktuellen Rahmenbedingungen dafür analysiert Christian Nölke, Principal Consultant bei adesso.
Im Visier der BaFin: Versicherer müssen IT-Systeme modernisieren
Die Finanzaufsichtsbehörde prüft die internen technischen Abläufe aller Versicherungen, um Schwachstellen in der IT aufzudecken und für deren Beseitigung zu sorgen. Vor kurzem drohte die BaFin an, bei schweren IT-Mängeln Unternehmen sogar namentlich zu nennen und Kapitalzuschläge zu verhängen.
KRITIS, NIS2 und DORA: Sind Versicherungsvermittler ein Teil kritischer Finanz-Infrastruktur?
NIS2 und DORA sind Regulierungen, deren Umsetzung nur in sehr großen Unternehmensstrukturen mit IT-Spezialabteilungen und erheblichen finanziellen Ressourcen gelingen dürfte. Somit ist die Besorgnis im Kreis der Versicherungsvermittler groß, dass die stark Branche, in den pflichtenauslösenden Anwendungsbereich von NIS2 und DORA fällt.
"Schwaches Geschlecht", stark an der Börse
In einem Bereich, der lange Zeit von Männern dominiert wurde, setzen immer mehr Frauen ihre eigenen Maßstäbe und zeigen sich nachhaltig erfolgreich. Mit diesen fünf Stärken trumpfen Börsianerinnen auf.
Drohendes Audit-Chaos statt Cybersicherheit im Finanzsektor
Die beiden europäischen Rechtsakte DORA und NIS2 sollen die Cybersicherheit im Finanzsektor der EU stärken. Doch das Nebeneinander von zwei Regularien könnte auch zu unnötig viel Bürokratie führen. Besser wäre es, die Auditverfahren zu harmonisieren und Zuständigkeiten zusammenzuführen.
Vorzeichen für Krisen am Kapitalmarkt
Investoren müssen zunehmend auf eine von Krisen beherrschte Welt reagieren. Dafür gilt es zu antizipieren, welche Auswirkungen diese auf die Kapitalmärkte haben. Eine Langzeit-Analyse des S&P 500 zeigt: Verlustjahre an der Börse haben bestimmbare Vorzeichen.