Die Europäische Union hat mit dem Digital Operational Resilience Act (DORA) einen umfassenden Rahmen zur Stärkung der digitalen Widerstandsfähigkeit von Unternehmen im Finanzsektor geschaffen. Ab Januar 2025 müssen Finanzinstitute, einschließlich Asset Manager, die neuen Anforderungen vollumfänglich erfüllen. Von Ulrich Rogmans*, Geschäftsführer, Plutoneo Consulting GmbH:
Kernanforderung der DORA
DORA legt den Schwerpunkt auf folgende fünf Schlüsselbereiche:
- IKT[1]-Risikomanagement: Finanzunternehmen müssen robuste Prozesse zur Identifikation, Bewertung und Überwachung von IT-Risiken implementieren.
- IKT-bezogene Vorfallberichterstattung: Eine standardisierte Meldung von IT-Vorfällen soll Transparenz und eine koordinierte Reaktion auf Cyberangriffe fördern.
- Test der digitalen Resilienz: Regelmäßige Durchführung von Tests, einschließlich bedrohungsorientierter Penetrationstests, um die Widerstandsfähigkeit gegenüber Cyberangriffen zu überprüfen.
- Risikomanagement bei Drittanbietern: Da viele Unternehmen auf externe Dienstleister setzen, fordert DORA eine gründliche Prüfung und Überwachung der damit verbundenen Risiken (Stichwort: Informationsregister).
- Informationsaustausch und Zusammenarbeit: Die Verordnung fördert den Austausch zwischen Unternehmen und Aufsichtsbehörden, mit dem Ziel, die Gesamtsicherheit des Finanzsektors zu erhöhen.
Diese Anforderungen sollen sicherstellen, dass Finanzinstitute widerstandsfähig gegenüber IKT-bezogenen Störungen sind und ihre Dienstleistungen auch in Krisenzeiten aufrechterhalten können.
Foto: © freepik.com
Praxisbeobachtungen und Umsetzungsstand
Fehlende Best Practices: Die Umsetzung von DORA befindet sich noch in einem frühen Stadium. Viele Unternehmen stehen vor der Herausforderung, dass es noch keine etablierten Referenzmodelle gibt. Die Interpretation der Vorgaben, etwa zur Testfrequenz oder den Anforderungen an die Berichterstattung, bleibt stark unternehmensspezifisch.
Es besteht Unsicherheit bezüglich der genauen Anforderungen und ihrer Interpretation. So ist z.B. die genaue Definition von „kritischen Dienstleistern“ und die Frage, wie tiefgreifend die Prüfung ihrer Resilienz sein muss, unklar. Unternehmen müssen hier eigenständig Abwägungen treffen. Dies führt dazu, dass viele Unternehmen einen defensiveren Ansatz wählen und möglicherweise mehr umsetzen als notwendig.
Ein wesentlicher Aspekt ist die organisatorische Verankerung der DORA-Implementierung. Viele Unternehmen sehen die IT-Abteilung in der Führungsrolle, während bei den übrigen eine Mischung aus den Operativen- und Stabsfunktionen die Verantwortung trägt.
DORA harmonisiert zwar die Regulierungslandschaft in der EU, doch müssen Unternehmen gleichzeitig auch nationale Anforderungen berücksichtigen. Dies macht einen ganzheitlichen Ansatz umso mehr nötig.
Foto: © kues1 – freepik.com
Die Lösung für das geforderte Transparenzmedium „Informationsregister“, mit seinen über 90 zu befüllenden Datenfeldern (sowie den dazugehörigen Life Cycle Events), ist äußerst heterogen ausgeprägt. So kommen primär eigenentwickelte Lösungen zum Tragen, die überwiegend auf den üblichen MS-Office-Produkten basieren.
Die Umsetzung erfordert ein Expertenwissen in den Bereichen IT-Sicherheit, Risikoanalyse und Compliance. Angesichts des bereits angespannten Arbeitsmarktes in der IT sind diese Fachkräfte jedoch schwer zu finden.
Hinzu kommen auch erhebliche Investitionen in Personal, Technologie und Schulungen – nicht nur einmalige Investitionskosten (Change), sondern insbesondere auch beachtliche Ausgaben für laufende Kosten (Run).
Unsere Empfehlungen
Für eine erfolgreiche Implementierung sollten Entscheider folgende Schritte in Betracht ziehen:
Risikobasierter Ansatz
-> Fokussieren Sie sich auf die kritischen Funktionen und priorisieren Sie Maßnahmen entsprechend.
Erweitern Sie bestehende, bereits etablierte Prozesse
-> Nutzen Sie vorhandene Strukturen und Prozesse, um DORA effizient umzusetzen bzw. zu integrieren. Dies umfasst auch die Etablierung von klaren Prozessen für die Dokumentation und Meldung von IKT-Vorfällen.
Foto: © freepik.com
Arbeiten Sie mit Ihren Drittanbietern zusammen
-> Beginnen Sie frühzeitig mit der Überprüfung und Anpassung von Verträgen und Prozessen. Um sicherzustellen, dass nicht nur die Verträge sondern insbesondere auch die Anbieter selbst den DORA-Anforderungen entsprechen.
Seien Sie für kontinuierliche Anpassungen gerüstet
-> Bleiben Sie flexibel (insbesondere in ihren ausgewählten technologischen Lösungen) und passen Sie Ihre Strategie an, da sich die Interpretationen und Best Practices weiterentwickeln werden.
Befähigen Sie ihre Mitarbeitenden
-> Investieren Sie in Schulungen für Mitarbeitende, um das Bewusstsein für Cyberrisiken zu schärfen und Kompetenzen im Umgang mit IKT-Risiken aufzubauen und zu stärken.
Fazit
Die Einführung von DORA stellt die Finanzbranche vor erhebliche Herausforderungen, da klare Best Practices und einheitliche Interpretationen noch fehlen. Unternehmen sind gefordert, proaktiv Lösungen zu entwickeln und sich flexibel an neue Anforderungen anzupassen. Gleichzeitig bietet DORA die Chance, langfristig eine stärkere digitale Resilienz und damit ein nachhaltiges Wachstum in einer zunehmend vernetzten Welt zu erreichen. Der Schlüssel zum Erfolg liegt in der Zusammenarbeit – sowohl innerhalb der Branche als auch mit Regulierungsbehörden.
Ulrich Rogmans, Plutoneo
*) Ulrich Rogmans ist Geschäftsführer der Plutoneo Consulting GmbH. Plutoneo fokussiert sich als Beratungsunternehmen auf die Bereiche Middle- und Back-Office im Asset Management. Plutoneo Consulting verfügt über jahrzehntelange nationale und internationale Projekterfahrung, die eine erstklassige Beratung auf höchstem Niveau garantiert – von Prozessoptimierung über technische Migrationen bis hin zur Umsetzung regulatorischer Anforderungen.
Web: www.plutoneo.com
Kontakt: u.rogmans@plutoneo.com
[1] Informations- und Kommunikationstechnologie