Headerimage
DORA, Digital Operational Resilience Act, EU-Regelungen,

DORA: Digital Operational Resilience Act

Unternehmensstrukturen rechtzeitig anpassen

Übergreifende EU-Regelungen zu IKT-Risiken in Finanzsystemen stehen vor der Tür. DORA & Co. betreffen nahezu alle Akteure des Markts. Finanzunternehmen müssen jetzt aktiv werden.

Die EU plant einheitliche, sektorübergreifende Regelungen für das Management und die Minderung der IKT-Risiken bei Banken, Versicherungen, Zahlungsdienstleistern und weiteren Akteuren des Finanzsektors. Mithilfe von DORA (Digital Operational Resilience Act) strebt die Union an, die bisherigen nationalen Regelungen zu konsolidieren. Denn die bestehenden nationalen Regelungen zum Umgang mit IKT-Risiken im Finanzsektor sind uneinheitlich. Selbst zu grundlegenden Anforderungen existieren von Land zu Land unterschiedliche Vorschriften. Auch sind die Aufsichtsbehörden nicht überall mit den gleichen Befugnissen ausgestattet.

Angesichts der fortschreitenden Digitalisierung der Gesellschaft und der wachsenden Verknüpfung vieler Dienstleistungen mit der IKT will die Kommission den derzeitigen regulatorischen Flickenteppich nicht länger hinnehmen. Grundsätzliche Ziele sind:

  • Gleiche Regelungen für Unternehmen mit gleichen Tätigkeiten und gleichem Risiko
  • Eine einheitliche Verantwortung und identische Befugnisse für Regulierungsbehörden in der EU
  • Begegnen von Risiken mit geltenden Standards und Praktiken im IKT-Sektor

Umfangreiche Regelungen

Im Entwurf von DORA sind sechs Handlungsfelder vorgesehen, die nahezu die gesamte Bandbreite des IKT-Risikomanagements abdecken und entsprechenden Anpassungsaufwand auf Seiten der Finanzdienstleister nach sich ziehen:

  • IKT-Risikomanagement
  • Berichterstattung
  • Belastbarkeitstests
  • IKT-Risiken Dritter
  • Informationsaustausch
  • Governance

Ausgestaltung der DORA-Richtlinie

Die Richtlinie Digital Operational Resilience Act fokussiert sechs betriebliche Arbeitsfelder

Besonders betroffen: Outsourcing und Penetrationstests

Die Themenbereiche mit den meisten Änderungen dürften nach derzeitigem Stand die IKT-Risiken Dritter und die Belastbarkeitstests darstellen. So sind für das Outsourcing in Zukunft eine Betrachtung des Konzentrationsrisikos bei Drittanbietern, eine Identifizierung und spezielle Beaufsichtigung der mit kritischen Funktionen befassten Partner und eine geänderte Vertragsgestaltung notwendig. Die Durchgriffsrechte der Aufsichtsbehörden auf Drittanbieter wachsen erheblich, bis hin zum Recht, die Kündigung von Verträgen anzuordnen.
Bei den Penetrations- und Belastungstests ist eine Steigerung der Testfrequenz zu erwarten, aber auch die Qualität rückt stärker in den Fokus. Es soll ein Rahmenwerk zu den Anforderungen an Penetrationstests sowie den Qualifikationen der Tester entstehen.

 

Schnelle Verabschiedung

DORA soll nach der Verabschiedung durch die Auslegungen der EU-Aufsichtsbehörden zu den einzelnen Bereichen des Finanzsektors sowie durch die nationale Auslegung einzelner Bausteine seitens der Aufsichtsbehörden der Mitgliedsstaaten präzisiert und ergänzt werden. Der zeitliche Vorlauf für die Marktteilnehmer dürfte gering ausfallen. Es ist zu erwarten, dass DORA im Laufe des ersten Halbjahrs 2022 in Kraft tritt und die sekundäre Gesetzgebung unmittelbar folgt.

 

Die PPI AG hat die Regelungen aus DORA in einem Expert Summary zusammengefasst. Leser erhalten einen kompakten Überblick über die künftig vorgesehenen Standards und Maßnahmen zur Stärkung der digitalen operativen Resilienz.

Jetzt kostenfrei downloaden

DORA mit der PPI AG

PPI kann Sie bei den anstehenden Herausforderungen vielfältig unterstützen:

  • Überprüfung und Erweiterung der Governance insbesondere bezüglich des Umgangs mit Auslagerungsprozessen
  • Operative Bewertung von Auslagerungsprozessen und Third-Party-Providern
  • Validierung und konzeptionelle Erweiterung des Risikomanagements im IKT-Bereich mit dem Fokus auf Reaktions- und Wiederherstellungsstrategien
  • Design und Umsetzung von Verfahren für Belastbarkeitstests
  • Modular aufgebaute, auf den Kunden zugeschnittene Angriffsszenarien
  • Auf Wunsch Black-Box-Tests
  • Überprüfung und Erweiterung der internen Meldeprozesse und Messverfahren im IKT-Bereich
  • Weiterbildung und Schulung der Mitarbeiter durch Workshops und Inhouse-Seminare

Jetzt downloaden!

Füllen Sie das nachfolgende Formular aus und Sie erhalten umgehend den Downloadlink zu unserem Expert Summary „Legislativvorschläge zur Betriebsstabilität digitaler Systeme: DORA“.

Ihre Ansprechpartner

Consulting Banking

Dr. Selvam Dhamotharan
Senior Manager

+49 69 2222942-4264
Selvam.Dhamotharan(at)ppi.de

Consulting Versicherungen

Tim Glenewinkel
Managing Consultant

+49 40 227433-1745
Tim.Glenewinkel(at)ppi.de