Headerimage
DORA, Digital Operational Resilience Act, EU-Regelungen,

DORA: Digital Operational Resilience Act

Unternehmensstrukturen anpassen, um den Anforderungen gerecht zu werden

Als übergreifende EU-Regelungen zu IKT-Risiken in Finanzsystemen betreffen DORA & Co. nahezu alle Akteure des Markts. Finanzunternehmen haben nur noch bis Mitte Januar 2025 Zeit für die Umsetzung – höchste Zeit für eine Gap-Analyse und die Beseitigung von Schwächen in identifizierten Handlungsfeldern.

 

Die EU schafft mit DORA einheitliche, sektorübergreifende Regelungen für das Management und die Minderung der IKT-Risiken bei Banken, Versicherungen, Zahlungsdienstleistern und weiteren Akteuren des Finanzsektors. Angestrebt ist eine Konsolidierung der bisherigen, uneinheitlichen nationalen Regelungen. Das tut Not, denn: Selbst zu grundlegenden Anforderungen hinsichtlich des Umgangs mit IKT-Risiken existieren von Land zu Land unterschiedliche Vorschriften. Auch sind die Aufsichtsbehörden nicht überall mit den gleichen Befugnissen ausgestattet.

Die zweijährige Umsetzungsfrist für die in DORA enthaltenen Anforderungen hat mit dem Inkrafttreten am 17. Januar 2023 begonnen. Bis Anfang 2025 müssen die betroffenen Marktteilnehmer notwendige Anpassungen ihrer IT-Organisation und -Systeme abschließen.

Hintergrund von DORA ist die inzwischen zunehmend datengetriebene Wertschöpfung in der Finanzindustrie. Zudem wollen immer mehr Akteure mithilfe von Cloudsourcing Skaleneffekte erzielen und damit ihre Cost-Income-Ratio verbessern. Die Aufsicht sieht ihre Aufgabe darin, die Finanzbranche in diesen Vorhaben zu begleiten. Zugleich erkennt sie in diesen Trends Risiken, die im Ernstfall auf die gesamte Volkswirtschaft ausstrahlen können. Mit DORA hat die Aufsicht den Rahmen geschaffen, genau solche Bedrohungsszenarien adäquat zu managen.

“I (…) see the role of supervision as a ‘supporter’ of digitalization in the banking sector. Legislation should not raise the bar for digital innovation, nor should it overburden the financial sector; instead, it should name risks and help institutions manage these risks adequately.”

(Prof. Dr. Joachim Wuermeling, Exploring DORA – the Digital Operational Resilience Act and its impact on banks and their supervisors. Speech at the European Savings and Retail Banking Group (ESBG), 23.09.2021)

Grundlegende Ziele von DORA:

  • Stärkung der Resilienz der IKT-Systeme und Prozesse in der Finanzbranche
  • gleiche Regelungen für Unternehmen mit gleichen Tätigkeiten und gleichem Risiko
  • einheitliche Verantwortung und identische Befugnisse für Regulierungsbehörden in der EU

Umfangreiche Regelungen

Als Rechtsakt der EU obliegt die Durchsetzung von DORA den für die Finanzbranche zuständigen Aufsichtsbehörden, der sogenannten European Supervisory Authority (ESA). Im Einzelnen sind dies die European Banking Authority (EBA) für die Banken, die European Insurance and Occupational Pensions Authority (EIOPA) für Versicherungen und die European Securities and Markets Authority (ESMA) für Assetmanager. Die jeweils beaufsichtigten Unternehmen sowie deren Dienstleister unterliegen nun einheitlichen Regelungen.

DORA besteht aus neun Kapiteln, von denen das erste den Anwendungsbereich und verwendete Begrifflichkeiten definiert, das sechste zum Informationsaustausch zwischen den Unternehmen anregt und die Kapitel sieben bis neun primär die formaljuristische Umsetzung regeln. Operativ relevant sind dementsprechend nur die Kapitel zwei bis fünf:

  • Kapitel II: IKT-Risikomanagement
    Kernanforderung: Implementierung von Schlüsselprinzipien und Anforderungen an den Rahmen des IKT-Risikomanagements
  • Kapitel III: Vorfallmeldungen
    Kernanforderung: Harmonisierung und Straffung der Berichterstattung sowie Ausweitung der Berichtspflichten auf alle Finanzunternehmen
  • Kapitel IV: Testen der digitalen operationellen Resilienz
    Kernanforderung: Durchführung von bedrohungsorientierten Tests
  • Kapitel V: Management des IKT-Drittparteienrisikos
    Kernanforderung: Regeln für die Überwachung des Risikos von Auslagerungen und Definition des Aufsichtsrahmens für kritische IKT-Provider

Besonders betroffen: Outsourcing und Penetrationstests

Die meisten Änderungen betreffen die Themenbereiche IKT-Risiken Dritter und die Belastbarkeitstests. Für ein Outsourcing wird in Zukunft eine Betrachtung des Konzentrationsrisikos bei Drittanbietern, eine Identifizierung und spezielle Beaufsichtigung der mit kritischen Funktionen befassten Partner und eine geänderte Vertragsgestaltung verlangt. Die Durchgriffsrechte der Aufsichtsbehörden auf Drittanbieter wachsen erheblich, bis hin zum Recht, die Kündigung von Verträgen anzuordnen.

Die Frequenz von Penetrations- und Belastungstests dürfte steigen, genauso wie das Augenmerk auf die Qualität dieser Überprüfungen zunimmt. Ein Rahmenwerk soll künftig die Anforderungen sowie die Qualifikationen der Tester regeln.

 

Keine Zeit verlieren und Gap-Analyse starten

Zwei Jahre sind kein großer Zeitrahmen für die Umsetzung, die erwartbar hohe Aufwände verursachen dürfte. Da alle Bereiche des Bankbetriebs betroffen sind, entsteht ein enormer Abstimmungsbedarf mit den unterschiedlichen Stakeholdern. Entsprechend früh sollten die betroffenen Unternehmen mit der Identifikation eventueller Handlungsfelder beginnen – Zeit für eine Gap-Analyse. Diese sollte sehr detailliert ausfallen, denn einige Anforderungen sind aufgrund geltender Vorschriften, Richtlinien und Standards bereits umgesetzt. Ein Auszug relevanter Vorschriften verdeutlicht noch einmal, wie umfangreich die von DORA berührten Themenbereiche ausfallen.

Durch die Implementierung von DORA betroffene Rechtsvorschriften (Auszug)

Konkretisierung durch technische Standards

Die genaue technische Ausgestaltung einer DORA-konformen Umsetzung durch die Finanzinstitute ist noch gar nicht final festgelegt. Die Veröffentlichung der entsprechenden Regulatory Technical Standards (RTS) und Implementing Technical Standards (ITS) ist in zwei Tranchen im Januar und im Juli 2024 vorgesehen. Dadurch bedingt ist ein iteratives Vorgehen innerhalb der Umsetzungsprojekte nicht zu vermeiden. Nur so lassen sich die Konkretisierungen berücksichtigen, ohne zu viel Zeit durch Abwarten zu verlieren.

Zeitplan der Veröffentlichung der RTS und ITS zu DORA

DORA mit PPI: Wir unterstützen Sie bei den anstehenden Umsetzungsprojekten:

  • Prüfungsbegleitung
  • Durchführung von Quick-Check und Gap-Analysen
  • Überarbeitung der schriftlich fixierten Ordnung (sfO) sowie der dazugehörenden Prozesse
  • Schulungen und Trainings auf allen Ebenen
  • Begleitung der Umsetzung der IT-Strategie, zum Beispiel Cloud-Migrationsprojekte unter Fokussierung auf Security und Compliance
  • Implementierung von Maßnahmen im Bereich Detection & Response – maßgeschneidert als Reaktion auf Cyberangriffe, beispielsweise SIEM, SOAR, XDR
  • Implementierung und Weiterentwicklung eines individualisierten Information Security Management Systems (ISMS) nach ISO 27001

Jetzt downloaden!

Füllen Sie das nachfolgende Formular aus und Sie erhalten umgehend den Downloadlink zu unserem Expert Summary „Legislativvorschläge zur Betriebsstabilität digitaler Systeme: DORA“.

Consulting Versicherungen

Tim Glenewinkel

Ihr Ansprechpartner

Tim Glenewinkel
Manager

+49 151 17601697
Tim.Glenewinkel(at)ppi.de

Consulting Banken

Jan-Paul Neder

Ihr Ansprechpartner

Jan-Paul Neder
Manager

+49 151 74373850
jan-paul.neder(at)ppi.de