Digital Operational Resilience Act
Der Digital Operational Resilience Act (DORA) tritt ab dem kommenden Jahr in Kraft. Ziel der neuen EU-Verordnung: die digitale Betriebsstabilität im Finanzsektor stärken. Finanzinstitute müssen zukünftig strikte Maßnahmen zum Management von IT- und Cyberrisiken umsetzen, einschließlich der Meldung von Sicherheitsvorfällen und dem Umgang mit Drittanbietern. Professor Dr. Andreas Igl von der TH Deggendorf erklärt die Auswirkungen dieser Regulierung – speziell für genossenschaftliche Banken und kleinere Institute.
DORA, der Digital Operational Resilience Act, ist eine EU-Verordnung zur Stärkung der digitalen Resilienz von Finanzinstituten. Sie verpflichtet Unternehmen im Finanzsektor, Maßnahmen für ein striktes Management von Informations- und Kommunikationstechnologie-Risiken (IKT) umzusetzen. Dazu gehören Meldepflichten bei IT-Sicherheitsvorfällen, regelmäßige Tests zur Risikobewältigung und Vorgaben für den Umgang mit Drittanbietern. Die Verordnung zielt darauf ab, die Cybersicherheit zu verbessern und Störungen im Finanzsektor zu minimieren. Ab Januar 2025 wird DORA verbindlich. Die BaFin unterstützt die Umsetzung und passt ihre Aufsicht entsprechend an. Professor Dr. Andreas Igl, BDO-Stfitungsprofessor für digitale Datenanalyse und Prüfungsunterstützung in der Wirtschaftsprüfung an der TH Deggendorf, erklärt die konkreten Auswirkungen der Verordnung, auch für kleine genossenschaftliche Institute.
DORA ist eine neue aufsichtsrechtliche Anforderung, die ab dem 17. Januar 2025 von den verpflichteten Finanzunternehmen zu erfüllen ist. Die Kreditinstitute und Versicherungen erhalten durch DORA erstmalig harmonisierte und überall in der EU einheitlich gültige Anforderungen. Ziel des Vorhabens ist es, die digitale Betriebsstabilität in den Unternehmen des Finanzmarkts weiter zu stärken.
DORA folgt grundsätzlich dem Prinzip der Proportionalität, stellt also unterschiedliche Anforderungen je nach Größe, Risikogehalt und Geschäftsmodelleines Finanzunternehmens. Jedoch legt DORA auch einen besonderen Fokus auf das Risikomanagement von sogenannten Informations- und Kommunikationstechnologie-Drittdienstleistern (IKT). Das sind externe Anbieter, die IT- und Kommunikationsdienste für Unternehmen bereitstellen. Dazu gehören unter anderem Cloud-Dienste, Software-Entwicklungen, IT-Sicherheitssysteme oder Datenverwaltung. Banken und andere Finanzinstitute greifen häufig auf solche Dienstleister zurück, um (spezialisierte) IT-Infrastrukturen zu betreiben. Durch den Einsatz von Drittdienstleistern wird ein Teil des technologischen Betriebs ausgelagert, wodurch diese Anbieter eine kritische Rolle im Risikomanagement und der Cybersicherheit spielen. Hier sind genossenschaftliche Institute in Bezug auf den hohen Anteil an ausgelagerter IT-Infrastruktur besonders gefordert.
Persönlich denke ich, dass die Anforderungen aus DORA das Bewusstsein für das Thema IT- und Cyber-Risiken signifikant steigern wird, insbesondere auch im Leitungsorgan rund um Vorstand und Aufsichtsrat. Jedoch muss man sich auch bewusst machen, dass trotz hoher Aufwände im Bereich der Prävention eine Realisierung von derartigen Risiken jederzeit passieren kann. Dann ist das Management gefragt, die krisenhafte Situation mit möglichst geringen Folgeschäden zu bewerkstelligen. Hierbei unterstützt wieder die zuvor durch DORA geschaffene „Awareness“.
Die Anforderungen aus DORA werden das Bewusstsein für das Thema IT- und Cyber-Risiken signifikant steigern, insbesondere auch im Leitungsorgan.
Die DORA-Anforderungen sind bezüglich ihres Aufwands nicht zu unterschätzen. In den aktuell vorhandenen Kapazitäten für IT-Sicherheit und Informationssicherheiten in den kleinen Banken ist dies nur sehr schwierig zu schaffen. Eine zentrale Herausforderung ist daher sicher der Fachkräftemangel an IT-Spezialisten in der Fläche. Eine weitere Herausforderung nach der erstmaligen Umsetzung ist sicher auch der operative Betrieb sowie die regelmäßigen Aktualisierungen, die mit den DORA-Anforderungen einhergehen. Kleinere Banken sollten hier noch stärker auf ein kooperatives Modell der Zusammenarbeit sowie einer damit verbundenen Arbeitsteilung drängen.
Die zuständigen Aufsichtsbehörden, wie die BaFin, unterstützen die Einführung von DORA umfassend durch Konferenzen, Veranstaltungen und Informationsmaterialien. Es wurde bereits eine Aufsichtsmitteilung veröffentlicht, um zentrale Aspekte des Risikomanagements auf die zukünftigen DORA-Anforderungen zu übertragen. Dabei orientieren sich die Aufsichtsinstrumente am Grundsatz der Proportionalität, um den Aufwand für kleinere Institute in einem angemessenen Umfang zu reduzieren. Dennoch liegt die eigentliche Verantwortung für die Umsetzung und kontinuierliche Anpassung der Anforderungen bei den jeweiligen Finanzunternehmen selbst.
Mit DORA geht der Wunsch einher, die betriebliche Stabilität im Finanzsektor zu verbessern und somit die Resilienz zu erhöhen. DORA ist ein Beitrag zum Auftrag der Aufsichtsbehörden nach § 6 KWG, Missständen – hier in Form von „schlechter“ IT – im Finanzsektor entgegenzuwirken. Insgesamt wird DORA zu einer Stärkung des Risikobewusstseins beitragen – leider aber auch zu mehr Verwaltungsaufwand.
Unsere Veranstaltungen zum Thema DORA: