Sie sind hier: Home » Markt » Hinweise & Tipps

Die Uhr für DORA-Compliance tickt


Dora: Banken sollten sich selbst und ihre Dienstleister kritisch prüfen
Der Verordnungstext DORA lässt sich grob in fünf Säulen zusammenfassen



Von Markus Koerner, Deutschlandchef von Kyndryl

Ab dem 17. Januar 2025, gilt der Digital Operational Resilience Act (DORA) EU-weit für Finanzunternehmen und ihre IT-Partner. Da es sich um eine Verordnung der europäischen Union handelt, findet die Umsetzung in nationales Recht nicht statt. Die Zeit für betroffene Unternehmen wird also knapp. Je nachdem, welche Maßnahmen sie noch implementieren müssen, könnte die fristgerechte Umsetzung für einige Institute zu einem Problem werden. In der systemkritischen und hochregulierten Branche ist mit ernsten Folgen zu rechnen, sollte dies nicht gelingen.

Ziel der EU-Gesetzgebung ist es, die Resilienz von europäischen Finanzunternehmen zu stärken. Die Forderung nach mehr Cyberresilienz drückt sich nicht nur in Form von DORA aus, sondern zusätzlich auch durch den Cyber Resilience Act (CRA) und die Network and Information Security (NIS) Direktive II. Für den Finanzsektor ist DORA die wichtigste Legislation.

Anfälligkeiten für Cyberbedrohungen sollen im Rahmen der neuen Verordnung nicht nur bei Banken und anderen Finanzdienstleistern selbst, sondern entlang der gesamten Wertschöpfungskette des Sektors reduziert werden. Deutsche Institute, die bereits durch die BaFin und/oder das BSI reguliert werden, sehen Ähnlichkeiten mit bestehenden Vorgaben, da DORA ganz bewusst auf solchen nationalen Elementen aufbaut. Diese sollen nun für die gesamte EU vereinheitlicht und auf rechtlicher Ebene verankert werden, statt wie bislang vielfach nur Verwaltungsvorschriften darzustellen. Es besteht also Handlungsbedarf, da sonst auch mit Sanktionen zu rechnen ist.

Finanzunternehmen und ihre Dienstleister müssen gleich mehrere Punkte beachten. Der Verordnungstext DORA lässt sich grob in fünf Säulen zusammenfassen:
1. Informations- und Kommunikationstechnologie (IKT)-Risikomanagement
2. IKT-bezogenes Incident Management, Klassifizierung und Berichterstattung
3. Testen der digitalen Ausfallsicherheit (Digital Operational Resilience)
4. Management von IKT-Drittparteirisiken
5. Informationsaustausch

Die ersten beiden Punkte setzen europäische Banken praktisch schon seit Jahrzehnten um. Hier ist nicht mit besonderen Herausforderungen zu rechnen. Anders sieht es hingegen bei Punkt drei aus: Zeitgemäße Back-up-Technologien und automatisierte Wiederherstellungspläne sind noch nicht überall Standard. Auf den eventuell positiv ausfallenden Ergebnissen des EZB-Stresstests hinsichtlich Resilienz dürfen sich Banken ebenfalls nicht ausruhen. Ging es dort "lediglich" darum, theoretisch eine Art Case Study durchzuspielen, fordert DORA technische Tests der Systeme. Dies sollte natürlich auch nicht zum ersten Mal aufgrund der Verordnung erfolgen, sondern bereits vorher erprobt werden.

Haben Unternehmen noch gar nicht mit der Einführung konkreter Resilienz Maßnahmen begonnen, läuft ihnen die Zeit davon. Entsprechenden Lösungen innerhalb eines Jahres zu planen, budgetieren, freigeben zu lassen, zu implementiert und in den Betrieb zu überführen, ist gelinde gesagt sehr sportlich.

Der vierte Punkt, das Management von Drittparteirisiken, könnte für Geldinstitute, Versicherer und andere Finanzdienstleister ebenfalls zu einer Herausforderung werden. Der Sektor verfügt bisher kaum über ein Bewusstsein für die Auswirkungen von Ausfällen bei Dienstleistern, geschweige denn über konkrete Pläne für diesen Fall. Das muss sich ändern: Finanzunternehmen sollten auf Risikodiversifikation setzen und Infrastrukturen auf verschiedene kleinere Anbieter verteilen. Die Alternative dazu ist, auf die überlegenen Ressourcen der wenigen großen Dienstleister zu setzen. Fakt ist nun einmal, dass diese im Rennen mit immer innovativeren Kriminellen wesentlich besser mithalten oder sogar einen Schritt voraus sein können. Vollkommene Sicherheit gibt es allerdings auch dort nicht und somit auch keinen Königsweg zwischen Konzentration und Diversifikation.

Insgesamt wird es für viele Institute herausfordernd werden, die DORA-Compliance zum Stichtag zu erreichen. Nur wenn alle beteiligten Stakeholder, verschiedene interne Abteilungen und Dienstleister konstruktiv zusammenarbeiten, kann diese Herkulesaufgabe bewältigen werden. (Kyndryl: ra)

eingetragen: 22.02.24
Newsletterlauf: 10.05.24


Kyndryl: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Markt / Hinweise & Tipps

  • Ethik für KI-Technologien ein Muss

    Das Europäische Parlament hat kürzlich mit dem "AI-Act" die weltweit erste staatliche Regulierung von KI verabschiedet. Die Verordnung soll die Entwicklung und den Einsatz von KI-Technologien maßgeblich regeln, indem sie Transparenz, Rechenschaftspflichten und Sicherheitsstandards vorschreibt.

  • Prüfungsangst kommt nicht von ungefähr

    Stehen die Prüfer des Fiskus vor der Tür, steigt in fast jedem Unternehmen das Nervositätslevel. Die Besucher kündigen sich zwar rechtzeitig an, stellen ihren Gastgebern aber ausführliche Detailfragen und schauen sich interne Unterlagen genau an, was nicht nur Zeit und Nerven kostet, sondern manchmal auch sehr viel Geld. "Mit einer gründlichen Vorbereitung können Firmen, Freiberufler und Selbstständige der Kontrolle ihrer Buchführung durch das Finanzamt aber in aller Regel gelassen entgegenblicken", betont Prof. Dr. Christoph Juhn, Professor für Steuerrecht an der FOM Hochschule und geschäftsführender Partner der Kanzlei Juhn Partner.

  • Bausteine für ein erfolgreiches ESG-Reporting

    Das Europäische Parlament hat bereits zum Jahresende 2022 die EU-Richtlinie zur Nachhaltigkeitsberichterstattung (Corporate Sustainability Reporting Directive, kurz CSRD) angenommen. Zahlreiche Unternehmen - kapitalmarktorientierte, aber auch viele aus dem Mittelstand - sind spätestens Anfang 2025 rechtlich dazu verpflichtet, Informationen über die gesellschaftlichen und ökologischen Auswirkungen ihres Handelns zu veröffentlichen und nach einem klar vorgegebenen Kriterienkatalog Rechenschaft abzulegen.

  • Chaos bei der Umsetzung von NIS-2 droht

    Ein Blick zurück kann manchmal sehr lehrreich sein: Am 26. Mai 2018 trat die Datenschutz-Grundverordnung, kurz DSGVO, in Kraft - genauer gesagt endete die 24-monatige Übergangsfrist. Zwei Jahre hatten deutsche Unternehmen also Zeit, ihre Prozesse an die neue Richtlinie anzupassen.

  • Die Uhr für DORA-Compliance tickt

    Ab dem 17. Januar 2025, gilt der Digital Operational Resilience Act (DORA) EU-weit für Finanzunternehmen und ihre IT-Partner. Da es sich um eine Verordnung der europäischen Union handelt, findet die Umsetzung in nationales Recht nicht statt.

Chaos bei der Umsetzung von NIS-2 droht NIS-2-Umsetzungsgesetz (NIS2UmsuCG)

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen