DORA - Echte Chance für Finanzunternehmen oder doch nur notwendiges Übel?

Die DORA-Richtlinie, auch bekannt als Verordnung über die digitale operationale Resilienz (Digital Operational Resilience Act), sorgt bei vielen Finanzunternehmen für Aufregung und Befangenheit. Steht die Cybersicherheit vor einem grundlegenden Wandel oder bringt DORA vor allem neue administrative Anforderungen für Unternehmen? Eines ist sicher: Die DORA-Umsetzungsfrist! Ab Januar 2025 wird DORA verpflichtend - und die Anforderungen, die die ESA mit DORA formuliert, sind nicht zu unterschätzen. Persönliche Haftung der Geschäftsleitung, umfangreiche Risikoprüfungen, verschärfte Regelungen für Drittanbieter - DORA zwingt die Finanzbranche, ihre IT-Infrastruktur, IKT-Risikomanagement und somit ihre Geschäftsprozesse grundlegend zu überdenken und geht über das hinaus, was die BaFin bislang auf Basis der MaRisk geprüft hat.

Doch was bedeutet das konkret für Ihr Unternehmen? In diesem Artikel beleuchten wir die wichtigsten DORA-Anforderungen im Detail und zeigen auf, welche Maßnahmen Finanzinstitute jetzt ergreifen müssen. Darüber hinaus gehen wir der Frage nach, ob das Outsourcing von IT-Dienstleistungen auch unter den neuen Regularien noch sinnvoll ist und wie Unternehmen die Chancen von DORA 2025 für sich nutzen können. Erfahren Sie, wie sich Ihr Unternehmen optimal aufstellen und langfristig von den neuen Anforderungen profitieren kann!

Welche DORA-Vorgaben machen den Unterschied?

Die EU-Richtlinie DORA (Digital Operational Resilience Act) wird im Januar 2025 verbindlich und verleiht dem Thema IT-Security und Cybersicherheit im europäischen Finanzsektor eine neue Ernsthaftigkeit. Neben dem Entzug der Banklizenz, der bereits in der Vergangenheit drohte, sind nun auch strafrechtliche Konsequenzen möglich: Die Geschäftsleitung von Finanzinstituten kann die Verantwortung für die Einhaltung von DORA nicht delegieren und wird künftig persönlich haftbar gemacht.

DORA zwingt Unternehmen, strategische, prozessuale und technische Maßnahmen in allen Dimensionen ihrer Organisation zu definieren und umzusetzen und erfordert somit ein Umdenken: Die Risikobetrachtung reicht weit über die eigenen Unternehmensgrenzen hinaus und umfasst auch ICT-Dienstleister („Information Communiation Technology“) sowie deren Subunternehmer.

Damit wird das Drittparteienrisiko zu einem zentralen Bestandteil der digitalen Resilienz. Die Definition von IKT-Fremddienstleistungen geht über bisherige, weniger strenge Regelungen („sonstiger Fremdbezug“) hinaus.

Um all den Anforderungen von DORA gerecht zu werden, müssen Unternehmen proaktiv eine DOR-Strategie entwickeln und ein umfassendes Berichtswesen etablieren. Regelmäßige Überprüfungen und Tests sind unerlässlich, um die Wirksamkeit der Maßnahmen sicherzustellen. Exit-Strategien dürfen nicht nur theoretisch existieren, sondern müssen auch praktisch umsetzbar sein.

Welche Maßnahmen sollten Finanzunternehmen jetzt in Bezug auf DORA ergreifen?

Um die Anforderungen der DORA-Richtlinie zu erfüllen und ihre digitale Resilienz zu stärken, sollten Finanzinstitute umgehend folgende Maßnahmen ergreifen: Zunächst ist die Initiierung eines DORA-Projekts und die Durchführung eines umfassenden DORA-Assessments zur Ermittlung des aktuellen Stands der Cyber-Sicherheit erforderlich. Dabei sollten die Erkenntnisse aus vergangenen IT-Sicherheitsaudits (VAIT, BAIT) berücksichtigt und offene Punkte adressiert werden. Parallel dazu ist die Entwicklung einer umfassenden DOR-Strategie erforderlich, die alle Aspekte der digitalen Resilienz abdeckt. Ein Kernelement ist hierbei die Erstellung eines Informationsregisters, das alle relevanten Informationen zu IT-Systemen, Daten und Prozessen enthält. Entscheidend ist auch eine detaillierte Kategorisierung in kritische und wichtige Funktionen entlang der Geschäftsprozesse. Bestehende Verträge mit IT-Dienstleistern müssen kritisch überprüft und gegebenenfalls neu verhandelt werden, um die Einhaltung des DORA-Anforderungen sicherzustellen. Darüber hinaus sollten Zusammenarbeitsmodelle risikobasiert optimiert werden. Um die Widerstandsfähigkeit der IT-Infrastruktur zu erhöhen, ist eine Erhöhung des Prozessreifegrads in IT-Service und Betriebsprozessen sowie das Härten von Systemen notwendig. Abschließend sollte eine umfassende Teststrategie entwickelt werden, um die Wirksamkeit der implementierten Maßnahmen regelmäßig zu überprüfen.

DORA & Outsourcing – Lohnt sich die Auslagerung von IT-Leistungen weiterhin?

Der Begriff „Outsourcing/ Auslagerung“ wird in DORA durch den Begriff „Nutzung von IKT-Dienstleistungen Dritter“ ersetzt. Dieser umfasst ein breites Spektrum an IT-Dienstleistungen von der Beratung über die Entwicklung bis hin zum Betrieb. Beim DORA-Auslagerungsmanagement ist zu beachten, dass nicht nur Auslagerungspartner, sondern auch konzerninterne Dienstleistungen in den DORA-Scope fallen. Die Einstufung einer Dienstleistung als kritisch oder wichtig erfolgt sowohl auf Unternehmensebene als auch anhand der allgemeinen DORA-Kriterien.

Fazit: Die neuen regulatorischen Anforderungen von DORA gelten für jedes Finanzinstitut, unabhängig davon, ob es IT-Dienstleistungen selbst erbringt oder einkauft. Während die erhöhten Anforderungen an das Risikomanagement insbesondere mittelständische Unternehmen vor Herausforderungen stellen können, bietet das Outsourcing an erfahrene Partner auch Chancen. Durch die Konzentration auf Kernkompetenzen können Unternehmen ihre Unternehmensstruktur verschlanken und sich auf ihre wesentlichen Geschäftsprozesse konzentrieren. Das erfordert jedoch eine sorgfältige Auswahl und Steuerung der Dienstleister, um die Einhaltung der DORA-Anforderungen sicherzustellen.

Woran erkenne ich einen „DORA-ready“-IKT-Drittdienstleister?

Ein verlässlicher Indikator für einen „DORA-ready“ IKT-Dienstleister sind entsprechende Zertifizierungen, die die Einhaltung von Sicherheitsstandards und Compliance-Vorschriften nachweisen. Ein transparentes und revisionssicheres Reporting ermöglicht es dem Auftraggeber, die Leistung des Dienstleisters kontinuierlich zu überprüfen. Ein weiteres wichtiges Kriterium zur Erleichterung der Kontrolle durch die Aufsichtsbehörden und zur Gewährleistung der Rechtssicherheit ist der Sitz des Dienstleisters in Deutschland. Darüber hinaus sollte der Dienstleister keine weiteren Leistungen an Dritte vergeben, um Transparenz und Kontrolle zu wahren. Ein Auditrecht des Auftraggebers ist auch Voraussetzung für die Einhaltung von Sicherheitsstandards und Compliance-Vorschriften. Transparente, gemeinsam genutzte Prozesse, die Nutzung von Tools des Kunden und ein ausgeprägtes Bewusstsein für Risiken und deren Management unterstreichen die Reife des Dienstleisters. Skalierbarkeit und eine Multivendor-Strategie zeigen Flexibilität und Anpassungsfähigkeit an sich ändernde Anforderungen.

DORA-Checkliste für die effektive Nutzung von IKT-Drittdienstleistungen

Echte Chancen: Wie DORA zur Marktposition verhilft

Aus betriebswirtschaftlicher Sicht mag DORA zunächst als Kostenfaktor erscheinen. Der damit verbundene Aufwand und die Bindung von Ressourcen scheinen keinen direkten Umsatz zu generieren. Spätestens bei Audits wird jedoch deutlich, wie wichtig die Umsetzung von DORA ist. Ein hohes Maß an Transparenz und die Erfüllung der Anforderungen können das Vertrauen von Kunden und Investoren stärken und Reputationsrisiken minimieren. Unternehmen, die DORA konsequent umsetzen, heben sich von ihren Mitbewerbern ab und positionieren sich als verlässliche Partner.

Für IKT-Dienstleister birgt DORA sowohl Risiken als auch Chancen. Unternehmen, die sich proaktiv auf die neuen Anforderungen einstellen und ihre Dienstleistungen entsprechend anpassen, können sich einen Wettbewerbsvorteil verschaffen. Auch IT-Softwareanbieter müssen ihre Lösungen an die neuen Anforderungen anpassen, um weiterhin erfolgreich am Markt bestehen zu können. Der Einsatz von künstlicher Intelligenz (KI) kann dabei eine wichtige Rolle spielen, bedarf aber noch weiterer Forschung und Erfahrung.

Fintech-Unternehmen stehen vor der Herausforderung, die hohen Compliance-Anforderungen von DORA zu erfüllen. Kooperationen mit etablierten Finanzinstituten können hier eine Lösung sein, allerdings müssen die Risiken sorgfältig abgewogen werden.

Die Implementierung von DORA kann eine Verzögerung der digitalen Transformation zur Folge haben, da Anpassungen bestehender Prozesse und Verträge notwendig werden. Langfristig bietet DORA jedoch die Chance, die digitale Resilienz zu stärken und das Vertrauen der Kunden zu gewinnen. Unternehmen, die die Chancen von DORA nutzen, werden gestärkt aus dieser Entwicklung hervorgehen.

DORA: Einfluss auf die digitale Transformation

Die DORA-Verordnung stellt die Institute vor die anspruchsvolle Aufgabe, ihre digitalen Initiativen und Innovationsstrategien in einem stark regulierten Umfeld weiterzuentwickeln. Dabei müssen sie gewährleisten, dass die Erfüllung der DORA-Anforderungen Hand in Hand mit der Umsetzung ihrer digitalen Ziele geht. Dieser Balanceakt zwischen regulatorischen Anforderungen und Innovationsdruck erfordert sorgfältige Planung und strategische Anpassungen, um langfristig erfolgreich zu sein.

DORA in der Praxis

Die Praxis zeigt, dass viele Finanzinstitute bereits mit den Herausforderungen der DORA-Umsetzung konfrontiert sind. Insbesondere bei der Anpassung bestehender Verträge und der Überarbeitung von Kooperationsmodellen wird deutlich, wie umfassend die neuen Anforderungen sind. Finanzinstitute müssen nicht nur sicherstellen, dass ihre internen Systeme und Prozesse den DORA-Anforderungen entsprechen, sondern auch die Zusammenarbeit mit externen Partnern und Dienstleistern neu strukturieren. Dazu gehört die genaue Definition von Überwachungsmechanismen, Meldepflichten und Kontrollzielen, die sicherstellen, dass alle Beteiligten der Wertschöpfungskette die regulatorischen Anforderungen erfüllen.

Diese Anpassungen sind zwar zeit- und ressourcenintensiv, bieten aber auch die Chance, bestehende Geschäftsmodelle zu überdenken und zu optimieren. Finanzinstitute, die diese Herausforderung erfolgreich meistern, können sich einen langfristigen Wettbewerbsvorteil verschaffen, indem sie robuste und sichere digitale Lösungen anbieten, die den hohen Erwartungen des Marktes und der Regulierungsbehörden gerecht werden. Die Erfahrungen, die in der aktuellen Umsetzungsphase von DORA gesammelt werden, werden entscheidend dafür sein, wie gut die Finanzinstitute auf zukünftige regulatorische Anforderungen vorbereitet sind und wie sie ihre digitale Transformation weiterhin erfolgreich gestalten können.

Profitieren Sie von unserer Expertise, um Ihr Unternehmen optimal auf die DORA-Anforderungen vorzubereiten! Als erfahrenes Unternehmen unterstützen wir Sie bei der Entwicklung und Umsetzung einer maßgeschneiderten DORA-Strategie. Unsere Experten verfügen über fundiertes Wissen in den Bereichen Cyber Security und Digital Resilience und helfen Ihnen, alle regulatorischen Anforderungen effizient und sicher zu erfüllen. Von der Risikoanalyse über die Optimierung Ihrer IT-Infrastruktur bis hin zur Überprüfung und Neuausrichtung Ihrer Drittanbieterbeziehungen - wir begleiten Sie bei jedem Schritt.

Werden Sie DORA-ready:
Jetzt unverbindlich beraten lassen und profitieren!

Lassen Sie uns gemeinsam dafür sorgen, dass Ihr Unternehmen nicht nur die gesetzlichen Anforderungen erfüllt, sondern auch langfristig von den Vorteilen profitiert, die DORA mit sich bringt. Kontaktieren Sie uns noch heute für ein unverbindliches Beratungsgespräch und erfahren Sie, wie wir Ihre digitale operationale Resilienz stärken und Ihr Unternehmen DORA-ready machen können!

Kontakt