Eine Abfrage unter Teilnehmern einer Bank-Verlag-Veranstaltung zum Thema Cyber Security im September machte die Dringlichkeit deutlich: Gut die Hälfte der Anwesenden äußerte die Einschätzung, dass ihr Institut bislang zu maximal 50 % auf die DORA-Anforderungen vorbereitet ist. Auf den letzten Metern bis zum „DORA-Day“ bleibt also viel zu tun.
Prof. Dr. Patrik Buchmüller, Professor an der Dualen Hochschule Baden-Württemberg, Villingen-Schwenningen und DORA-Experte, rät Verantwortlichen, sich nicht in Details der Verordnung zu verlieren, sondern sich auf die wesentlichen Punkte zu fokussieren: „Es wird kein Institut geben, das im Januar zu 100 Prozent gerüstet ist.“ Grund hierfür ist u. a. der Umstand, dass wesentliche sogenannte delegierte Rechtsakte zu den Detailanforderungen von DORA bislang erst im Entwurf vorliegen und erst noch von der Europäischen Kommission angenommen werden müssen.
Im Vergleich zu den Bankaufsichtlichen Anforderungen an die IT (BAIT) bringt DORA wesentliche Änderungen hinsichtlich der Nutzung von Informations- und Kommunikationstechnologie (IKT) und der diesbezüglichen Risikosteuerung:
- Bei der IT-Strategie und IT-Governance erhöhen sich die Anforderungen an Vorstände und Aufsichtsräte signifikant. Insbesondere müssen hier zukünftig umfangreichere Informationen an und Freigaben durch die Geschäftsleitung erfolgen.
- Das IKT-Risikomanagement wird gegenüber der Informationssicherheit deutlich stärker betont. Dies wird auch an der gemäß DORA notwendigen IKT-Risikokontrollfunktion deutlich. Diese Funktion, deren konkreter Aufbau und die genauen Verantwortlichkeiten müssen unternehmensintern definiert werden.
- Für den IT-Betrieb und im IT-Notfallmanagement sieht DORA zahlreiche kleinere Neuerungen vor.
- Das Meldewesen von schwerwiegenden IKT-bezogen Vorfällen wird erweitert mit zahlreichen neuen Detailvorgaben zu Meldeinhalten und zum Meldeprozess auf die BaFin.
- Das IKT-Drittparteirisikomanagement erfordert v. a. eine Erstellung des so genannten Informationsregisters und Vertragsanpassungen mit IKT-Drittanbietern.
Die Organisation resilient gegen schwerwiegende Vorfälle machen
Besonderen Wert legt DORA darauf, dass Unternehmen sämtliche Prozesse nachvollziehbar und auditierfähig dokumentieren. Es muss lückenlos dargestellt werden, wer wann welche Daten geliefert, Aktionen ausgeführt oder Berichte gebilligt hat.
Bei der Vielzahl an Anforderungen sieht auch Johannes Haupt von der DZ BANK eine Herausforderung in der Priorisierung: „Wir sind bereits im Oktober 2022 mit den Vorbereitungen gestartet und sind inzwischen sehr weit in der allgemeinen Umsetzung. Dennoch stoßen wir, je weiter wir kommen, auf weitere zu klärende Einzelheiten.“ Über den 17. Januar hinaus empfiehlt Haupt, den Blick auch auf die Folgeprozesse zu richten: „Trotz hoher Komplexität und zahlreicher Detailfragen sollte man den Blick auf das große Ganze nicht verlieren: die Organisation resilient gegenüber schwerwiegenden Vorfällen zu machen. Dabei hilft es eine End-to-End-Sicht einzunehmen, Strukturen und Verantwortlichkeiten ganzheitlich zu betrachten, um letztendlich auch Kosten, prozessuale und personelle Aufwände effizient zu halten.“
Patrik Buchmüller zielt mit seinem Rat in eine ähnliche Richtung: „Auch die Berichtspflicht an die Aufsicht zur mindestens jährlichen Überprüfung des IKT-Risikomanagementrahmenwerks muss von den Ressourcen her geplant werden. Zwar wird die BaFin voraussichtlich nicht jedes Jahr von jedem Institut einen Bericht anfordern – aber man muss darauf vorbereitet sein.“
Wer die Vorgaben nicht umsetzt, riskiert Strafen
Gleiches gilt für unterjährige DORA-Prüfungen. Ab Januar 2025 können – mit vorheriger Ankündigung – Institute bezüglich einzelner Vorgaben geprüft werden. Wer dann nicht schlüssig darlegen kann, warum einzelne Punkte nicht umgesetzt sind, muss mit Strafen rechnen. Zudem werden auch die interne Revision sowie die Jahresabschlussprüfer in der Prüfung für das Jahr 2025 die Umsetzung von DORA abprüfen.
Alle Experten raten ob der Menge an Detailfragen den eigentlichen Geist der Verordnung im Blick zu halten, und der betrifft diejenigen IKT-Assets und IKT-Drittdienstleistungen, die kritische oder wichtige Funktionen in den Finanzunternehmen unterstützen. DORA lenkt den Blick auf solche IKT-Themen, die zu schwerwiegenden Betriebsunterbrechungen und damit zu großen Schäden für Kunden, die Institute bzw. das System insgesamt führen können. „Die Verordnung schärft den ganzheitlichen Blick auf IKT-Risiken“, sagt Johannes Haupt. „Bei allen Herausforderungen in Detailfragen ist das ein guter und wichtiger Entwicklungsschritt.“
Zu den Personen
Prof. Dr. Patrik Buchmüller Professor für VWL und BWL zur Bank- und Finanzwirtschaft an der DHBW Villingen-Schwenningen, hat langjährige Erfahrung als Unternehmensberater sowie als Risikomanager im öffentlichen und privaten Bankensektor. Er war u.a. bei der BaFin zuständig für die Umsetzung der Basel-II-Vorgaben zum operationellen Risiko in das nationale Aufsichtsrecht. |
Johannes Haupt verantwortet in der DZ BANK AG das bankweite Business Continuity Management (BCM) und leitet seit Oktober 2022 auch die fachliche Umsetzung des Digital Operational Resilience Acts (DORA). Zuvor war er beratend im Themenfeld Business Continuity und Resilience Management tätig. |