DORA bedeutet für die Finanzbranche vor allem eins: Zeitdruck. Experte Christian Brockhausen erläutert, warum viele Unternehmen die Deadline am 17. Januar reißen und welche Gefahren drohen, wenn die Regulierung an der Realität vorbeigeht.
Christian Brockhausen ist Associate Partner bei Wavestone Germany und verantwortet den Bereich Compliance Audit & Regulatory (CAR).
Wavestone SA
Springerprofessional.de: Bis zum 17. Januar müssen nahezu alle Unternehmen des Finanzsektors ihre Compliance den Vorgaben des Digital Operational Resilience Acts, kurz DORA, anpassen. Sind Banken, Versicherer, Investmentgesellschaften sowie Finanzdienstleister damit erfolgreich auf der Ziellinie?
Christian Brockhausen: Nein, das kann man leider nicht sagen. DORA hat von den Unternehmen sehr viel in begrenzter Zeit gefordert. Da DORA die Rechtsform einer Verordnung hat, war die Umsetzungsfrist auf zwei Jahre begrenzt. Zudem – und das ist der wesentliche Unterschied zu europäisch erlassenen Richtlinien – ist die DORA ab dem 17.01.2025 für alle EU – Mitgliedsstaaten bindend und es bedarf keiner nationalen gesetzgeberischer Umsetzung. Da gab es auch keinen Spielraum. Aber zwei Jahre waren offensichtlich zu wenig für den Aufwand, der nötig war und immer noch ist. Die Unternehmen haben nun umgesetzt, was unbedingt umgesetzt werden musste, und hoffen, dass das reicht. Salopp gesagt folgen viele Unternehmen dem Ansatz: Wir warten mal ab, was der Prüfer sagt. Diese Herangehensweise birgt natürlich gewisse Risiken, da niemand weiß, was der Prüfer beziehungsweise die Aufsicht sagen wird.
Klar ist jedenfalls: Am 17. Januar wird kaum ein Unternehmen vollständig DORA compliant sein. Das überrascht niemanden mehr, auch nicht die Aufsichtsbehörden. Sind Unternehmen nicht compliant, wird aber erwartet, dass ein Umsetzungsplan vorliegt. Aber von einer abgeschlossenen Umsetzung von DORA ist man meistens entfernt.
In welchen Bereichen und bei welchen Instituten hapert es mit der Umsetzung am meisten?
Das lässt sich so pauschal nicht beantworten. Schwierigkeiten gibt es durch die Bank weg. Die Anforderungen bringen viele Unternehmen an ihre Grenzen. Gerade kleinere und mittlere Unternehmen haben große Probleme mit der Umsetzung. Zwar gibt es den Proportionalitätsansatz, dennoch wird von kleineren Unternehmen sehr viel gefordert - bei gleichzeitig begrenztem Personal. Aber auch für große Unternehmen ist die Komplexität und damit der Umsetzungsaufwand sehr hoch. Einige Projekte zur Umsetzung von DORA werden wohl erst in zwei oder drei Jahren abgeschlossen sein.
Einige Finanzhäuser und Experten haben nicht nur die zu knappen Fristen, sondern auch den Umfang der regulatorischen Anforderungen moniert. Was sind die größten Kritikpunkte und gehen Sie damit konform?
DORA wurde auf allen Seiten unterschätzt. Umsetzungsfrist und Umfang standen in der Tat kaum in einem Verhältnis. Aus einem Vier- oder Fünf-Jahres-Projekt wurde ein Zwei-Jahres-Projekt gemacht. Und die Regulatorik drohen in einigen Punkten teilweise an der unternehmerischen Realität vorbeizugehen. Insgesamt hat der europäische Regulator offensichtlich unterschätzt, wie groß der Aufwand in der Umsetzung bei den Unternehmen ist. Was man der Bafin als deutsche Aufsichtsbehörde zugutehalten muss, ist, dass hier durch eine eigene Website zum Thema und vielen Veranstaltungen alles im Bereich des Möglichen getan wurde, um zu informieren. Zudem hatte man mit zum Beispiel den Versicherungsaufsichtlichen Anforderungen an die IT, abgekürzt VAIT, Verwaltungsvorschriften erlassen, die bereits einen nicht unwesentlichen Anteil der DORA-Anforderungen enthielten.
Teilweise haben Unternehmen DORA jedoch zu wenig ernst genommen und viel zu spät mit der Umsetzung begonnen. Wir reden schon seit ungefähr vier Jahren über DORA. 2021 lagen die ersten Entwürfe vor und es war absehbar, dass DORA ein Hammer wird. Trotzdem haben Unternehmen teilweise erst 2024 mit der Gap-Analyse begonnen. Das ist natürlich viel zu spät.
Unstreitig bedarf die Identifikation und der Kampf gegen die vielfältigen digitalen Risiken enorme Kräfte und eine Bündelung von Prozessen, Mechanismen und Know-how in der Finanzbranche. Wird DORA dieser Aufgaben trotz aller Kritik gerecht?
Ob DORA die Finanzunternehmen selbst sehr viel widerstandsfähiger macht, in rein technischer Sicht, da bin ich skeptisch. Das Thema Cybersecurity ist ohnehin relevant, es ist bereits seit vielen Jahren relevant, und es wird auch ohne DORA weiter relevant bleiben. Unternehmen, die sich hier nicht entsprechend aufgestellt haben, bekommen direkte, negative Auswirkungen zu spüren. Hier hätte man meiner Meinung nach etwas mehr auf Marktmechanismen vertrauen können, anstatt eine derartig umfassende Regulierung zu schaffen, die teilweise eine Überregulierung ist.
Aber an einer zentralen Stelle wird DORA die Sicherheit des Sektors definitiv verbessern: beim sogenannten IKT-Drittparteienrisiko. DORA-relevante Dienstleister werden künftig europäisch und national überwacht und bewertet. Es wird zum ersten Mal sichtbar, welche Dienstleister kritisch sind, und zwar kritisch im Sinne von: Sie sind für sehr viele Unternehmen tätig.
Welche Risikopotenziale das hat, haben wir bei dem Crowd-Strike-Vorfall gesehen. Beim Dienstleister-Management entsteht durch DORA also klar mehr Sicherheit. Hier gibt es eindeutigen Bedarf. Dieser wird mit den Vorgaben adressiert. Das ist gut so. Beim Rest bin ich teilweise skeptisch.
Wie muss aus Ihrer Sicht eine optimale Regulierung aussehen, die für ausreichenden Schutz sorgt, ohne bestimmte Unternehmen systematisch zu benachteiligen?
Zunächst sollten Regulierungen dieser Art näher an der Realität sein. Was ist wirklich nötig und was sind Themen, mit denen Unternehmen sich ohnehin beschäftigen? Zudem muss die Größe anders berücksichtigt werden. DORA folgt zwar einem Proportionalitätsansatz, aber nicht konsequent genug. Für kleine und mittlere Unternehmen sind andere Regularien oder aber beispielsweise Erleichterungen nötig. Hier sei jedoch angemerkt, dass gerade im Rahmen des Solvency-II-Reviews an einer praxisnahen Gestaltung des Proportionalitätsprinzips gearbeitet wird. Und wenn sich eine umfassende Regulierung nicht vermeiden lässt, wäre eine stufenweise Einführung sehr wünschenswert. Bei DORA hätte man beispielsweise zunächst das Provider-Management priorisieren können, und dann die anderen Bereiche schrittweise ergänzen.
Mit der FiDA-Verordnung steht ja bereits das nächste Großprojekt vor der Tür, das ähnliche, wenn nicht noch größere Überforderung bedeuten dürfte. Auch hier wäre eine stufenweise Einführung sehr sinnvoll und ich hoffe sehr, dass diese noch umgesetzt wird. Zumindest der augenblickliche Verordnungsentwurf, welche in die sog. Trilogverhandlungen eingeht, lässt diesbezüglich Hoffnung zu.
Rechnen Sie kurz- und mittelfristig mit Anpassungen der Vorgaben? Wie könnten diese aussehen?
Ja. Es ist bereits abzusehen, dass es Klarstellungen und Präzisierungen beispielswiese für einzelne Sektoren geben wird. Diese könnten teilweise verschärfend wirken, vor allen Dingen werden sie aber klärend sein. Diese präzisierte Umsetzung wird viele Unternehmen sicherlich noch einige Jahre beschäftigen. Und ich rechne auch darüber hinaus mit Anpassungen von DORA. Je nachdem, was die Praxis nun zeigt, werden Teile der Verordnung angepasst. DORA ist gekommen, um zu bleiben.
