Skip to main content

26.07.2022 | IT-Outsourcing | Interview | Online-Artikel

"Im Kern wird die IT mit DORA zu tun bekommen"

verfasst von: Ingo Weber

4:30 Min. Lesedauer

Aktivieren Sie unsere intelligente Suche, um passende Fachinhalte oder Patente zu finden.

search-config
print
DRUCKEN
insite
SUCHEN
loading …

Mit dem Digital Operational Resilience Act, kurz DORA, rollt das nächste große Regelwerk auf den EU-Finanzsektor zu, das bislang gekannte Dimensionen der Regulierung in der IT übersteigt. Outsourcing-Experte Sebastian Dosch erläutert im Gespräch, was es für Banken und ihre IT-Dienstleister bedeutet.

Herr Dosch, ist DORA ein Zeichen europäischer Regulierungswut - oder steckt ein legitimes Interesse dahinter?

Sebastian Dosch: Kaum eine andere Branche ist in ihrer Kerntätigkeit so abhängig von IT und Vernetzung wie Banken, Versicherungen und Zahlungsdienstleister. Das macht sie angreifbar, wie gerade die zuletzt explosionsartig steigende Zahl der Cyber-Angriffe zeigt - auch forciert durch den Beginn des Krieges in der Ukraine und dem damit verbundenen Ziel, die westlichen Volkswirtschaften zu schwächen und zu schädigen. Die EU hat also eine gut nachvollziehbare Motivation, an dieser Achillesferse anzusetzen und die Betriebsstabilität der Unternehmen des Finanzmarktes abzusichern. Das liegt natürlich auch in unser aller Interesse.

Empfehlung der Redaktion

01.06.2022 | Titel

Wer unter doppelter Beobachtung steht

Finanzinstitute müssen sich schützen, damit vertrauliche Informationen und persönliche Kundendaten nicht abhandenkommen oder in Geiselhaft genommen werden. Dabei geht es um die Abwehr der Cyberangriffe von außen ebenso wie um interne Verstöße gegen die Datenvorgaben.

Der Markt ist aber doch bereits schon stark reguliert, auch in dieser Hinsicht? 

Europäische Finanzunternehmen werden teils von europäischen, teils von nationalen Behörden und teilweise auch in deren Zusammenarbeit beaufsichtigt. Die Ausgestaltung dieser komplexen Verflechtungen ist dazu von Land zu Land auch noch unterschiedlich. DORA ist ein wichtiges Mittel, um eine Vereinfachung dieses Aufsichtswirrwarrs zu erreichen und arbeitet mit konkreten Zuweisungen von Aufgaben an einzelne Behörden. 

Also nicht nur eine Regulierung, sondern auch eine Harmonisierung?

Richtig. Dass es um Stärkung eines gesamten Sektors geht, zeigt der dabei weit gefasste Anwendungsbereich: Auch Einrichtungen der betrieblichen Altersvorsorge, Wertpapierfirmen, E-Geld-Institute und Anbieter von Krypto-Dienstleistungen sowie Datenbereitstellungsdienste fallen hierunter. Im Kern wird aber die IT mit DORA zu tun bekommen. Und deren Dienstleister! Das ist neu. DORA gibt den europäischen Aufsichtsbehörden die Möglichkeit, so genannte kritische IT-Dienstleister unter unmittelbare Aufsicht zu nehmen - ein bemerkenswerter Eingriff in deren marktwirtschaftliche Freiheiten, denn die Dienstleister unterliegen im Gegensatz zu den Finanzunternehmen nicht einer behördlichen Zulassung für ihre geschäftlichen Tätigkeiten. 

Welche Intention steckt aus Ihrer Sicht dahinter?

Die EU will offenbar Konzentrations- beziehungsweise Klumpenrisiken frühzeitig erkennen und mitigieren können. Würde einer der führenden Hyperscaler Opfer eines Cyber-Angriffs, könnte eine Ansteckungsgefahr mit enormer Reichweite entstehen. 

Es geraten also vor allem Microsoft, Google und Co. ins Visier?

Nicht nur. Im deutschen Bankenmarkt können genauso die Säule der Finanzverbünde und -gruppen und ihre IT-Konstrukte, also beispielsweise die Finanz Informatik oder die Atruvia auf den Prüfstand kommen. Schließlich gibt es hier eine einzigartige Abhängigkeit der Verbund- beziehungsweise Gruppenunternehmen von jeweils einem IT-Dienstleister. Wenn wir DORA also wirklich konsequent zu Ende denken, stellt sich auch die Frage nach der perspektivischen Tragfähigkeit dieser Konstrukte.

Was bedeutet das konkret für Banken und Versicherungen? Was können oder müssen sie jetzt schon tun? 

Sie sollten die in DORA aufgestellten Anforderungen an das IT-Risikomanagement, an das Testen der digitalen operationalen Resilienz und an das IT-Drittanbieter-Risikomanagement am besten schon jetzt erfassen. Anschließend muss in einer Soll-/Ist-Analyse herausgefunden werden, welche der Anforderungen bereits erfüllt sind und wo noch Nachbesserungsbedarf gegeben ist. Außerdem sind die Institute gut beraten, bereits jetzt sicherzustellen, dass die erforderlichen Daten zur inhaltlichen Unterstützung des verbindlichen Meldewesens für wesentliche IT-Vorfälle in der geforderten Zeit zur Verfügung stehen - die ist nämlich oft sehr kurz.

Und IT-Dienstleister?

Sie müssen ähnlich vorgehen. In erster Linie sollten sie ihre Kunden im Finanzmarkt bei ihren Aufgaben unterstützen und alle erforderlichen Unterlagen, Dokumente und auch Daten zur Verfügung stellen. Das geht nicht ohne neue oder angepasste Prozesse - es muss ja zum Standard werden. Finanzinstitute werden künftig in Ausschreibungen nur noch Dienstleister in eine engere Wahl nehmen können, wenn sie diese Anforderungen erfüllen. Und da sie unter DORA ja selbst geprüft werden können, ist das auch ein ureigenes Interesse der Dienstleister.

Das bedeutet doch erheblichen Mehraufwand.

Sicher. Deshalb werden sich insbesondere kleinere Dienstleister die strategische Frage stellen müssen, ob sie zu den kritischen Dienstleistungsunternehmen gehören wollen. Denn Unternehmen, die vom DORA-Ausschuss nicht selbst nominiert werden, können auf Antrag in die Liste aufgenommen werden. Das hat dann voraussichtlich direkten Einfluss auf Kundenakquise und -bindung.

DORA ist noch nicht in Kraft. Sollen Finanzdienstleister warten oder starten?

Auch wenn aktuell noch formell im Gesetzgebungsverfahren, beginnt der Markt bereits mit der Vorbereitung auf die Umsetzung. Erste Finanzunternehmen, aber auch Dienstleister, haben unabhängig vom Entwurfsstadium der Regelungen bereits mit Gap-Analysen begonnen, um ihren Handlungsbedarf frühzeitig zu erkennen. Insbesondere das Thema der digitalen Betriebsstabilität findet sich bereits in den soeben überarbeiteten regulatorischen Aufsichtsdokumenten wie MaRisk, BAIT und VAIT. Wer die Ratifizierung abwartet, startet also bereits mit Rückstand.

Manche Regularien enden als zahnloser Papiertiger. Wie schätzen Sie das bei DORA ein? 

Die EU geht hier sehr entschlossen vor. Das ist schon daran zu erkennen, dass sie mit den für den EU-Finanzmarkt verantwortlichen Aufsichtsbehörden EBA, ESMA und EIOPA gleich drei Institutionen mit der Einführung und Überwachung beauftragt hat. Dieser Tiger hat Zähne.

print
DRUCKEN

Weiterführende Themen

Die Hintergründe zu diesem Inhalt

Das könnte Sie auch interessieren

Premium Partner