Es wird ernst – 17.01.2025 DORA tritt in Kraft
Die Rede ist in diesem Fall vom Digital Operational Resilience Act, den wir bereits in unserem Beitrag (12/2023 <LINK>) in den relevanten Teilen vorgestellt haben.
Inzwischen hat die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) erste delegierte Rechtsakte und Durchführungsstandards zu DORA veröffentlicht https://www.esma.europa.eu/press-news/esma-news/esas-publish-first-set-rules-under-dora-ict-and-third-party-risk-management.
Am 13. März 2024 hat die Europäische Kommission die Entwürfe angenommen und sie in eine 3-monatige Prüfungs- und Validierungsphase überführt. Nach dieser Prüfungsphase werden die finalen Fassungen im Amtsblatt der EU veröffentlicht.
Es ist also davon auszugehen, dass die Erwartungen in die Umsetzung der Anforderungen im Bereich des Finanzsektors ab Januar 2025 hoch sein werden. Wie in anderen Bereichen der Wirtschaft auch, ist die Digitalisierung Schrittmacher der Branche, um international mindestens wettbewerbsfähig zu bleiben, idealerweise verlorene Marktanteile zurück zu erobern. Wo Chancen sind, lauern Risiken. Die zunehmende Abhängigkeit von externen Drittanbietern in den Wertschöpfungsketten verlangt neue Instrumente in der Steuerung und Überwachung der Prozesse und der Einhaltung der gesetzlichen Anforderungen an Sicherheit und Transparenz. Konventionelle Tools gelangen bei der Komplexität schnell an ihre Grenzen und dann ist guter Rat – buchstäblich – teuer.
Mit – unter anderem – DORA hat sich die Finanzaufsicht schon einmal einen Rechtsrahmen geschaffen, um die kritischen Dienstleister besonders eng begleiten zu können. Im guten, wie auch im negativen Sinn. Die BaFin bietet Unterstützung jedweder Art, verlangt im Gegenzug aber auch volle Transparenz – was nicht jedem gefallen wird.
BaFin-Präsident Mark Branson bestätigt im BaFinJournal: „Die Digitalisierung ist der Schrittmacher der Finanzbranche. Die deutschen Finanzunternehmen müssen mithalten, um wettbewerbsfähig zu bleiben. Das geht aber nur, wenn sie auch ihre operationellen Risiken im Griff haben. Dabei sollten sie nicht unterschätzen, wie abhängig sie geworden sind, insbesondere von bestimmten Dienstleistern.
Schon seit Jahren zersplittern Finanzunternehmen ihre Wertschöpfungsketten und lagern aus. Manche Versicherer haben beispielsweise ihre gesamte Schadenabwicklung oder Kapitalanlageverwaltung an externe Dienstleister übergeben. Auch die Banken haben viele Aufgaben ausgelagert, sei es bei der Kontoeröffnung oder im Kreditgeschäft.
Gleichzeitig steigen die Konzentrationsrisiken: Manche Auslagerungsunternehmen sind für mehr als 150 unterschiedliche regulierte Finanzinstitute in Deutschland tätig. Bedeutende Störungen bei diesen Dienstleistern können den Finanzsektor stark beeinträchtigen.“
Es ist irrational zu glauben, dass man die Kettenabhängigkeiten in ihrer ganzen Vielfalt aufgrund einer gesetzlichen Vorgabe „zügig überschaubar“ machen kann. Wichtig ist aber, die Verpflichtung für konkrete Maßnahmen und verlässliche Risikoeinschätzungen zu schaffen und deren Umsetzung streng zu kontrollieren.
Jeder Schritt, der aus der Reaktion (auf z.B. Cyberattacken) in die Prävention (gute Abschätzung, wo Investitionen in Sicherheit die höchsten Effekte hat) führt, ist ein Schritt in die richtige Richtung.
Die optimale Nutzung bereits vorhandener Daten als Import in ein ganzheitliches Risikomanagement, peu-á-peu ergänzt um weitere Angaben, die eine korrekte Angriffsvorausschau zunehmend richtiger macht, ist eine vernünftige Vorgehensweise. Auch die sich ergebende Kombinatorik aus on premise-Systemen, Cloud-Services, Operational-Technology-Elementen und Prozesskenntnissen lässt sich mit Sorgfalt, Ausdauer und einem mittel- bis langfristigem Umsetzungsplan gut realisieren und liefert künftig automatisiert Erkenntnisse über Risikowahrscheinlichkeiten, wie sie der Gesetzgeber fordert.
Wichtig ist: tun Sie den ersten Schritt und ab dann bleiben Sie d’ran. SECIRA hilft.
Das Thema ist top-aktuell. Wenn Sie mehr Informationen benötigen, rufen Sie uns an, schicken Sie eine Mail oder kommen Sie zu den Veranstaltungen, die wir im Rahmen unseres Blogs rechtzeitig ankündigen werden.