DORA-Umsetzung – Die größten Herausforderungen im Detail

Am 17. Januar 2025 trat der Digital Operational Resilience Act (DORA) offiziell in Kraft – ein Meilenstein in der Regulierung des Finanzsektors, der auf die wachsenden Herausforderungen im Umgang mit Informations- und Kommunikationstechnologie (IKT) abzielt.

Die EU-Vorgabe verfolgt das Ziel, die digitale Widerstandsfähigkeit von Finanzinstituten und Dienstleistern nachhaltig zu stärken und sie besser gegen Cyberangriffe, Systemausfälle und andere technologische Risiken zu wappnen.

Ein zentraler Schwerpunkt der Regulierung liegt auf der Operationalisierung der Anforderungen: von der systematischen Erfassung kritischer Informationen über die Implementierung eines robusten IKT-Risikomanagements bis hin zur Etablierung eines reaktionsschnellen Incident Managements. In der Theorie erscheint dies klar und eindeutig – doch in der Praxis zeigt sich, dass der Teufel im Detail steckt.

Dieser Beitrag beleuchtet drei wesentliche Herausforderungen bei der Umsetzung von DORA: die Entwicklung eines schlüssigen IKT-Risikomanagementrahmens, die Erstellung des Informationsregisters und die Operationalisierung des Incident Managements. Anhand dieser Aspekte wird deutlich, warum die Implementierung von DORA für viele Marktteilnehmer mehr als nur ein regulatorisches Pflichtprogramm darstellt.

IKT-Risikomanagement: Anforderungen der sfO

Mit dem Inkrafttreten des Digital Operational Resilience Act entfällt die Herausforderung, gleichzeitig die Anforderungen der Bankaufsichtlichen Anforderungen an die IT (BAIT) und DORA zu erfüllen, da der Anwenderkreis der BAIT reduziert wurde.

Dennoch sollten die bestehenden Dokumentationen der schriftlich fixierten Ordnung (sfO) nach BAIT nicht verworfen, sondern als Grundlage für die Weiterentwicklung zu einem umfassenden IKT-Risikomanagementrahmen genutzt werden. Dies dient nicht nur dem eigenen Interesse der Finanzunternehmen, sondern auch der Erfüllung der weiterhin gültigen Mindestanforderungen an das Risikomanagement (MaRisk).

Entwicklung eines einheitlichen IKT-Risikomanagementrahmen:

Eine Anpassung der sfO ist selbst bei einer vollständigen Umsetzung der bisherigen BAIT in wesentlichen Punkten erforderlich. Dabei umfasst der IKT-Risikomanagementrahmen nach Artikel 6 DORA Elemente, die unterschiedliche Herausforderungen an die Weiterentwicklung stellen. Es sind neue Elemente zu erstellen, wie die Strategie für die digitale operationale Resilienz (DOR-Strategie) nach Artikel 6 Absatz 8 DORA. Ebenso sind Anpassungen an bereits unter den BAIT in ähnlicher Form vorhandenen Elementen, wie der Strategie für das IKT-Drittparteienrisiko nach Artikel 28 Absatz 2 DORA vorzunehmen. Zuletzt besteht die Herausforderung die im Finanzunternehmen bereits vorhandenen IKT-Sicherheitsrichtlinien und weitere IT-Richtlinien in einem gemeinsamen und konsistenten Rahmen zu versammeln. Der technische Regulierungsstandard (RTS) zum IKT-Risikomanagementrahmen konkretisiert dabei die Anforderungen an IKT-Sicherheitsrichtlinien und bietet eine sehr klare Struktur für Richtlinien, Verfahren, Protokolle und Tools. Diese bilden einen Abdeckungsgrad ab, der zwingend als Vergleich zum eigenen Status Quo herangezogen werden sollte.

Veränderte Rollen und Prozesse:

Die Umsetzung der DORA erschöpft sich jedoch nicht auf der Ebene der sfO – sie ist gerade kein „Papiertiger“, sondern ermöglicht und erzwingt es jedem Finanzunternehmen die eigene digitale operationale Resilienz zu hinterfragen, zu testen und letztlich anhand der in der DORA geforderten Best-Practice zu verbessern. Diese Chance zu nutzen ist Ansporn und Herausforderung für die Neukonzeption des IKT-Risikomanagementrahmens eines jeden Instituts.

Neben der neuen IKT-Risikokontrollfunktion nach Artikel 6 Absatz 4 DORA sind auch viele weitere Funktionen betroffen, etwa die Compliance-Funktion oder die Auslagerungsbeauftragten sowie Rollen, die im weitesten Sinne der IT und dem Risikomanagement zuzuordnen
sind. In diesem Zuge werden die Anforderungen an die bisherigen Schnittstellen zwischen diesen Rollen deutlich und fordern eine noch stärkere Zusammenarbeit und Abstimmung. Dies wirkt sich auch besonders bei der Überarbeitung und Neuerstellung der sfO aus, da die Abstimmung zwischen 1st und 2nd Line of Defense (LoD) sowohl fachliche als auch inhaltliche Verantwortlichkeiten thematisiert.

Weiterentwicklung und Implementierung:

Ein Beispiel für diese Weiterentwicklung ist es die IKT-Drittdienstleister stärker in das IKT-Management einzubeziehen. Um dies zu erreichen ist zwar die sfO um die genannten Strategien und Leitlinien zwingend zu ergänzen, aber es sind auch Absprachen auf vertraglicher und
technischer Ebene zu treffen. So sind vertraglich Meldungen zu Vorfällen zu vereinbaren und auf Arbeitsebene sind hierfür Prozesse zu schaffen, die eine zeitnahe Behebung und Bearbeitung der Vorfälle ermöglichen. Darüber hinaus sind diese Prozesse zu testen und
die IKT-Drittdienstleister sind zwangsläufig in diese Tests mit einzubeziehen.

Die Umsetzung der DORA-Anforderungen in die Praxis stellt Finanzunternehmen vor die Herausforderung, einen konsistenten IKT-Risikomanagementrahmen zu entwickeln. Dieser muss nicht nur strategisch durchdacht sein, sondern auch in Zusammenarbeit mit Dienstleistern praktisch anwendbar sein – von der strategischen Ebene bis hin zu den konkreten Arbeitsanweisungen der Ablauforganisation.

Erstellung des Informationsregisters

Ein konsistenter und praxisnaher IKT-Risikomanagementrahmen ist entscheidend, um sowohl strategische Vorgaben als auch operative Anforderungen wirksam umzusetzen. Eine zentrale Herausforderung besteht darin, die Risikoanalyse und Steuerung gezielt mit den erfassten Daten zu verknüpfen. Damit das Informationsregister seinen vollen Nutzen entfalten kann, muss es nicht nur vollständig und aktuell sein, sondern auch nahtlos in diesen Rahmen integriert werden.

Das Informationsregister bündelt alle relevanten Risikodaten, die für das Risikomanagement und die operationelle Resilienz von Finanzunternehmen entscheidend sind. Es schafft Transparenz sowohl für die Institute selbst als auch für die Aufsichtsbehörden und dient dazu, Abhängigkeiten sowie Konzentrationsrisiken frühzeitig zu erkennen.

Die Erstellung des Informationsregisters stellt Finanzunternehmen bereits in der frühen Umsetzungsphase vor erhebliche Herausforderungen. Im Folgenden werden zentrale Aspekte aus der Praxis beleuchtet, die sich als besonders
anspruchsvoll erweisen.

Struktur und Komplexität des Registers:

Eine der ersten und wiederkehrenden Hürden ist die umfangreiche und komplexe Struktur des Informationsregisters. Zwar stellt die European Banking Authority (EBA) mit der vorgesehenen Vorlage und den „Implementing Technical Standards“ (ITS) Hilfestellungen bereit, doch bleibt die praktische Umsetzung eine Herausforderung. Dies liegt vor allem am Umfang der geforderten Daten und den komplexen Abhängigkeiten zwischen den verschiedenen Informationsblättern des Registers. Die korrekte Erfassung und Zuordnung dieser Daten erfordert ein tiefgehendes Verständnis der Zusammenhänge.

Nach der Strukturierung des Registers müssen geeignete Datenquellen für die Befüllung identifiziert werden. Zwar kann dabei auf bestehende Register, wie das Auslagerungsregister, zurückgegriffen werden, jedoch reichen dessen Informationen hinsichtlich Umfang und Granularität oft nicht aus. Ergänzend müssen weitere Quellen, etwa das Third Party Risk Assessment oder Vertragsunterlagen der IKT-Dienstleister, herangezogen werden. Dies führt zu einem erheblichen Mehraufwand bei der Koordination und Synchronisation der Daten, um deren Qualität und Konsistenz sicherzustellen.

[…]