Potenzielle Auswirkungen des Digital Operational Resilience Act (DORA) auf die Unternehmens IKT
Insurance News
Insurance News
DORA soll im Wesentlichen zur Resilienz der Finanzbranche in Bezug auf Informations- und Technologierisiken beitragen und den Austausch von Cyberinformationen erleichtern. Der auf EU Ebene bereits im Mai 2022 durchgesetzten Einigung zu DORA werden im nächsten Schritt Umsetzungsmaßnahmen auf nationaler Ebene folgen.
Der Finanzsektor in seiner Gesamtheit ist stark von Informations- und Kommunikationstechnologie (IKT) abhängig. Es gibt im Finanzsektor kaum wesentliche Prozesse, die nicht digital erfolgen, oder zumindest teilweise von IKT Lösungen abhängig sind. Diese starke Abhängigkeit bedingt daher auch Konzepte, Prozesse und Technologien, um die sich hieraus ergebenden operationellen IKT-Risiken ausreichend zu managen und abzuschwächen.
Im Wesentlichen soll DORA durch einen einheitlichen Katalog von IKT-Anforderungen, die Resilienz von Finanzunternehmen in Bezug auf Cyberrisiken stärken.
Anforderungen von DORA
Regulatorische Veränderungen bedeuten in der Regel auch Veränderungen in den Unternehmensprozessen und auch Veränderungen des jeweiligen IKT Umfeldes.
Bei der Umsetzung der DORA Anforderungen werden insbesondere folgende Handlungsfelder die Unternehmens-IKT beeinflussen:
- In der Zusammenarbeit mit Behörden werden sich die Meldepflichten des Finanzsektors verändern. Für IKT Vorfälle wird ein harmonisiertes Berichtswesen mit einheitlichen Vorlagen entwickelt.
- Für IKT-bezogene Vorfälle ist ein Incident Response Management erforderlich und DORA definiert explizite Anforderungen an die Ausgestaltung dieses Prozesses.
- Durch umfangreiche IKT-Risikomanagementanforderungen sollen IKT-Risiken ganzheitlich betrachtet und bearbeitet werden.
- Da in einer modernen IKT Landschaft in der Regel auch externe Dienstleister eingesetzt werden, nimmt das Thema des Third-Party Riskmanagements einen hohen Stellenwert ein.
Auswirkungen auf die Unternehmens IKT
Je nach existierendem Reifegrad der von DORA berührten Unternehmensprozesse und Governancerichtlinien werden die in DORA genannten Anforderungen unterschiedlich starke Auswirkungen auf die jeweiligen Unternehmen haben.
Wie die vorhergenannten beispielhaften Anforderungen von DORA zeigen, werden speziell die Bereiche rund um Reporting, Risikomanagement und Incidentmanagement betroffen sein.
Finanzinstituten wird daher empfohlen, bereits jetzt zu überprüfen, inwiefern die existierende IKT-Governance und die von DORA berührten Bereiche diese Anforderungen erfüllen und wo Adaptionen notwendig sind.
