In unserem Experten-Interview „Zur Sache!“ teilen wir die wichtigsten Erkenntnisse und Empfehlungen aus über 100 DORA-Workshops und -Benchmarking-Analysen. Darüber hinaus sprechen wir konkrete Empfehlungen für die Herausforderungen aus, mit denen insbesondere kleine und mittelgroße Banken und Versicherungen bei der DORA-Umsetzung konfrontiert sind. Dazu spricht Michael Matt, Partner bei EGC, mit unserem DORA-Experten André Rapp.
Herzlich willkommen bei „Zur Sache!“ lieber André. Beinahe alle unsere Kunden beschäftigen sich in den letzten Monaten intensiv mit dem Thema DORA, und viele Experten erarbeiten Lösungen, wie eine DORA-Konformität in Banken und Versicherungen aussehen kann. Trotzdem ist die Nervosität in der Branche spürbar, insbesondere in Bezug auf den 17.01.2025 als Stichtag der verpflichtenden Anwendung. Was denkst du, woran liegt das?
André: Ja, es herrscht in der Tat eine gewisse Unruhe und das liegt vor allem daran, dass viele erst jetzt ernsthaft mit der Implementierung von DORA beginnen. Es bleiben ihnen nur noch sechs Monate, um die umfangreichen und komplexen Anforderungen zu erfüllen, was natürlich eine enorme Herausforderung darstellt.
Das klingt nach einem Wettlauf gegen die Zeit. Warum starten die Umsetzungen erst jetzt?
André: Viele warteten auf die endgültigen sekundären Rechtsakte und auf klare Signale von führenden Instituten, wie zum Beispiel den Verbund- bzw. Verbandsorganisationen oder der Aufsicht selbst. Dies hatte eine abwartende Haltung zur Folge, um sich etablierende Branchenstandards und -interpretationen zunutze machen zu können. Jetzt, wo erste konkretisierte Vorgaben, Arbeitshilfen und Tool-Erweiterungen verfügbar sind, ist die Unsicherheit geringer, aber die Komplexität bleibt.
„Jetzt ist die Unsicherheit geringer aber die Komplexität bleibt.“
Zusätzlich haben viele Banken und Versicherungen Nachholbedarf in der Informationssicherheit und der Dienstleistersteuerung identifiziert, die Voraussetzungen für die Erfüllung von DORA darstellen und zusätzlich zu den bereits umfangreichen Handlungsfeldern angegangen werden müssen.
Eine Fokussierung auf DORA ist also nicht ausreichend?
André: Eine Fokussierung auf DORA ist grundsätzlich ausreichend. Allerdings bauen die Interpretationen, Arbeitshilfen und GRC-Tool-Erweiterungen auf die Anforderungen aus BAIT bzw. VAIT auf und setzen voraus, dass diese weitestgehend erfüllt sind. Das ist allerdings in den wenigsten Banken und Versicherungen der Fall.
Ganz konkret sind Banken und Versicherungen ohne einen vollständigen und durchgängigen Informationsverbund, zukünftig IKT-Assetmanagement, nicht in der Lage, den IKT-Risikomanagementrahmen aufzubauen bzw. Risiken zu aggregieren und zu steuern. Gleiches gilt für die neuen Vorgaben im IKT-Drittdienstleistermanagement. Eine niedrige Qualität und Vollständigkeit der Risikoanalysen, Vertragsdatenbanken und Vertragsinhalte korreliert mit hohen DORA-Umsetzungsaufwänden in diesem Bereich.
Wie sollten Banken und Versicherungen deiner Erfahrung nach vorgehen?
André: Zunächst ist es wichtig, die eigene Absprungbasis zu kennen. Für ein vollständig BAIT- bzw. VAIT-konformes Institut sind die notwendigen Tätigkeiten für DORA klar und eindeutig definierbar. Es gilt daher herauszufinden, wo genau die Lücken sind. Der Fokus sollte dabei auf die Bereiche gelegt werden, die das größte Risiko darstellen und die frühzeitig von der Aufsichtsbehörde eingefordert werden könnten.
Also sich nicht von der Gesamtheit der Anforderungen lähmen lassen, sondern die kritischen Schwachstellen angehen. Welche Themen sind dies typischerweise?
André: Mit Blick auf die Themen, die eine hohe aufsichtsrechtliche Relevanz haben, ist meine Einschätzung, dass das Informationsregister für IKT-Drittdienstleister frühzeitig durch die Aufsicht im Rahmen der ICT-Abfrage eingefordert wird, da sie auf dieser Basis kritische IKT-Dienstleister identifizieren und folglich überwachen wird. Darüber hinaus ist ein Fokus auf die Prozesse zur Klassifizierung der IKT-Vorfälle inklusive des Meldewesens sinnvoll, da schwerwiegende Vorfälle ab dem 18.01.2025 gemeldet werden müssen.
„Es ist kritisch jetzt zu handeln und Transparenz über den akuten Handlungsbedarf zu schaffen.“
Dies bedeutet aber ausdrücklich nicht, dass die anderen Themen nicht zu bearbeiten sind, denn das Ziel der Aufsicht mit DORA deckt sich mit denen eines Finanzunternehmens, die Risiken aus dem Einsatz von IKT zu reduzieren.
Du gewinnst aktuell viele Einblicke in die DORA-Umsetzungsprojekte, vor allem in kleineren bis mittelgroßen Banken und Versicherungen. Von welchem Learning können Management und DORA-Verantwortliche am meisten profitieren?
André: Aus meinen Workshops und der mit dem BVR durchgeführten Benchmark-Analyse in über 100 Banken würde ich sagen: Es ist kritisch, jetzt zu handeln und Transparenz über den akuten Handlungsbedarf zu schaffen.
Wir führen daher beispielsweise mit unseren Kunden den sogenannten DORA Quick-Check durch, indem wir in wenigen Wochen den Handlungsbedarf identifizieren und einen Projektplan zu dessen Lösung entwickeln.
Wichtig ist auch, dass die DORA-Aktivitäten bereits heute und unabhängig von den Releases der GRC-Tool-Provider starten. Die Vorgaben zum Informationsregister sind beispielsweise schon so konkret, dass die Informationen bereits heute erhoben werden können und nicht auf ein mögliches Release in Q4/2024 gewartet werden muss.
Danke für diese wertvollen Insights. Zum Abschluss, welche Schritte sollten das Management und die DORA-Verantwortlichen unbedingt einleiten – wenn sie es nicht schon getan haben? Was wären deine drei wichtigsten Empfehlungen?
André: Für mich sind die folgenden drei Schritte entscheidend:
- Die eigene Absprungbasis klären und ein risikobasiertes Vorgehen entwickeln.
- Direkt mit der operativen Umsetzung beginnen, anstatt sich zu lange mit Richtlinien aufzuhalten.
- Die ganze Organisation mobilisieren – DORA ist ein Thema, das breite Verantwortung und Mitarbeit von Anwendungs- und Prozessverantwortlichen sowie erfahrungsgemäß Know-how- und ggf. sogar einen Kapazitätsaufbau erfordert.
Danke, André!