So finden Sie sich in der Zukunft der digitalen Resilienz im Finanzwesen zurecht
Wie Finanzinstitute ihre digitale Resilienz stärken und regulatorische Anforderungen erfüllen können. DORA-Benchmark jetzt sichern.
Studie herunterladenViele erfolgreiche Umsetzungen – aber auch Lücken
Wir konnten die DORA-Umsetzungsprojekte in neun Banken und fünf Versicherungsunternehmen in Deutschland analysieren. Ein Ergebnis der Untersuchung lautet: Keine der befragten Banken hatte die DORA-Vorgabe bis Januar 2025 vollständig erfüllt. Und in der Versicherungsbranche beobachten wir, dass einige Unternehmen gerade erst damit anfangen, sich mit der DORA-Compliance zu befassen.
Natürlich gibt es auf der anderen Seite aber auch Unternehmen, die schon seit zwei Jahren erfolgreiche Umsetzungsprojekte zur DORA-Verordnung führen. Was also sollen Unternehmen jetzt tun, die noch nicht alle Anforderungen erfüllen? Vor allem die Gap-Analyse und eine vorausschauende Projektplanung sind jetzt von besonderer Bedeutung.
Grundsätzlich drohen Bußgelder, wenn Anforderungen jetzt noch nicht erfüllt werden: Ihre Höhe kann je nach Art und Schwere des Verstoßes bis zu fünf Millionen Euro betragen. Und wie Erfahrungen aus der Aufsichtspraxis der BaFin zeigen, können bei Mängeln in der Geschäftsorganisation bezogen auf die IT auch Kapitalaufschläge verhängt werden.
Aber die Aufsicht hat ebenfalls die Möglichkeit, zum Beispiel bei kleineren Unternehmen abzuwägen. Denn in der Verordnung ist festgelegt, dass Finanzunternehmen Vorschriften im Einklang mit dem Grundsatz der Verhältnismäßigkeit anwenden sollen – es ist also Auslegungssache, wie umfangreich ein Unternehmen DORA anwenden muss.
Viele Verträge müssen 2025 noch angepasst werden
Dazu kommt: Es werden noch Anforderungen angepasst, konkretisiert oder ergänzt werden. Sie betreffen zum Beispiel das Vertragsmanagement und dabei konkret die Unterauftragsvergabe.
DORA sieht Anforderungen für Auslagerungsverträge zwischen Finanzunternehmen und Drittdienstleistern für Informations- und Kommunikationstechnologie (IKT-Dienstleister) vor. Das ist eine Mammutaufgabe: Bei großen Unternehmen und Konzernen reden wir von 500 bis zu mehreren tausend Verträgen. Bei mittelgroßen Unternehmen sind es geschätzt zwischen 100 bis 500, und bei kleineren zwischen 10 und 100 Verträgen.
Oft bekommen IT-Verträge, die bislang nur wenige Seiten lang waren, nun einen DORA-Anhang mit 20 Seiten oder mehr.
Laut unserer Untersuchung hat sich der Großteil der Neuverhandlungen aufgrund umfangreicher Anpassungen auf das Jahr 2025 verschoben – die Vertragsanpassungen werden die Institute also noch über Monate hinweg beschäftigen.
Personalengpässe und Übergangslösungen
Um alle DORA-Anforderungen zu erfüllen, werden die Unternehmen ins Risiko gehen müssen. Unterschiedliche Interpretationen der Anforderungen und eine fehlende Prüfungspraxis erhöhen es. Dazu sehen sich viele Banken mit Ressourcenengpässen konfrontiert: Vor allem in der IT steigen durch DORA die Aufwände, was Engpässe für das Identifizieren der kritischen und wichtigen Funktionen und den Aufbau nachhaltiger Prozesse etwa für das Melden von Vorfällen nach sich zieht.
Auf der Agenda bleiben in den kommenden Monaten auch die Weiterentwicklung und Kontrolle des IKT-Risikomanagements, die Stärkung der Informationssicherheit und die Umsetzung der Digital- Operational-Resilience-Strategie (DOR-Strategie). Viele werden die Melde- und Dokumentationsanforderungen kurzfristig über Excel-Tabellen lösen müssen, bevor sie ein Tool für die DORA-Klassifizierung, die Risikoanalyse und das Informationsregister einführen konnten.
DORA wird die Finanzunternehmen also auch 2025 beschäftigen – und fordern.
