Beitrag teilen

Link in die Zwischenablage kopieren

Link kopieren
Suchfunktion schließen
Firmen-News > Gastbeitrag

EU-Verordnung „DORA“ steht vor der Tür: Finanzsektor unter Zugzwang

Der „Digital Operational Resilience Act” (DORA) ist eine Verordnung der Europäischen Union zum Schutz vor Cyber-Bedrohungen und IKT-Risiken im Finanzsektor.

Robin Schmeisser, Geschäftsführer der Fabasoft Contracts GmbH, beschäftigt sich seit 2004 intensiv mit der Digitalisierung von Geschäftsanwendungen und -prozessen. (Foto: Fabasoft)

Ziel der DORA-Verordnung ist die Stärkung der digitalen Resilienz im Finanzsektor. Sie betrifft nahezu alle Marktakteure, darunter Banken, Versicherungen, Kredit- und Zahlungsinstitute sowie IKT-Dienstleister – EU-weit mehr als 22.000 Finanzunternehmen. Neben unterschiedlichen Anforderungen ist die Erstellung des Informationsregisters ein Kernstück der DORA-Verordnung. Dabei handelt es sich um eine verpflichtende Dokumentation aller kritischen IT-Services, die von Drittleistern bezogen werden. Die Europäischen Aufsichtsbehörden (ESAs) haben die Frist zur Einreichung kürzlich auf den 30. April 2025 verschoben – knapp 3 Monate später als ursprünglich geplant. Diesen Aufschub dürften viele Finanzunternehmen begrüßen. Die Erstellung des Registers ist äußerst komplex und bindet erhebliche Ressourcen. Viele Unternehmen scheiterten bei dem Versuch, das Informationsregister mittels Microsoft Excel umzusetzen – wie der Testlauf („Dry Run“) der ESAs zeigte: In Österreich nahmen mehrere Hundert Betriebe daran teil, in Deutschland hingegen nur 44. Diese geringe Beteiligung könnte sich in der finalen Vorbereitungsphase als Nachteil erweisen. Die Frage lautet: Sind deutsche Finanzunternehmen ausreichend vorbereitet, um die Anforderungen fristgerecht zu erfüllen? 

 

Informationsregister: Was ist das, und was macht es so herausfordernd?

Das Informationsregister dient zur Übersicht über alle IKT-Dienstleistungen, die ein Finanzunternehmen von Drittanbietern bezieht. Es besteht aus fünfzehn unterschiedlichen Tabellen, die inhaltlich an zahlreichen Stellen ineinandergreifen. Bestandteile sind u. a. umfangreiche Angaben zu den Lieferanten und IT-Services, sämtliche Auslagerungsverträge sowie verschiedenste Nachweise und Prüfungen wie Due Diligence, Risikobewertungen und Exit-Strategien. Bis dato setzen die meisten Unternehmen bei der Berichterstellung auf herkömmliche Tabellenkalkulationsprogramme, die eine manuelle Befüllung der Datenfelder erfordern. Ändert sich ein bestimmtes Detail, müssen die Verantwortlichen diese an jeder Stelle einzeln ausbessern. Das Resultat: Ein enorm hoher Bearbeitungsaufwand sowie Übertragungsfehler und Inkonsistenzen.  

Unternehmen müssen jederzeit auskunftsfähig sein und das Register jährlich sowie auf Anfrage an die nationalen Behörden übermitteln (z. B. BaFin, FMA). Bei Nicht-Einhaltung von DORA drohen strenge Sanktionen. Dazu zählen hohe Bußgelder oder sogar Einschränkungen der Geschäftstätigkeit oder Verlust der Betriebslizenz. Darüber hinaus gelten strikte Sorgfaltspflichten für die oberste Führungsebene: DORA legt fest, dass die Verantwortung für die Umsetzung von DORA direkt bei der Geschäftsführung liegt. Diese Verantwortung ist nicht delegierbar. Ein Verstoß kann daher weitreichende Konsequenzen haben. 

Der „Dry Run“ der Europäischen Aufsichtsbehörden (European Supervisory Authorities – ESA) hat den hohen Bearbeitungsaufwand des Informationsregisters im Praxistest gezeigt. Bei dem Testlauf hatten Finanzunternehmen die Gelegenheit, eine erste Version des Informationsregisters zu erstellen und an die Behörden zu übermitteln. Eine wertvolle Chance, sich den aktuellen Status der eigenen Prozesse und die damit einhergehenden Aufgaben zu vergegenwärtigen. Die Teilnehmer:innen haben dadurch ein Gefühl bekommen, an welcher Stelle sie noch Daten erheben müssen und wie aufwendig es ist, auf manuellem Weg konsistent und vollständig zu berichten. Zusätzlich hat der Testlauf relevante Detailfragen an die Oberfläche gebracht, die es nun intern sowie mit den Behörden zu klären gilt. 

Auch wenn EU-weit die Mitwirkung am Dry Run auf freiwilliger Basis erfolgte, nahmen in Österreich laut Aussagen der Finanzmarktaufsicht (FMA) mehrere Hundert Entitäten an der Übung teil. In Deutschland hingegen lag die Zahl insgesamt lediglich bei 44 Finanzunternehmen, wie die BaFin mitteilte. So blieb für die Mehrheit der deutschen Finanzbranche ein wichtiger Erkenntnisgewinn vor dem eigentlichen Stichtag aus. 

Automatisierung der Geschäftsprozesse

Sind alle relevanten Informationen von Beginn an digital erfasst, ermöglicht dies die Automatisierung des gesamten Outsourcing-Prozesses eines Lieferanten sowie aller nachfolgenden Aktivitäten. So lässt sich mit einer smarten, auf DORA spezialisierten Software wie Fabasoft DORA beispielsweise das geforderte Informationsregister auf Knopfdruck generieren. Dafür gelangen die Daten automatisch aus den digitalen Akten in den fertigen Bericht. Grundlage dafür sind zum Großteil Informationen aus den bestehenden Verträgen mit den IKT-Dienstleistern. Etwa sämtliche relevanten Angaben zum Lieferanten, zur festgelegten Leistung, zu involvierten Subunternehmen u. v. m. Außerdem berechnet das System selbstständig Inhalte aus bereits bekannten Daten. Das Ergebnis ist ein stets synchronisiertes, digitales Informationsregister, das sich im vorgegebenen Datenformat exportieren und einfach mit den Behörden teilen lässt. Dies spart wertvolle Ressourcen, erhöht die Transparenz, minimiert Risiken und sorgt für eine jederzeitige Auskunftsfähigkeit. 

Zu den Kunden von Fabasoft DORA zählt u.a. „SV Informatik“ – ein Tochterunternehmen der SV Sparkassen Versicherung. Es bietet IT-Dienstleistungen und Softwarelösungen speziell für die Anforderungen von Versicherungsunternehmen an. 

Nutzung von künstlicher Intelligenz

Neben der Herausforderung des umfangreichen Berichtswesens sieht DORA überdies unterschiedliche Mindestvertragsinhalte mit IKT-Drittdienstleistern vor. Die Vereinbarungen müssen u. a. Sicherheitsanforderungen, Incident Reportings, die Verarbeitung und Speicherung von Daten, Notfall- und Wiederherstellungspläne sowie Übergangsregelungen abdecken. Finanzunternehmen sind daher angehalten, alle Auslagerungsverträge auf DORA-Compliance zu prüfen und gegebenenfalls anzupassen. Künstliche Intelligenz kann dabei unterstützen, indem sie selbstständig Abweichungen hinsichtlich der DORA-Regulatorik identifiziert und die Ergebnisse je Vertragsakte übersichtlich aufbereitet. Für jene Verträge, die Handlungsbedarf aufweisen, erzeugt das System anschließend basierend auf der Klauselbibliothek die richtigen Ergänzungsvereinbarungen automatisiert und startet optional die Genehmigungs- und Zeichnungsprozesse samt direkter Einbindung der externen Partner.

Fazit

Mit dem richtigen Tool bleibt noch genügend Zeit, vollständig bis zur Deadline zu berichten. Wichtig für eine schnelle Umsetzung sind verschiedene standardisierte Möglichkeiten zur raschen Datenmigration. Sind die Informationen einmal im System, lassen sich Register und Berichte sofort erzeugen. Dadurch senken Finanzunternehmen nicht nur ihren Ressourcenaufwand, sondern minimieren auch das Risiko für manuelle Fehler sowie für die Nicht-Einhaltung der Compliance-Vorgaben.  

Über den Autor

Nach langjähriger Geschäftsführertätigkeit bei einem Softwarehersteller ist Robin Schmeisser seit Januar 2021 für Fabasoft Contracts verantwortlich, einem der europaweit führenden Anbieter von Vertragsmanagement-Software. Seit Inkrafttreten von DORA unterstützt er Kunden aus dem Finanzsektor bei der smarten Digitalisierung ihres Auslagerungsmanagements sowie der effizienten Umsetzung der regulatorischen Dokumentations- und Berichtspflichten mithilfe von Fabasoft DORA. 

www.fabasoft.com/dora

Ähnliche Artikel