Um den Finanzsektor besser gegen Cyberrisiken zu schützen, hat die Europäische Union die sogenannte Dora-Verordnung ins Leben gerufen. Dora steht für Digital Operational Resilience Act. Und mehr als 3.600 Unternehmen hierzulande werden sie im nächsten Jahr anwenden müssen, berichtet die Finanzaufsicht Bafin. Davon sind etwa Versicherungen und Rückversicherungen, Versicherungsvermittler, Rückversicherungsvermittler und Versicherungsvermittler in Nebentätigkeit betroffen.
Kern von Dora ist dabei ein besseres Risikomanagement im Bereich der Informations- und Kommunikationstechnologie (IKT). Es soll vor allem gewährleisten, dass die Unternehmen widerstandsfähig gegen Cybergefahren werden – und dass ihre Prozesse auch während eines Störungsfalls und danach aufrechterhalten werden können.
Ab dem 17. Januar 2025 müssen betroffene Unternehmen die Dora-Vorschriften vollumfänglich anwenden. Spätestens mit der Veröffentlichung der einzelnen technischen Regulierungs- und Implementierungsstandards (RTS beziehungsweise ITS) zeigte sich, wie komplex und umfangreich die einzelnen Anforderungen sind. Eine der größten Herausforderungen dabei: das Management des IKT-Drittparteienrisikos, welches bei der Nutzung von IKT-Dienstleistungen entstehen kann.
Die Einstufung der ausgegliederten Funktionen als „kritisch oder wichtig“ ist eine der bedeutendsten Anforderungen im Bereich des Managements von Drittparteienrisiken. Daran knüpft der Gesetzgeber eine ganze Reihe von weiteren Regelungen.
Artikel 3 Nummer 22 DORA-VO nennt die Kriterien für die Einstufung einer an IKT-Drittdienstleister ausgegliederten Funktion als „kritisch oder wichtig“. Im Vordergrund stehen erhebliche Beeinträchtigungen der finanziellen Leistungsfähigkeit, die gefährdete Fortführung der Geschäftstätigkeit sowie die mangelnde Einhaltung regulatorischer Anforderungen, die durch einen Ausfall einer Funktion entstünden.
Eine unternehmensindividuelle Auslegung der Begriffe ist zwingend erforderlich. Die Finanzunternehmen müssen bestimmen, welche Funktionen als „kritisch oder wichtig“ einzustufen sind. Unternehmen sollten die in diesem Zuge ausgearbeiteten Definitionen in eine schriftlich fixierte Ordnung aufnehmen, um eine einheitliche unternehmens-/ konzernweite Anwendung sicherzustellen.
Im Rahmen der Nutzung von IKT-Dienstleistungen zur Unterstützung „kritischer oder wichtiger“ Funktionen ist eine Leitlinie zu definieren. Ein gesonderter Regulierungsstandard präzisiert die einzelnen Anforderungen an diese Leitlinie unter Nennung entsprechender Prozesse, Verfahren und Maßnahmen, die im Bereich des Risikomanagements aufzusetzen sind. Damit werden spezielle Anforderungen an den gesamten Lebenszyklus – von Vertragsverhandlungen bis zur Kündigung eines Vertrages – im Zusammenhang mit Ausgliederungen solcher IKT-Funktionen definiert.
Artikel 30 DORA-VO gibt die einzelnen Mindestvertragsinhalte an, welche bei allen vertraglichen Vereinbarungen mit IKT-Drittdienstleistern zu berücksichtigen sind. Unterstützt ein IKT-Drittdienstleister eine „kritische oder wichtige“ Funktion, müssen zusätzliche Inhalte in den Vertrag mit dem Dienstleister aufgenommen werden. Die Anforderungen gelten sowohl für bestehende als auch für künftige Verträge, sodass Nachverhandlungen und Anpassungen bestehender Verträge erforderlich sind.
Mit Einführung der Verpflichtung zur Erstellung und laufenden Aktualisierung eines Informationsregisters nach Artikel 28 Absatz 3 DORA-VO für IKT-Drittdienstleistungen und der regelmäßigen Berichterstattung an zuständige Behörden, zielt der europäische Gesetzgeber auf mehr Transparenz in puncto Konzentrationsrisiken.
Die ersten Informationsregister sind ab Januar 2025 bei der BaFin einzureichen. Ende Juni informierte die Aufsicht im Rahmen einer gesonderten Veranstaltung über die ersten Details bezüglich der im Informationsregister zu erfassenden Daten sowie über den geplanten Meldeweg. Dabei wurde deutlich, wie bedeutsam eine vorherige Einstufung einer ausgegliederten Funktion für die Aggregation der Daten ist. Denn nur im Falle einer „kritischen oder wichtigen“ Funktion müssen Angaben zu den vermeintlich unübersichtlichen Sub-Dienstleister-Ketten erfasst werden.
Hier spielen der risikobasierte Ansatz und das Proportionalitätsprinzip eine wichtige Rolle. Bei der Erfassung der Angaben zu Sub-Dienstleistern ist also stets zu hinterfragen, für wie kritisch deren Dienstleistung im Kontext der gesamten Dienstleistungskette gehalten wird. Als Meldeweg wird die Bafin das bekannte MV-Portal nutzen.
Die neuen Anforderungen ergänzen die bestehenden nationalen Anforderungen im Bereich des Outsourcings. Das wird zu erhöhten Aufwänden im Bereich Outsourcing-Management führen. Eine frühzeitige Anpassung der Prozesse und die Einführung geeigneter technischer Lösungen für das Outsourcing-Management ist der richtige Weg, um Dora-Konformität zu erlangen und erforderliche Daten konsistent, prüfungssicher und schnell zur Verfügung stellen zu können.
Zahlreiche neue Dora-Anforderungen an das Management des IKT-Drittparteienrisikos zwingen Finanzunternehmen dazu, dieses Thema im Rahmen ihrer Organisation neu zu strukturieren und betroffene Prozesse kritisch zu würdigen. Die Einstufung ausgegliederter Funktionen hinsichtlich ihrer Kritikalität spielt dabei eine zentrale Rolle.
Die bestehenden nationalen Anforderungen an Ausgliederungen bleiben bestehen. Eine Erleichterung hat die Bafin zumindest in Aussicht gestellt – laut letzten öffentlichen Verlautbarungen werden die aufsichtlichen Anforderungen an die IT der Bafin (BAIT, ZAIT, KAIT, VAIT, kurz: XAIT) außer Kraft gesetzt.
Alina Renkas ist Wirtschaftsprüferin und Senior Managerin im Bereich IT Audit & Advisory im Versicherungsteam bei Forvis Mazars am Standort München.
Christian Pilgrim ist Manager im Bereich IT Audit & Advisory im Versicherungsteam bei Forvis Mazars am Standort Hamburg.