- Von Redaktion
- 12.09.2024 um 11:42
Mit Inkrafttreten des Digital Operational Resilience Acts (Dora) müssen auch Versicherungsunternehmen ab Anfang 2025 nachweisen, dass sie in der Lage sind, schwerwiegende IT-Vorfälle an Aufsichtsbehörden zu melden und ihre Risiken zu überwachen, zu bewerten und zu reduzieren. Zudem sind sie verpflichtet, an EU-weiten Cyber-Stresstests teilzunehmen und strenge Due-Diligence-Prüfungen ihrer Drittanbieter durchzuführen. Anforderungen, die ohne den Einsatz digitaler Softwarelösungen kaum zu bewältigen sind.
In der digitalisierten Welt nehmen die Bedrohungen durch Cyberangriffe auch für Versicherungsunternehmen kontinuierlich zu. Laut einer aktuellen Studie im Auftrag des Digitalverbands Bitkom (Wirtschaftsschutz 2024) belief sich der wirtschaftliche Schaden durch Cybercrime in deutschen Unternehmen 2023 auf eine Rekordsumme von 267 Milliarden Euro. Gerade Unternehmen im Banken- und Versicherungsumfeld sind wegen ihrer sensiblen und personenbezogenen Daten ein lukratives Ziel für Attacken, sodass die Finanzaufsicht Bafin Cyber-Angriffe oder auch IT-Pannen als zentrales Risiko für den Finanzsektor einstuft.
Die Europäische Union (EU) ruft wegen dieser erhöhten Bedrohung im Cyberraum den Digital Operational Resilience Act – kurz Dora – ins Leben. Mit der Verordnung will sie die digitale Widerstandsfähigkeit von Finanzdienstleistungsunternehmen und damit auch von Versicherern nachhaltig stärken. Zudem sorgt dieser Rahmen für einheitliche Standards, die auch Sanktionen beinhalten.
Wie Firmen ihr IT-Drittparteienrisiko nach Dora managen sollten
Wie die Bafin Cybergefahren in den Griff kriegen will
Bafin sorgt sich um Versicherbarkeit von Cyberrisiken
Können Betriebe nicht nachweisen, dass sie den Anforderungen von Dora entsprechen, drohen erhebliche Strafen. Werden Unternehmen tatsächlich Opfer eines Cyberangriffes, wären nicht nur die Sanktionen ein Problem. Dann würde auch die Reputation leiden. Gerade bei Ransomware-Angriffen gelangen oft sensible Daten in die Hände krimineller Gruppen – das Vertrauen der Kunden steht also ebenfalls auf dem Spiel.
Die Anforderungen an Dora umfassen fünf Kernbereiche:
- IKT-Risikomanagement
- Management von IKT-Vorfällen
- Digital Operational Resilience-Testing
- Management von Drittparteien
- Informationsaustausch
Für Versicherer, die sich gerade auf dem Weg zur Umsetzung der Dora-Richtlinie befinden und tragfähige Lösungen für diese fünf Kernbereiche entwickeln wollen, bedeutet das vor allem eines: Sie brauchen so schnell wie möglich eine vollständige Übersicht aller erforderlichen Informationen.
Wichtig ist dabei zu wissen, dass die meisten Unternehmen sehr wahrscheinlich bereits über einen großen Teil der Daten und Prozesse verfügen, um die Berichts- und Meldepflichten zu erfüllen. Meist sind diese Daten allerdings dezentral in den einzelnen Abteilungen abgelegt, sodass sie noch nicht produktiv genutzt und nicht als Basis für aufschlussreiche Reportings oder Meldungen herangezogen werden können. Zudem sind die bestehenden Daten für sich genommen noch nicht aussagekräftig genug, um beispielsweise Aussagen über die Gefährdungslandschaft und die Kritikalität von verschiedenen Prozessen und Systemen im Unternehmen treffen zu können.
Um für eine ausreichende Datenbasis zu sorgen, in der auch qualitativ hochwertige, vollständige und untereinander sinnvoll verknüpfte Daten enthalten sind, die auch die Dora-Anforderungen erfüllen, braucht es im Wesentlichen drei Schritte. Digitale Managementlösungen können diese enorm erleichtern.
Schritt 1: Überblick über die Datenlandschaft verschaffen
Für den Abgleich mit bestehenden EU-Verordnungen wie Dora und für das nachhaltige Management eines Versicherungsunternehmens ist ein zentralisierter Informations- und Datenfluss entscheidend. Nur so können Versicherungsunternehmen ihre Datenbasis – in der auch die Daten Ihrer Drittanbieter oder solche über die globale Gefährdungslandschaft inkludiert sein sollten – überblicken. Durch das Zusammenführen relevanter Daten stellen Unternehmen sicher, dass ihre Daten hochwertig, vollständig und jederzeit sowohl in den Abteilungen als auch abteilungsübergreifend auf der digitalen Managementlösung verfügbar sind.
1 Kommentare
- anmelden
- registrieren
kommentierenmichael.dieblich@msg.group
Vor 3 WochenVielen Dank für diese verständliche Zusammenfassung. Ich denke, damit findet man einen guten Einstieg in dieses komplexe Thema.