Mit Inkrafttreten des Digital Operational Resilience Acts (Dora) müssen auch Versicherungsunternehmen ab Anfang 2025 nachweisen, dass sie in der Lage sind, schwerwiegende IT-Vorfälle an Aufsichtsbehörden zu melden und ihre Risiken zu überwachen, zu bewerten und zu reduzieren. Zudem sind sie verpflichtet, an EU-weiten Cyber-Stresstests teilzunehmen und strenge Due-Diligence-Prüfungen ihrer Drittanbieter durchzuführen. Anforderungen, die ohne den Einsatz digitaler Softwarelösungen kaum zu bewältigen sind.
In der digitalisierten Welt nehmen die Bedrohungen durch Cyberangriffe auch für Versicherungsunternehmen kontinuierlich zu. Laut einer aktuellen Studie im Auftrag des Digitalverbands Bitkom (Wirtschaftsschutz 2024) belief sich der wirtschaftliche Schaden durch Cybercrime in deutschen Unternehmen 2023 auf eine Rekordsumme von 267 Milliarden Euro. Gerade Unternehmen im Banken- und Versicherungsumfeld sind wegen ihrer sensiblen und personenbezogenen Daten ein lukratives Ziel für Attacken, sodass die Finanzaufsicht Bafin Cyber-Angriffe oder auch IT-Pannen als zentrales Risiko für den Finanzsektor einstuft.
Die Europäische Union (EU) ruft wegen dieser erhöhten Bedrohung im Cyberraum den Digital Operational Resilience Act – kurz Dora – ins Leben. Mit der Verordnung will sie die digitale Widerstandsfähigkeit von Finanzdienstleistungsunternehmen und damit auch von Versicherern nachhaltig stärken. Zudem sorgt dieser Rahmen für einheitliche Standards, die auch Sanktionen beinhalten.
Können Betriebe nicht nachweisen, dass sie den Anforderungen von Dora entsprechen, drohen erhebliche Strafen. Werden Unternehmen tatsächlich Opfer eines Cyberangriffes, wären nicht nur die Sanktionen ein Problem. Dann würde auch die Reputation leiden. Gerade bei Ransomware-Angriffen gelangen oft sensible Daten in die Hände krimineller Gruppen – das Vertrauen der Kunden steht also ebenfalls auf dem Spiel.
Für Versicherer, die sich gerade auf dem Weg zur Umsetzung der Dora-Richtlinie befinden und tragfähige Lösungen für diese fünf Kernbereiche entwickeln wollen, bedeutet das vor allem eines: Sie brauchen so schnell wie möglich eine vollständige Übersicht aller erforderlichen Informationen.
Wichtig ist dabei zu wissen, dass die meisten Unternehmen sehr wahrscheinlich bereits über einen großen Teil der Daten und Prozesse verfügen, um die Berichts- und Meldepflichten zu erfüllen. Meist sind diese Daten allerdings dezentral in den einzelnen Abteilungen abgelegt, sodass sie noch nicht produktiv genutzt und nicht als Basis für aufschlussreiche Reportings oder Meldungen herangezogen werden können. Zudem sind die bestehenden Daten für sich genommen noch nicht aussagekräftig genug, um beispielsweise Aussagen über die Gefährdungslandschaft und die Kritikalität von verschiedenen Prozessen und Systemen im Unternehmen treffen zu können.
Um für eine ausreichende Datenbasis zu sorgen, in der auch qualitativ hochwertige, vollständige und untereinander sinnvoll verknüpfte Daten enthalten sind, die auch die Dora-Anforderungen erfüllen, braucht es im Wesentlichen drei Schritte. Digitale Managementlösungen können diese enorm erleichtern.
Für den Abgleich mit bestehenden EU-Verordnungen wie Dora und für das nachhaltige Management eines Versicherungsunternehmens ist ein zentralisierter Informations- und Datenfluss entscheidend. Nur so können Versicherungsunternehmen ihre Datenbasis – in der auch die Daten Ihrer Drittanbieter oder solche über die globale Gefährdungslandschaft inkludiert sein sollten – überblicken. Durch das Zusammenführen relevanter Daten stellen Unternehmen sicher, dass ihre Daten hochwertig, vollständig und jederzeit sowohl in den Abteilungen als auch abteilungsübergreifend auf der digitalen Managementlösung verfügbar sind.
Versicherer sollten nun alle relevanten Daten über ein regelbasiertes Repository verknüpfen. Auf Basis dieser Grundlage können sie sämtliche Zusammenhänge und Abhängigkeiten, und dadurch Risiken, ermitteln und auswerten. Indem sie die Anforderungen aus der Dora-Richtlinie digitalisieren und die einzelnen Vorgaben direkt mit der eigenen Business-Architektur in einem digitalen Managementsystem verbinden, können Versicherungen automatisch auch potenzielle Schwachstellen sowie regulatorische Risiken aufdecken.
Die verknüpften Daten zu den aktuellen Auffälligkeiten, Entwicklungen, Prozessen und notwendigen Maßnahmen sollten in einem finalen Schritt möglichst präzise visualisiert werden, um fundierte Entscheidungen auf verschiedenen Ebenen des Unternehmens schnell treffen zu können. Außerdem sollte ein Analyse-, Berichts- und Meldewesen eingerichtet werden, das die Daten auf Basis vordefinierter Regeln und der jeweils individuellen Anforderungen hin verarbeitet.
Auch in diesem Schritt können Versicherungen durch digitale Managementlösungen unterstützt werden. Eine geeignete Lösung sollte beispielsweise Compliance-Aktivitäten transparent dokumentieren und automatisiert Reportings erstellen können, die in ihrer Ausgestaltung den gesetzlichen Anforderungen der Behörden entsprechen.
Um alle erforderlichen Daten zu konsolidieren, Analysen zu ermöglichen und für die Erfüllung der regulatorischen Vorgaben zu nutzen, sind digitale und integrierte Managementsysteme ein entscheidender Hebel. Schon heute greifen Finanzunternehmen auf zahlreiche Software-Lösungen zurück, Mitarbeiter sind an die verwendeten Programme gewöhnt, Abläufe sind fest etabliert. Digitale Managementsysteme, die wie beispielsweise Top-Ease modular aufgebaut sind, können leicht in die bestehende IT- und Lösungslandschaft von Unternehmen integriert werden, sodass sie die vorhandenen Systeme lediglich durch die zusätzlich benötigten Funktionalitäten ergänzen, statt diese zu ersetzen.
Über geeignete Schnittstellen können die erforderlichen Daten aus angrenzenden Lösungen in das Managementsystem importiert und für die jeweiligen Zwecke aufbereitet werden. Um Unternehmen gezielt bei der Einhaltung der Dora-Richtlinie zu unterstützen, wurde ein eigenständiges Top-Ease-Modul entwickelt, das exakt auf die Anforderungen der Dora-Richtlinie abgestimmt ist.
Intelligente Datenverknüpfungen können den Aufwand für eine Umsetzung der Dora-Verordnung erheblich reduzieren. Befolgen Versicherer die drei genannten Schritte und implementieren sie ein geeignetes digitales Managementsystem, können sie aber noch mehr erreichen als lediglich die Vorschriften zu erfüllen. Mit einer digitalen Managementlösung gelingt die holistische Verwaltung von Prozessen, Risiken, Kontrollen und rechtlichen Anforderungen nicht nur für die Dora-Richtlinie, sondern für sämtliche Verordnungen und Geschäftsprozesse.
Stefanie Hach ist Vice President beim Software- und Systemdienstleister F24. Das Unternehmen bietet Dienstleistungen für die Gebiete geschäftliche Kommunikation („Business Messaging“), Servicebenachrichtigungen, Massenalarmierung, Incident- und Krisenmanagement sowie Unternehmensführung, Risko und Compliance an.
Eine Antwort
Vielen Dank für diese verständliche Zusammenfassung. Ich denke, damit findet man einen guten Einstieg in dieses komplexe Thema.