Dora als Chance: Mehr Datensouveränität für Versicherer

Die Digitalisierung setzt sich auch in Deutschland weiter durch – langsam, manchmal stockend, aber unaufhaltsam. Mit ihr steigt nicht nur die Effizienz, sondern auch die Verwundbarkeit. Allein 2024 zählte das Bundeskriminalamt über 130.000 Fälle von Cybercrime.

Für Banken und Versicherungen kann ein erfolgreicher Angriff binnen Stunden Schäden in Milliardenhöhe verursachen. Der Finanzsektor gilt deshalb als kritische Infrastruktur. Und genau hier greift die neue EU-Verordnung Dora – der Digital Operational Resilience Act. Vor allem die darin enthaltenen Regularien zu Exit-Strategien sind sehr anspruchsvoll. Dabei können diese ein Weg zu größerer Souveränität sein.

Mehr zum Thema

Schrittweise wäre besser

Warum Dora die (Finanz-)Unternehmen überfordert

Cyberschutz

Wie Versicherer in 3 Schritten fit für Dora werden

Kampf gegen Cybercrime

Wie Firmen ihr IT-Drittparteienrisiko nach Dora managen sollten

Schrittweise wäre besser

Warum Dora die (Finanz-)Unternehmen überfordert

Cyberschutz

Wie Versicherer in 3 Schritten fit für Dora werden

Kampf gegen Cybercrime

Wie Firmen ihr IT-Drittparteienrisiko nach Dora managen sollten

Seit dem 17. Januar 2025 müssen Finanzunternehmen die Vorgaben einhalten. Eine Übergangsfrist lief noch bis Ende Mai, aber inzwischen drohen empfindliche Sanktionen. Ziel der Verordnung ist es, die Cyberresilienz von Banken, Versicherern und Finanzdienstleistern EU-weit auf einheitliches Niveau zu heben.

Künftig müssen Institute nachweisen, dass ihre Systeme Angriffe ebenso überstehen wie Systemausfälle oder den Wegfall externer Dienstleister. Die Anforderungen reichen von umfassendem IT-Risikomanagement über kontinuierliche Schutzmaßnahmen bis hin zu klaren Reaktionsplänen für den Ernstfall.

Verstöße sind teuer: Die Aufsichtsbehörden können Bußgelder von bis zu 2 Prozent des weltweiten Jahresumsatzes verhängen oder sogar operative Einschränkungen anordnen.

Datensouveränität als Leitmotiv

Hinter allen Details steckt ein zentrales Thema: Datensouveränität. Gemeint ist die Fähigkeit eines Unternehmens, jederzeit über seine geschäftskritischen Daten zu verfügen – unabhängig von Standort, Speicherort oder externem Dienstleister.

Für Finanzinstitute bedeutet das: volle Transparenz über eingesetzte Softwarekomponenten, revisionssichere Dokumentation sämtlicher Datenflüsse und vor allem die Vermeidung proprietärer Formate, die einen Anbieterwechsel erschweren oder unmöglich machen.

Datensouveränität ist mehr als eine technische Frage. Sie entscheidet über regulatorische Compliance, über die Unabhängigkeit von einzelnen Anbietern und über die Wettbewerbsfähigkeit in einem Markt, der immer stärker digital getrieben ist. Um diese Souveränität zu erreichen, beinhaltet Dora verschiedene Vorgaben. Wichtig sind dabei vor allem belastbare Exit-Strategien.

Drittanbieter im Fokus

Neu ist: Dora bezieht nicht nur die Finanzhäuser selbst ein, sondern auch deren IT-Dienstleister. Damit stehen erstmals Drittanbieter direkt im Visier der Regulierung. Besonders anspruchsvoll sind die Richtlinien zu Exit-Strategien: Jedes Institut soll nachweisen, dass es kritische Dienste jederzeit auf einen anderen Anbieter übertragen kann. Und das nicht nur theoretisch – die Pläne müssen regelmäßig getestet und an aktuelle Gegebenheiten angepasst werden.

Was auf dem Papier nach einer Vorsichtsmaßnahme klingt, wird in der Praxis schnell zur Mammutaufgabe. Denn ein funktionierender Anbieterwechsel setzt voraus, dass Daten vollständig dokumentiert, in offenen Formaten vorliegen und Systeme interoperabel sind. Proprietäre Technologien, fehlende Migrationstests oder lückenhafte Dokumentationen blockieren dagegen jeden Ausstieg.

Wer das Thema verschleppt, riskiert nicht nur Strafzahlungen, sondern im Ernstfall die Handlungsfähigkeit seines gesamten Finanzinstituts.

• <
• 1
• 2
• zur Startseite
• >