Warum Dora die (Finanz-)Unternehmen überfordert

Schrittweise wäre besser

Warum Dora die (Finanz-)Unternehmen überfordert

Kaum eine Regulierung strapaziert die Finanz- und Versicherungsbranche so sehr wie Dora. Von ambitionierten Sicherheitsstandards bis hin zu komplexen Umsetzungshürden – die Verordnung ist ein Lehrstück darüber, was passiert, wenn Regulierung auf unternehmerische Realität trifft. Doch nicht alles an Dora ist schlecht, wie Christian Brockhausen von Wavestone Germany in seinem Gastbeitrag schildert.

Christian Brockhausen, Wavestone Germany: „Hier adressiert Dora einen klaren Bedarf.“

Finanziell sorgenfrei im Ruhestand

Viele haben Pläne und Träume für ihren Ruhestand. Wenn es aber um die finanzielle Planung geht, ist man schnell überfordert. Professionelle Ruhestandsplanung wird aufgrund steigender Lebenserwartung immer wichtiger.

Lebe dein bestes Leben

Um sorgenfrei in den Ruhestand zu blicken, braucht es professionelle Ruhestandsplanung. Damit Ihre Kundinnen und Kunden ihr bestes Leben leben können.

Aktive Phase der Rente

Lebensträume verwirklichen, finanzielle Sicherheit stärken: Mit unserer Ruhestandsplanung und hochwertigen Produkten unterstützen Sie Ihre Kundinnen und Kunden optimal – professionell, verlässlich, erfolgreich.

Den Ruhestand rocken

Theo Westarp zeigt im Video, wie man dank guter Beratung und kluger Ruhestandsplanung mehr finanziellen Spielraum für die schönen Dinge hat.

Seit dem 17. Januar 2025 muss die Dora-Verordnung (Digital Operational Resilience Act) der Europäischen Union umgesetzt sein. Das Ziel: die Cybersicherheit im Finanzsektor europaweit zu stärken und dessen digitale Widerstandsfähigkeit nachhaltig zu verbessern.

Zwei Jahre hatten die betroffenen Unternehmen Zeit, die neuen für alle gleichermaßen geltenden Anforderungen zu implementieren – eine Frist, die von Beginn an kritisch hinterfragt wurde und noch heute zu hinterfragen ist.

Bereits seit der Verabschiedung von Dora im November 2022 gab es erhebliche Bedenken seitens der Branche. Die Regulierung verpflichtet alle Finanzinstitute in der EU, darunter Banken, Versicherer, Investmentgesellschaften und Zahlungsdienstleister, robuste Mechanismen zur Identifikation, Überwachung und Bewältigung digitaler Risiken einzuführen.

Schnell wurde deutlich, dass die straffen Fristen und die weitreichenden Anforderungen viele Unternehmen vor große Herausforderungen stellen würden. Auch jetzt reißt die Kritik nicht ab: Noch immer fehlten entscheidende Detailvorgaben, was die Umsetzung zusätzlich erschwere, moniert die Branche.

Zu viel Regulierung?

Die Kritik an Dora ist nicht unbegründet. Die Verordnung stellte und stellt hohe Anforderungen innerhalb vergleichsweise kurzer Zeit. Der notwendige Aufwand ist immens. Kaum ein Unternehmen erfüllt Dora heute in Gänze. Ganz im Gegenteil: Einige Unternehmen werden ihre Umsetzungsprojekte erst in zwei oder drei Jahren abschließen können. Überraschend ist das nicht. Bereits vor einigen Wochen hatten die nationalen und europäischen Aufsichtsbehörden signalisiert, nicht mit einer vollständigen Umsetzung durch alle Unternehmen zu rechnen.

Mehr zum Thema

Bafin sieht weiter sechs Hauptrisiken – und hat eins gestrichen

Man möchte gar nicht meinen, dass in unserer heutigen Zeit überhaupt noch Risiken wegfallen können.…

Wie Firmen ihr IT-Drittparteienrisiko nach Dora managen sollten

Um den Finanzsektor besser gegen Cyberrisiken zu schützen, hat die Europäische Union die sogenannte Dora-Verordnung…

Wie Versicherer in 3 Schritten fit für Dora werden

Mit Inkrafttreten des Digital Operational Resilience Acts (Dora) müssen auch Versicherungsunternehmen ab Anfang 2025 nachweisen,…

Besonders kleinere und mittlere Unternehmen stehen vor großen Herausforderungen. Häufig fehlen ihnen schlicht die personellen Ressourcen, um Dora fristgerecht umzusetzen. Zwar beinhaltet die Verordnung einen Proportionalitätsansatz, doch dieser reicht nicht aus, um den Aufwand für kleinere Akteure entscheidend zu reduzieren. Auch größere Unternehmen, die über umfangreichere Kapazitäten verfügen, sind stark gefordert – hier liegt die Herausforderung vielmehr in der enormen Komplexität der Umsetzung.

Stufenweiser Ansatz wäre besser

Eine schrittweise Einführung von Dora hätte die Umsetzung erleichtert. Statt sämtliche Anforderungen auf einmal verbindlich zu machen, wäre es sinnvoll gewesen, zunächst zentrale Bereiche wie das Provider-Management zu priorisieren und weitere Komponenten sukzessive zu ergänzen. Ein solches Vorgehen hätte die Belastung gleichmäßiger verteilt und die Effizienz möglicherweise gesteigert.

Der Deutschen Finanzmarktauficht Bafin muss man zugutehalten, dass im Rahmen einer eigenen Website sowie FAQ alles getan wurde, um zu informieren. Zudem hatte man in Deutschland Rundschreiben wie die BAIT oder die VAIT, welche bereits große Teile der Dora abdeckten, ja sogar mehr als die Dora regelten. Andere europäische Mitgliedstaaten hatten derartige aufsichtsrechtliche Regulierungsstandards nicht.

Seite 2: Welches wichtige Anliegen Dora wirklich anspricht

Doch nicht nur der Regulator scheint die Tragweite von Dora unterschätzt zu haben – auch viele Unternehmen haben das Regelwerk erst spät ernst genommen. Bereits mit den ersten Entwürfen vor vier Jahren war erkennbar, dass Dora tiefgreifende Veränderungen mit sich bringen würde. Dennoch haben sich viele Unternehmen erst spät mit der Umsetzung befasst. Einige begannen sogar erst 2024 mit einer Gap-Analyse, manche tatsächlichen Umsetzungsprojekte starten sogar erst in diesem Jahr.

Nun setzen viele Unternehmen auf eine Minimalstrategie: Sie konzentrieren sich auf die unbedingt erforderlichen Maßnahmen, um den regulatorischen Anforderungen gerade so zu genügen. In der Praxis bedeutet dies, dass sie erst auf eine Prüfung warten, bevor weitergehende Anpassungen vorgenommen werden. Diese Strategie birgt jedoch Risiken. Bislang ist unklar, wie die Prüfer – und damit auch die Aufsicht – die Umsetzung letztlich bewerten werden.

Cybersicherheit war und bleibt ein zentrales Thema – auch ohne Dora

Unbestritten adressiert Dora ein wichtiges Anliegen: Cybersicherheit ist essenziell für die Zukunftsfähigkeit des Finanzsektors. Doch ob die Verordnung tatsächlich einen nachhaltigen Sicherheitsgewinn bringt, bleibt fraglich. Zwar will die Verordnung einheitliche europäische Standards schaffen, aber Cybersicherheit ist längst ein etabliertes Thema, in das Unternehmen bereits erhebliche investiert haben. Verschlüsselungskonzepte sowie Rollen- und Berechtigungsmodelle gehören vielerorts zum Standard.

Dora zwingt Unternehmen nun, bestehende Maßnahmen noch weiter beziehungsweise detaillierter auszubauen – mit der Gefahr, dass der zusätzliche Aufwand nicht in gleichem Maße zu erhöhter Sicherheit führt. Es wäre möglicherweise effizienter gewesen, in gewissen Bereichen stärker auf Marktmechanismen zu vertrauen, statt eine derartige umfassende Regulierung zu schaffen, die teilweise als Überregulierung empfunden wird.

Sie wollen mehr Infos?

Dann melden Sie sich für unseren kostenlosen Newsletter an!

Jetzt abonnieren!

An einem Punkt erfüllt Dora die eigenen Ziele jedoch sehr gut: beim sogenannten IKT-Drittparteienrisiko. Hier wird ein klarer Bedarf adressiert. Künftig werden externe IT-Dienstleister, die für den Finanzsektor essenziell sind, stärker beaufsichtigt und bewertet, sowohl national als auch europäisch. Dies trägt dazu bei, potenzielle Risiken frühzeitig zu erkennen und Dienstleister zu identifizieren, die kritisch sind, da sie beispielsweise für sehr viele Unternehmen tätig sind.

Der Vorfall um Crowdstrike, bei dem ein fehlerhaftes Update weltweit zu IT-Ausfällen führte, hat eindrücklich gezeigt, wie verletzlich gesamte Branchen gegenüber Ausfällen zentraler Anbieter sein können. In diesem Bereich setzt Dora zweifellos an der richtigen Stelle an.

Der regulatorische Druck steigt weiter

Dora ist nun Realität – und wird es bleiben. Die kommenden Monate werden zeigen, wo Anpassungen erforderlich sind und welche Aspekte möglicherweise präzisiert werden müssen. Unternehmen sollten sich jedoch nicht darauf verlassen, dass weitere Verzögerungen gewährt werden. Vielmehr gilt es, die Umsetzung entschlossen voranzutreiben, denn die nächste große regulatorische Herausforderung zeichnet sich bereits ab: Fida (Financial Data Access) wird mit umfangreichen technischen Anforderungen neue Maßstäbe setzen. Der regulatorische Druck wächst – und mit ihm die Notwendigkeit, frühzeitig vorbereitet zu sein.

Über den Autor

Christian Brockhausen, MBA, ist Associate Partner bei Wavestone Germany in München und verantwortet den Bereich Compliance Audit & Regulatory (CAR). Zudem ist er zertifizierter Anti Financial Crime Officer, Compliance Auditor sowie Datenschutzbeauftragter. Er hält seit Jahren Seminare, tritt als Redner auf und publiziert regelmäßig Fachbeiträge und fungiert zudem als Interims Manager (Compliance und Datenschutz).

Nicht verpassen!

Pfefferminzia.pro

Eine Plattform, die liefert: aktuelle Informationen, praktische Services und einen einzigartigen Content-Creator für Ihre Kundenkommunikation. Alles, was Ihren Vertriebsalltag leichter macht. Mit nur einem Login.