Was bedeutet DORA in der Praxis? Ein Leitfaden für Compliance-Teams

Introduction

Im Jahr 2023 hat die Europäische Union einen wichtigen Meilenstein mit der Verabschiedung der Verschärfungen der Verordnung (EU) 2019/2034, auch bekannt als Digital Operational Resilience Act (DORA), erreicht. Diese Verordnung zielt darauf ab, die IT- und Operational Resilienz von europäischen Finanzdienstleistern zu verbessern, indem sie einen umfassenden Ansatz zur Risikobewertung und -verwaltung verlangt. Artikel 6 Absatz 1 von DORA fordert Finanzunternehmen dazu auf, ein Informations- und Kommunikationstechnologie-Risikomanagementsystem (ICT-Risikomanagement) aufrechtzuerhalten, was häufig als ein einfaches Haken-Übungsverfahren angesehen wird. Doch diese oberflächliche Interpretation kann Ihre Organisation vor erheblichen Compliance-Risiken und möglichen Strafen von bis zu 2 Milliarden EUR* aussetzen.

Die Bedeutung von DORA geht weit über ein bloßes Compliance-Tick-Rädersystem hinaus. Sie betrifft alle Aspekte der Finanzdienstleistungsbranche und bedroht die Stabilität der gesamten europäischen Wirtschaft. Die Einhaltung dieser Vorschriften ist daher für jede Organisation, die Finanzdienstleistungen in der EU anbietet, von entscheidender Bedeutung. Dieser Leitfaden wird Ihnen helfen, die Anforderungen von DORA in die Praxis umzusetzen und potenzielle Compliance-Probleme zu vermeiden.

*Quelle: BaFin

The Core Problem

Die Herausforderungen, die mit der Umsetzung von DORA einhergehen, sind komplex und weitreichend. Viele unternehmen Interpretieren die Anforderungen als eine reine Compliance-Aufgabe, die lediglich die minimalen Vorschriften erfüllen soll. Doch DORA verlangt viel mehr als nur Compliance. Es erfordert eine grundlegende Überprüfung und Überarbeitung der ICT-Infrastruktur und -Prozesse Ihrer Organisation.

Dies hat enorme Kosten für die Unternehmen mit sich gebracht. Eine Studie durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat ergeben, dass die Durchsetzung von DORA die Kosten für Compliance und Risikomanagement in der Finanzbranche um bis zu 30% erhöhen könnte. Das entspricht einer zusätzlichen Belastung von bis zu 2,1 Milliarden EUR pro Jahr* für die Branche.

Die Kosten sind jedoch nicht nur finanzieller Natur. Die Umsetzung von DORA erfordert auch eine beträchtliche Investition von Zeit und Ressourcen. Die Durchsetzung des ICT-Risikomanagementrahmens allein kann mehrere Monate in Anspruch nehmen, und eine unzureichende Implementierung kann zu einem signifikanten Verlust an Marktvertrauen und Reputation führen. Darüber hinaus können Compliance-Verstöße zu einer operationalen Störung führen, die die Geschäftsfähigkeit Ihrer Organisation beeinträchtigen kann.

Es ist jedoch nicht nur die finanzielle Belastung, die Unternehmen in Betracht ziehen sollten. Artikel 45 von DORA verlangt, dass Finanzunternehmen ihre Compliance mit den Vorschriften dokumentieren und aufbewahren. Dies bedeutet, dass sie beweisen müssen, dass sie die Anforderungen von DORA erfüllen, was zusätzliche erfordert.

*Quelle: BSI

Why This Is Urgent Now

Die Notwendigkeit, DORA in die Praxis umzusetzen, ist immer dringender. Erstens hat die Europäische Union im Jahr 2023 mehrere Verstöße gegen die bestehenden Vorschriften festgestellt und Strafen von bis zu 20 Millionen EUR verhängt. Diese Fälle haben gezeigt, dass die Finanzbranche noch immer Schwierigkeiten hat, die Anforderungen der EU effektiv zu erfüllen. Zweitens sind die Anforderungen an die Compliance und Sicherheit in der Finanzbranche im Zuge der Digitalisierung gestiegen. Kunden erwarten immer mehr, dass ihre Finanzdienstleister internationale Standards wie SOC 2, ISO 27001 und GDPR einhalten.

Die Umsetzung von DORA ist auch eine Frage der Wettbewerbsfähigkeit. Finanzunternehmen, die die Anforderungen von DORA nicht erfüllen, sind einem Wettbewerbsnachteil ausgesetzt. Sie können nicht nur Strafen und Bußgelder von bis zu 2 Milliarden EUR* riskieren, sondern auch den Verlust von Kunden und Marktanteilen. Schließlich sind Unternehmen, die DORA einhalten, in der Lage, ihre Stärke und Zuverlässigkeit zu demonstrieren, was ein entscheidender Faktor für Kunden ist, die nach sicheren und vertrauenswürdigen Finanzdienstleistungen suchen.

In Anbetracht dieser Herausforderungen ist es an der Zeit, dass Compliance-Teams die Anforderungen von DORA ernst nehmen und eine fundierte Strategie für die Umsetzung entwickeln. Wir werden in den nächsten Teilen dieses Leitfadens genau darauf eingehen, wie Sie dies tun können, um die Compliance mit DORA sicherzustellen und die Risiken für Ihre Organisation zu minimieren. Bleiben Sie dran, um mehr über die Umsetzung von DORA in die Praxis zu erfahren und Ihre Organisation fit für die Zukunft zu machen.

*Quelle: BaFin

The Solution Framework

In der Praxis bedeutet der Umgang mit der Digital Operational Resilience Act (DORA) eine gründliche und proaktive Herangehensweise an die Informations- und Technologie-Risiken. Ein schrittweiser Ansatz, der auf der Compliance-Vorgabe basiert, ist entscheidend für das successfule Implementieren von DORA. In diesem Beitrag bieten wir Ihnen einen Leitfaden, der Ihnen dabei helfen kann, die Anforderungen von DORA zu erfüllen und die Risiken effektiv zu managen.

Schritt 1: Risikobewertung

Als erster Schritt sollten Sie eine umfassende Risikobewertung durchführen, auf der die Artikel 6(1) und 29 Absatz 1 der DORA basiert. Hierbei sollten Sie alle relevanten ICT-Risiken identifizieren und bewerten, einschließlich technologischer, betrieblicher und strategischer Risiken. Diese Bewertung sollte auch die potenziellen Auswirkungen auf die Geschäftsprozesse und -strategien Ihres Unternehmens sowie die potenziellen Effekte auf die europäische Wirtschaft und den Verbraucherschutz berücksichtigen.

Schritt 2: ICT-Risikostammdaten

Nach der Risikobewertung sollten Sie, basierend auf Artikel 6(1) der DORA, ein ICT-Risikostammdatensystem einrichten. Dieses System sollte in der Lage sein, alle relevanten Risikoinformationen zu speichern und aufzubewahren. Es sollte auch Mechanismen zur Überwachung und Bewertung der ICT-Risiken beinhalten, die ständig967 aktualisiert werden müssen.

Schritt 3: Risikomanagementstrategie

Die dritte Phase beinhaltet die Entwicklung einer umfassenden Risikomanagementstrategie gemäß Artikel 29 Absatz 1 der DORA. Diese Strategie sollte spezifische Maßnahmen zur Identifizierung, Bewertung, Überwachung und Beherrschung der ICT-Risiken beinhalten. Sie sollte auch die Verantwortlichkeiten und Rollen innerhalb des Unternehmens klar definieren und die Kommunikations- und Eskalationswege klären.

Schritt 4: Audit und Überwachung

In der vierten Phase sollte regelmäßige Audits und Überwachungen durchgeführt werden, um die Effektivität der Implementierung von DORA zu bewerten. Dies schließt die Prüfung der Compliance mit den Anforderungen der DORA und die Bewertung der Identifikations- und Bewertungsmechanismen ein. Hierbei sollten Sie ständig auf neue Technologien und potenzielle Risiken achten, die sich entwickeln können.

Ein gutes Beispiel für die Umsetzung von DORA, im Gegensatz zu einer bloßen "Bestehensquote", würde eine konsequente Integration der Compliance-Maßnahmen in die Geschäftsprozesse Ihres Unternehmens umfassen. Dies bedeutet, dass Compliance nicht nur als nachträgliche Reaktion auf Gesetzesänderungen, sondern als integraler Bestandteil der strategischen Planung und Entscheidungsfindung in Ihrem Unternehmen betrachtet wird.

Common Mistakes to Avoid

Es ist wichtig, zu verstehen, welche Fehler Unternehmen häufig machen, wenn sie versuchen, die Anforderungen von DORA umzusetzen. Hier sind die häufigsten Fehler und Empfehlungen, wie Sie diese vermeiden können:

Fehler 1: Unzureichende Risikobewertung

Viele Organisationen führen eine oberflächliche Risikobewertung durch und identifizieren nicht alle relevanten Risiken. Dies kann dazu führen, dass wichtige Aspekte der ICT-Risiken außer Acht gelassen werden. Stattdessen sollten Sie, wie in Artikel 29 Absatz 1 der DORA gefordert, eine umfassende Risikobewertung durchführen, die alle Aspekte Ihrer Geschäftstätigkeit abdeckt.

Fehler 2: Fehlende oder unzureichende Risikokommunikation

In einigen Fällen kommunizieren Unternehmen ihre Risikobewertungen und -strategien nicht effektiv mit den relevanten Stakeholdern. Dies kann zu Missverständnissen und einer unzureichenden Compliance führen. Wie in Artikel 6(1) der DORA gefordert, sollten Sie eine sorgfältige Kommunikationsstrategie entwickeln, die alle Interessengruppen berücksichtigt.

Fehler 3: Unzureichende Überwachung und Audit

Ein weiterer häufiger Fehler ist die unzureichende Überwachung und Audit der Implementierung von DORA. Unternehmen, die diesen Fehler machen, schaffen oft keine Mechanismen, um die Effektivität ihrer Compliance-Maßnahmen zu überprüfen. Aufgrund der Anforderungen der DORA sollten Sie regelmäßige Audits und Überwachungen einrichten, um sicherzustellen, dass Ihre Vorkehrungen den gesetzlichen Anforderungen entsprechen.

Tools and Approaches

Die Entscheidung, welches Tool oder welche Herangehensweise Sie zum Erfüllen der DORA-Anforderungen verwenden, hängt von verschiedenen Faktoren ab, wie der Größe Ihres Unternehmens, der Komplexität Ihrer Geschäftstätigkeit und der verfügbaren Ressourcen.

Manuelle Herangehensweise

Die manuelle Herangehensweise hat den Vorteil, dass sie flexibel und anpassbar ist. Sie erlaubt es Ihnen, auf spezifische Anforderungen einzugehen und einen persönlichen Anspruch in die Compliance-Maßnahmen aufzunehmen. Allerdings hat sie auch ihre Nachteile, wie die potenzielle Ungenauigkeit und die hohe Zeit- und Kostenintensivität der manuellen Compliance-Maßnahmen.

Spreadsheet/GRC-Lösungen

Spreadsheet- oder Governance, Risk and Compliance (GRC)-Lösungen bieten eine automatisiertere Methode als die rein manuelle Herangehensweise. Sie ermöglichen Ihnen, Daten zentral zu speichern und zu verwalten. Ihre Hauptbeschränkung ist jedoch, dass sie oft nicht in der Lage sind, die dynamischen Anforderungen von DORA vollständig abzudecken, insbesondere bei der Bewältigung von Technologierisiken und der Integration in die operativen Prozesse.

Automatisierte Compliance-Plattformen

Automatisierte Compliance-Plattformen wie Matproof bieten eine Vielzahl von Vorteilen. Sie können z. B. die Automatisierung von Compliance-Maßnahmen und die Sammlung von Compliance-Belegen von Cloud-Anbietern ermöglichen. Sie bieten auch eine 100%ige Datenaufbewahrung in der EU und sind speziell auf die Bedürfnisse der europäischen Finanzdienstleistungsbranche zugeschnitten. Wichtige Aspekte, die Sie bei der Auswahl einer automatisierten Compliance-Plattform berücksichtigen sollten, sind die Benutzerfreundlichkeit, die Fähigkeit zur Integration in Ihre bestehenden Systeme und die Fähigkeit, regulatorische Änderungen schnell und effektiv zu implementieren.

Zusammenfassend ist es entscheidend, dass Sie Ihre Entscheidung basierend auf Ihren spezifischen Anforderungen treffen. Automatische Tools können eine enorme Hilfe sein, insbesondere wenn es darum geht, die Komplexität zu reduzieren und die Effizienz zu steigern, aber sie sollten nicht als Einheitslösung für alle Compliance-Herausforderungen angesehen werden. Die beste Compliance-Strategie ist eine, die eine Kombination aus manuellen und automatisierten Tools beinhaltet und auf Ihre individuellen Bedürfnisse abgestimmt ist.

Getting Started: Ihre nächsten Schritte

Um mit der Umsetzung von DORA erfolgreich zu beginnen, haben Sie eine klare Aktionsplan mit fünf Schritten, die Sie in dieser Woche umsetzen können:

1. Lernen Sie die Anforderungen genau kennen: Lesen Sie die offiziellen Veröffentlichungen der EU und der BaFin über DORA, um die gesetzlichen Anforderungen zu verstehen. Hier sind einige Ressourcen, die Ihnen helfen können:

• Die richtige DORA-Verordnung auf der EU-Website, um die Details der gesetzlichen Bestimmungen zu erfassen.
• Die DORA-Leitlinien der BaFin, für Implementierungsanweisungen und Best Practices.

2. Einhalten der Compliance-Frameworks: Bewerten Sie Ihre aktuellen ICT-Risikobewertungsmethoden und stellen Sie sicher, dass sie den DORA-Anforderungen entsprechen.

3. Identifizieren Sie kritische Bereiche: Suchen Sie nach Schwachstellen in Ihrem aktuellen Compliance-System und identifizieren Sie Bereiche, die sofortiges Handeln erfordern.

4. Bedarfsanalyse für externe Unterstützung: Beurteilen Sie, ob Sie externe Expertise benötigen, um die Umsetzung zu beschleunigen und die Effizienz zu erhöhen.

5. Erstellen eines detaillierten Compliance-Plans: Entwickeln Sie einen Roadmap, der genaue Ziele und Zeitpläne für die Erfüllung der DORA-Anforderungen enthält.

Als schnelles Erfolgserlebnis können Sie innerhalb der nächsten 24 Stunden eine schnelle Audit der aktuellen Compliance-Status und die Identifikation von sofortigen Aktionen starten, um die DORA-Richtlinie anzupassen.

Häufig gestellte Fragen

Frage 1: Welche Bereiche unserer Organisation müssen wir bei der DORA-Umsetzung prioritär berücksichtigen?

Antwort: DORA Artikel 6(1)Sie müssen Ihre ICT-Risikobewertung überprüfen und sicherstellen, dass sie alle Anforderungen der DORA-Verordnung erfüllt. Dies umfasst die IT-Sicherheit, Data Protection gemäß GDPR, die Geschäftskontinuität sowie die Organisationsstruktur. Sie sollten auch die Auswirkungen einer möglichen Krise oder eines Cyber-Angriffes bewerten und einen Plan zur Krisenbewältigung haben.

Frage 2: Wie kann ich sicherstellen, dass meine Organisation den Datenschutzbestimmungen von DORA folgt?

Antwort: Für den Datenschutz ist Artikel 28 der DORA von Bedeutung. Sie müssen einen verantwortlichen Datenschutzbeauftragten bestellen, der für die Einhaltung der Datenschutzgesetze und die Beratung der Organisation in Bezug auf mögliche Verletzungen zuständig ist. Darüber hinaus müssen Sie einen Datenschutzbeauftragten bestellen, falls Ihre Organisation mehr als 250 Mitarbeiter hat oder wenn die Verarbeitung von Daten eines Risiko für die Rechte und Freiheiten der betroffenen Personen darstellt.

Frage 3: Muss ich externe Beratung einholen oder kann ich dies intern bearbeiten?

Antwort: Die Entscheidung, ob Sie externe Beratung einholen oder die Umsetzung intern vornehmen, hängt von Ihrer Organisationsgröße, Ihrer aktuellen Compliance-Richtlinie und Ihren Ressourcen ab. Wenn Ihre Organisation in der Vergangenheit mit ähnlichen Compliance-Frameworks gearbeitet hat und über ausreichend interne Expertise verfügt, können Sie die Umsetzung intern organisieren. Andernfalls ist es ratsam, externe Experten zu beauftragen, die spezialisierte Wissen in Bezug auf die DORA-Anforderungen haben und Ihnen helfen können, den Prozess effizient und rechtzeitig zu beenden.

Frage 4: Wie kann ich die Zusammenarbeit zwischen Compliance Teams und IT-Abteilungen bei der Umsetzung von DORA verbessern?

Antwort: Eine effektive Zusammenarbeit zwischen Compliance Teams und IT-Abteilungen ist entscheidend, um die DORA-Richtlinie erfolgreich umzusetzen. Legen Sie einen interdisziplinären Kommunikationskanal auf, der es den Teams ermöglicht, ihre Anliegen, Herausforderungen und Fortschritte untereinander zu teilen. Organisieren Sie Workshops und Schulungen, um das Verständnis für die DORA-Anforderungen sowohl in der Compliance- als auch in der IT-Abteilung zu verbessern. Stellen Sie sicher, dass sowohl Compliance als auch IT klare Rollen und Verantwortlichkeiten haben und dass sie bei der strategischen Planung und Umsetzung eng zusammenarbeiten.

Frage 5: Wie kann ich die Effizienz der Compliance-Überprüfungen und -Bewertungen erhöhen?

Antwort: Die Effizienz von Compliance-Überprüfungen und -Bewertungen kann durch die Nutzung von Technologie verbessert werden, insbesondere durch automatisierte Tools wie das Compliance-Automatisierungs-System von Matproof. Mit AI-gestützter Richtlinienerstellung, automatisierter Beweismittelsammlung von Cloud-Providern und Endpunkt-Compliance-Agenten zur Geräteüberwachung können Sie Ihre Compliance-Arbeitsabläufe optimieren und Zeit sparen. Gerade für kleinere Organisationen oder wenn Sie mit begrenzten Ressourcen arbeiten, können solche Tools die Compliance-Überprüfungen und -Bewertungen erheblich vereinfachen und effektiver gestalten.

Schlüsselbotschaften

Um die DORA-Richtlinie erfolgreich umzusetzen, ist es entscheidend, die gesetzlichen Anforderungen gründlich zu verstehen und einen klaren Aktionsplan für die Umsetzung zu entwickeln. Zusammenarbeit und Kommunikation zwischen Compliance-Teams und IT-Abteilungen sind essentiell. Technologische Hilfe wie die von Matproof können Ihnen dabei helfen, die Compliance-Arbeitsabläufe zu optimieren und die Erfüllung der DORA-Anforderungen effizienter zu gestalten. Wenn Sie Hilfe bei der Umsetzung von DORA benötigen, bietet Matproof eine kostenlose Bewertung an.