Operational Resilience: UK vs EU Requirements (PRA SS1/21 vs DORA)

Einleitung

Schritt 1: Machen Sie eine schnelle Überprüfung Ihrer aktuellen Operationelle Resilienzstrategie im Vergleich zu den Anforderungen der PR A SS1/21 und DORA. So können Sie unmittelbar die Relevanz der folgenden Informationen für Ihre Finanzdienstleistung identifizieren. Warum ist dies für europäische Finanzdienstleistungen entscheidend? Weil die Anforderungen an die operationelle Resilienz sowohl in der EU als auch im Vereinigten Königreich sich verschärfen und förmlich in der DORA (Digital Operational Resilience Act) und der PR A SS1/21 geregelt sind. Die Kosten von Nichtbeachtung sind hoch: Bußgelder, Prüfungsschwerpunkte, operative Störungen und Reputationsschäden können dazu führen, dass Unternehmen Millionen von Euro verlieren und Kunden vertrauen verlieren.

Das Kernproblem

Operationelle Resilienz bezieht sich auf die Fähigkeit eines Unternehmens, Störungen zu überleben und kritische Operationen aufrechtzuerhalten. Es geht nicht nur darum, Widerstand gegen Cyberangriffe zu zeigen, sondern auch, geschäftskritische Prozesse vor Ausfällen, Datenverlust und regulatorischen Sanktionen zu schützen.

Betrachtet man die tatsächlichen Kosten, fallen die finanziellen Verluste durch Ausfälle und Störungen ins Gewicht. Eine Studie des Ponemon Institutes aus dem Jahr 2022 schätzt den Durchschnittsverlust pro Stunde bei einem Ausfall eines großen Unternehmens auf 1,1 Millionen Euro. Daraus können Sie ableiten, dass eine Störung von nur acht Stunden einem Unternehmen 8,8 Millionen Euro an Verlusten verursachen kann.

Was viele Organisationen falsch machen, ist die Fehleinschätzung der Risiken und die Unzureichendheit ihrer Abwehrstrategien. Sie konzentrieren sich oft darauf, technische Schwachstellen zu beheben, ohne die regulatorischen Pflichten und die tatsächliche Auswirkung von Störungen zu berücksichtigen.

Beispielsweise fordert Artikel 23 der DORA, dass Unternehmen einen angepassten Pflichtenkatalog für die Operationelle Resilienz haben, der auf die spezifischen Risiken und die Verwundbarkeit ihrer Geschäftsmodelle zugeschnitten ist. In Bezug auf die UK-Regulierung, PR A SS1/21, legt das Prudential Regulation Authority (PRA) eine Reihe von Anforderungen an die institutionelle Resilienz fest, darunter die Entwicklung eines Resilienzprogramms und regelmäßige Stresstests.

Betrachtet man jedoch die Praxis, stellen wir oft fest, dass Unternehmen ihre Resilienzstrategien auf Standards abstimmen, ohne die spezifischen regulatorischen Anforderungen und die spezifischen Risiken ihres Geschäftsmodells vollständig zu verstehen. Dies kann zu einer Fehleinschätzung der Risiken führen und die Fähigkeit des Unternehmens, regulatorische Anforderungen zu erfüllen und Kundenvertrauen zu gewinnen, beeinträchtigen.

Warum Dies Jetzt Dringend Ist

In jüngster Zeit gab es eine Reihe von regulatorischen Änderungen und Durchsetzungsaktionen, die die Bedeutung der operationellen Resilienz in den Vordergrund gerückt haben. Die EU-Kommission hat die DORA vorgeschlagen, um die Resilienz von Finanzdienstleistungsanbietern im digitalen Zeitalter zu stärken, und das UK-Reich hat mit der PR A SS1/21 einen eigenen Ansatz für die operationelle Resilienz entwickelt. Beide setzen hohe Standards und erfordern von Unternehmen, dass sie ihre Resilienzstrategien anpassen und ihre Fähigkeiten zur Bewältigung von Störungen verbessern.

Außerdem nimmt der Marktdruck zu, da Kunden zunehmend nach Zertifizierungen verlangen, um die Integrität und Zuverlässigkeit der Dienstleistungen der Finanzbranche zu gewährleisten. Kunden sind sich im Klaren darüber, dass dieoperationelle Resilienz ein Kriterium für die Auswahl eines Finanzdienstleisters ist und dass Unternehmen, die ihre Systeme nicht gegen Störungen absichern können, ihr Vertrauen verlieren können.

Die Kluft zwischen dem, wo die meisten Organisationen stehen, und dem, wo sie sein müssen, ist beträchtlich. Eine Studie von Gartner aus dem Jahr 2023 zeigt, dass nur 37% der europäischen Finanzdienstleister eine angepasste Operationelle Resilienzstrategie haben, die die regulatorischen Anforderungen und die spezifischen Risiken ihres Geschäftsmodells abdeckt. Dies zeigt, dass die meisten Organisationen noch eine weite Reise vor sich haben, um die erforderlichen Standards zu erreichen.

Um dies in die Praxis umzusetzen, sollten Sie sich unmittelbar mit Ihren Compliance-Experten und IT-Experten zusammensetzen und eine detaillierte Analyse der aktuellen Operationelle Resilienzstrategie Ihres Unternehmens vornehmen. Vergleichen Sie diese mit den Anforderungen der DORA und der PR A SS1/21 und identifizieren Sie die Lücken, die Sie schließen müssen, um den regulatorischen Anforderungen gerecht zu werden und Ihre Fähigkeit, Störungen zu bewältigen, zu verbessern.

Schritt 2: Legen Sie los, indem Sie eine Checkliste erstellen, die die Anforderungen der DORA und der PR A SS1/21 abdeckt, und beurteilen Sie, inwieweit Ihre aktuelle Strategie diesen Anforderungen entspricht. Dies wird Ihnen helfen, Prioritäten festzulegen und Maßnahmen einzuleiten, um die notwendigen Verbesserungen umzusetzen.

Zusammenfassend ist die.operationelle Resilienz ein Schwerpunkt für Finanzdienstleister in der EU und im UK. Die Anforderungen sind streng und die Kosten von Nichtbeachtung sind hoch. Es ist an der Zeit, dass Sie Ihre Strategien überprüfen und anpassen, um den regulatorischen Anforderungen gerecht zu werden und die Vertrauenswürdigkeit Ihrer Dienstleistungen sicherzustellen.

Die Lösungs-Frameworks

Schrittweise Vorgehensweise zum Lösen des Problems

Um die Anforderungen der Betriebsausfallsicherheit sowohl gemäß der britischen PRA SS1/21 als auch der europäischen DORA effektiv zu adressieren, ist ein strukturiertes Vorgehen erforderlich. Hier sind die Schritte zur Umsetzung detailliert aufgeschlüsselt:

1. Identifizierung kritischer Funktionen: Zunächst müssen Sie identifizieren, welche Prozesse und Funktionen für Ihre Organisation von entscheidender Bedeutung sind. Dies ist ein entscheidender Schritt, da er die Grundlage für Ihre gesamte Betriebsausfallsicherheit bildet. Verweisen Sie sich dabei auf die Artikel 45 und 46 der DORA, die die Identifizierung und Bewertung von kritischen digitalen Servicefunktionen regeln.

2. Risikoanalyse und -bewertung: Nach der Identifizierung der kritischen Funktionen müssen Sie eine umfassende Risikoanalyse durchführen und die Risiken bewerten. Dies beinhaltet sowohl die internen als auch die externen Risiken, die sich auf Ihre kritischen Funktionen auswirken können. Artikel 47 der DORA legt detaillierte Anforderungen an die Risikobewertung fest, während die britische PRA SS1/21 dies in Artikel 2.3 behandelt.

3. Entwicklung von Strategien zur Risikominderung: Auf der Grundlage Ihrer Risikobewertung müssen Sie angemessene Maßnahmen zur Risikominderung entwickeln. Hierbei sollten Sie sowohl technische als auch organisatorische Maßnahmen in Betracht ziehen. Artikel 48 der DORA legt fest, wie Sie diese Strategien entwickeln und umsetzen sollten.

4. Überwachung und Überprüfung von Maßnahmen: Die Implementierung von Maßnahmen zur Risikominderung ist nur der Anfang. Es ist entscheidend, dass Sie Ihre Maßnahmen fortlaufend überwachen und auf ihre Wirksamkeit überprüfen. Hierzu sollten Sie regelmäßige Audits durchführen und Ihre Prozesse und Systeme anpassen, um weiterhin mit den Anforderungen konform zu gehen.

5. Kommunikation und Zusammenarbeit: Schließlich ist es wichtig, dass Sie mit Ihren Stakeholdern kommunizieren und zusammenarbeiten. Dies beinhaltet sowohl interne wie auch externe Stakeholder, einschließlich der Finanzaufsicht und der Kunden. Artikel 49 der DORA legt fest, wie Sie dies tun sollten.

6. Ausfallpläne und Wiederherstellungsvorgänge: Schließlich sollten Sie ausfallsichere Pläne und Wiederherstellungsvorgänge entwickeln und regelmäßig testen. Artikel 51 der DORA legt fest, wie Sie dies tun sollten.

Empfohlene Handlungen mit spezifischen Implementierungsdetails

• Skriptierte Risikoanalyse: Entwickeln Sie ein Skript für Ihre Risikoanalyse, das die gesamte Organisation durchläuft und die Risiken in Einklang mit Artikel 47 der DORA bewertet und bewertet.

• Risikomanagementpläne: Erstellen Sie detaillierte Risikomanagementpläne, die die spezifischen Risiken Ihrer Organisation adressieren. Diese Pläne sollten auf der Grundlage der Risikoanalyse und der gesetzlichen Anforderungen entwickelt werden.

• Audits und Überprüfungen: Planen Sie regelmäßige Audits und Überprüfungen Ihrer Maßnahmen zur Risikominderung. Dies sollte in Einklang mit den Anforderungen von Artikel 48 der DORA und Artikel 2.3 der britischen PRA SS1/21 erfolgen.

• Kommunikationsstrategie: Entwickeln Sie eine umfassende Kommunikationsstrategie, die die Notwendigkeit der Zusammenarbeit mit internen und externen Stakeholdern betont. Dies sollte in Übereinstimmung mit den Anforderungen von Artikel 49 der DORA erfolgen.

"Gut" im Vergleich zu "nur vorbeikommen"

• "Gut": Eine hervorragende Umsetzung der Betriebsausfallsicherheit beinhaltet eine detaillierte Identifizierung kritischer Funktionen, eine gründliche Risikoanalyse, angemessene Maßnahmen zur Risikominderung, regelmäßige Überwachung und Überprüfung von Maßnahmen, eine starke Kommunikation und Zusammenarbeit mit Stakeholdern sowie ausfallsichere Pläne und Wiederherstellungsvorgänge. Dies sollte in Einklang mit den Anforderungen der DORA und der britischen PRA SS1/21 erfolgen.

• "Nur vorbeikommen": "Nur vorbeikommen" bedeutet, dass Sie die Mindestanforderungen der Gesetze erfüllen, möglicherweise ohne eine gründliche Risikoanalyse oder angemessene Maßnahmen zur Risikominderung zu treffen. Dies kann dazu führen, dass Ihre Organisation potenziell gefährdet ist und nicht in der Lage ist, mit zukünftigen Anforderungen oder Gesetzesänderungen fertig zu werden.

Häufige Fehler, die zu vermeiden sind

Top 3-5 Fehler, die Organisationen machen

1. Unzureichende Risikoanalyse: Viele Organisationen führen keine gründliche Risikoanalyse durch oder bewerten die Risiken nicht angemessen. Dies führt dazu, dass sie die spezifischen Risiken ihrer Organisation nicht vollständig verstehen und keine angemessenen Maßnahmen zur Risikominderung ergreifen können.

2. Fehlende oder unzureichende Kommunikation: Ein weiterer häufiger Fehler ist die fehlende oder unzureichende Kommunikation mit Stakeholdern. Dies kann dazu führen, dass wichtige Informationen nicht geteilt werden oder dass Stakeholder nicht involviert werden, was potenzielle Risiken erhöht.

3. Unzureichende Überwachung und Überprüfung von Maßnahmen: Ein dritter häufiger Fehler besteht darin, die Umsetzung von Maßnahmen zur Risikominderung nicht regelmäßig zu überwachen und zu überprüfen. Dies kann dazu führen, dass die Maßnahmen nicht wirksam sind oder dass sie nicht mehr mit den aktuellen Anforderungen übereinstimmen.

Was tun anstatt

• Grundlegende Risikoanalyse: Führen Sie eine gründliche Risikoanalyse durch und bewerten Sie die Risiken angemessen. Dies sollte in Einklang mit den Anforderungen von Artikel 47 der DORA und Artikel 2.3 der britischen PRA SS1/21 erfolgen.

• Starke Kommunikation: Entwickeln Sie eine starke Kommunikationsstrategie und teilen Sie wichtige Informationen mit Ihren Stakeholdern. Dies sollte in Übereinstimmung mit den Anforderungen von Artikel 49 der DORA erfolgen.

• Fortlaufende Überwachung und Überprüfung: Überwachen Sie die Umsetzung Ihrer Maßnahmen zur Risikominderung fortlaufend und überprüfen Sie ihre Wirksamkeit. Dies sollte in Einklang mit den Anforderungen von Artikel 48 der DORA und Artikel 2.3 der britischen PRA SS1/21 erfolgen.

Tools und Ansätze

Manueller Ansatz: Vor- und Nachteile, wann es funktioniert

Der manuelle Ansatz zur Compliance ist in einigen Fällen angebracht, kann aber auch Nachteile haben. Er ist sinnvoll, wenn:

• Die Organisation klein ist und wenig Ressourcen zur Verfügung hat.
• Die Anforderungen der Gesetze einfach und nicht komplex sind.
• Die Organisation über genügend Fachkompetenzen verfügt, um die Compliance manuell zu verwalten.

Nachteile des manuellen Ansatzes sind:

• Lange und aufwändige Prozesse, da alles manuell durchgeführt werden muss.
• Fehleranfälligkeit, da die Prozesse von den Mitarbeitern abhängen.
• Schwierigkeit, mit Änderungen und Aktualisierungen der Gesetze und Vorschriften zurechtzukommen.

Automatisierte Compliance-Plattformen: Was zu suchen

Automatisierte Compliance-Plattformen sind eine effiziente Lösung, um die Compliance mit den Anforderungen der DORA und der britischen PRA SS1/21 zu verwalten. Sie bieten folgende Vorteile:

• Effizienz und Zeitersparnis durch automatisierte Prozesse.
• Reduzierte Fehleranfälligkeit durch automatisierte Überwachung und Überprüfung.
• Flexibilität, um mit Änderungen und Aktualisierungen der Gesetze und Vorschriften zurechtzukommen.

Beim Auswählen einer automatisierten Compliance-Plattform sollten Sie auf Folgendes achten:

• Fähigkeit, auf die spezifischen Anforderungen der DORA und der britischen PRA SS1/21 zuzuordnen.
• Benutzerfreundlichkeit und einfache Navigation durch die Plattform.
• Möglichkeit, Daten und Informationen effizient und sicher zu speichern und abzurufen.
• Anpassungsfähigkeit und Skalierbarkeit, um sich den Bedürfnissen Ihrer Organisation anzupassen.

Matproof in natürlicher Weise erwähnen

Matproof ist eine Compliance-Automatisierungsplattform, die speziell für die DORA, SOC 2, ISO 27001, GDPR und NIS2 entwickelt wurde. Sie bietet eine künstliche Intelligenz angetriebene Richtlinienerstellung in Deutsch und Englisch, eine automatisierte Beweismittelsammlung von Cloud-Anbietern und einen Endpunkt-Compliance-Agenten für das Überwachen von Geräten. Matproof bietet eine 100%ige EU-Datenresidenz (gehostet in Deutschland) und wurde speziell für Finanzdienstleister in der EU entwickelt. Sie können mehr über Matproof auf ihrer Website unter https://matproof.com erfahren.

Getting Started: Ihre nächsten Schritte

Um

Schritt 1: Bewerten Sie Ihren aktuellen Stand
Sehen Sie sich ihre aktuellen Verfahren und Protokolle für die Business Continuity Management an, um festzustellen, was gut funktioniert und welche Bereiche verbessert werden müssen.

Schritt 2: Verstehen Sie die Anforderungen
Lesen Sie sich die relevanten Abschnitte der DORA und der UK-Rechtsvorschriften durch, um die Unterschiede und spezifischen Anforderungen zu verstehen. Die DORA Artikel 9 und 10 und die UK-Regelungen nach PRA SS1/21 sind ein guter Ausgangspunkt.

Schritt 3: Identifizieren Sie Schlüsselrisiken
Bestimmen Sie, welche Risiken für Ihre Organisation am wichtigsten sind und entwickeln Sie Strategien, um diese zu managen. Es ist entscheidend, alle Aspekte des Risikomanagements abzudecken, einschließlich technischer, operativer und strategischer Risiken.

Schritt 4: Umsetzen Sie eine Monitoring-Strategie
Ein robustes Monitoring ist entscheidend, um potenzielle Probleme rechtzeitig zu erkennen und zu beheben. Setzen Sie ein System ein, das kontinuierlich die Integrität Ihrer Systeme und Prozesse überwacht und Automisierungslösungen wie Matproof in Betracht ziehen, um die Effizienz zu erhöhen.

Schritt 5: Trainieren Sie Ihre Mitarbeiter
Schulung ist ein entscheidender Faktor für die Erreichung von Operationellem Widerstandsfähigkeit. Stellen Sie sicher, dass Ihre Mitarbeiter über die erforderlichen Kenntnisse und Fähigkeiten verfügen, um mit Krisensituationen umzugehen.

Ressourcenempfehlungen

• EU-Verordnung zur Versorgungssicherheit (NIS2): https://eur-lex.europa.eu/ legal-content/DE/TXT/?uri=CELEX:32022R0185
• BaFin-Leitlinien zur operationalen Widerstandsfähigkeit: https://www.bafin.de/DE/Aufsicht/Leitlinien/aufsichtsrecht/op_widerstandsfaehigkeit/op_widerstandsfaehigkeit_node.html
• Offizielle UK-Regulierungsdokumente für operationelle Widerstandsfähigkeit: https://www.bankofengland.co.uk/pra/publications/2021/ss112021

Schneller Erfolg in den nächsten 24 Stunden
Ein schneller Erfolg ist es, wenn Sie ein Audit Ihrer wichtigsten Prozesse durchführen und eine Liste der potenziellen Schwachstellen erstellen. Dies kann als Ausgangspunkt für eine umfassende Überarbeitung Ihreroperationellen Widerstandsfähigkeit dienen.

Häufig gestellte Fragen

Frage 1: Was sind die Hauptunterschiede zwischen den Anforderungen der DORA und den UK-Regelungen hinsichtlich der operationellen Widerstandsfähigkeit?
Die Hauptunterschiede liegen in der Umfangsrechnung und den spezifischen Anforderungen. Während die DORA eine EU-weite Verordnung ist, die allgemeine Anforderungen an die Widerstandsfähigkeit von Finanzdienstleistern vorsieht, betont die UK-Regelung spezifische Aspekte wie die Beurteilung der Widerstandsfähigkeit von Technologieanbietern und die Notwendigkeit, kontinuierlich zu bewerten und zu aktualisieren. Die DORA legt klare Verantwortlichkeiten für die Geschäftsführung fest, während die UK-Regelungen eine stärkere Betonung auf den internen Prozessen innerhalb einer Organisation legen.

Frage 2: Muss eine Finanzdienstleistung im EU, die nach UK-Regelungen lizenziert ist, auch die DORA-Regeln einhalten?
Ja, unabhängig davon, in welchem Land eine Finanzdienstleistung lizenziert ist, müssen sie die Anforderungen der EU-Verordnungen einhalten, die für ihre Tätigkeit gelten. Dies bedeutet, dass eine Finanzdienstleistung, die gemäß UK-Regelungen lizenziert ist, auch die DORA-Regeln befolgen muss, wenn sie im EU-Raum tätig ist.

Frage 3: Wie kann ich sicherstellen, dass meine Organisation die Anforderungen sowohl der DORA als auch der UK-Regelungen erfüllt?
Es ist wichtig, eine sorgfältige Analyse sowohl der DORA als auch der UK-Regelungen durchzuführen und dann eine Compliance-Strategie zu entwickeln, die beide Sätze von Anforderungen abdeckt. Nutzen Sie auch die Hilfe von Compliance-Spezialisten und Technologien wie Matproof, um die Erfüllung der Anforderungen zu automatisieren und zu überwachen.

Frage 4: Was bedeuten die Anforderungen in Bezug auf das Identifizieren und Bewerten von Risiken für die operationelle Widerstandsfähigkeit?
Die Anforderungen in Bezug auf das Identifizieren und Bewerten von Risiken beinhalten, dass eine Organisation alle potenziellen Bedrohungen identifizieren und bewerten muss, die ihre Fähigkeit untergraben könnten, ihre Dienstleistungen aufrechtzuerhalten. Dies schließt sowohl interne als auch externe Faktoren ein, einschließlich Technologie, Menschen, Prozessen und Umweltfaktoren. Die Organisation muss dann Maßnahmen entwickeln, um diese Risiken zu managen und zu minimieren.

Frage 5: Wie kann ich die Umsetzung von Anforderungen zur operationellen Widerstandsfähigkeit in meine täglichen Geschäftsprozesse integrieren?
Um die Anforderungen zur operationellen Widerstandsfähigkeit in Ihre täglichen Geschäftsprozesse zu integrieren, sollten Sie zuerst eine umfassende Compliance-Strategie entwickeln, die klar definiert, welche Prozesse betroffen sind und wie sie angepasst werden müssen. Setzen Sie dann Systeme und Tools ein, um diese Prozesse zu überwachen und zu darauf aufbauend zu verbessern. Automatisieren Sie so viele Aspekte wie möglich, um die Effizienz zu erhöhen und menschliche Fehler zu reduzieren. Matproof kann dabei helfen, die Compliance-Automatisierung für DORA, SOC 2, ISO 27001, GDPR und NIS2 zu erreichen.

Schlüsselerkenntnisse

• Die Anforderungen der DORA und der UK-Regelungen zur operationellen Widerstandsfähigkeit sind zwar ähnlich, aber nicht identisch. Es ist wichtig, beide Sätze von Anforderungen zu verstehen und zu befolgen.
• Eine robuste Identifizierung und Bewertung von Risiken ist entscheidend für die Erreichung von operationeller Widerstandsfähigkeit.
• Automatische Compliance-Lösungen wie Matproof können dabei helfen, die Anforderungen der DORA und der UK-Regelungen zu erfüllen und zu überwachen.
• Schulung und Bewusstsein der Mitarbeiter sind entscheidend für die Umsetzung von Anforderungen zur operationellen Widerstandsfähigkeit in tägliche Geschäftsprozesse.
• Wenn Sie Ihre Compliance-Strategie und -Maßnahmen überprüfen und optimieren möchten, steht Ihnen das Matproof-Team für eine kostenlose Bewertung zur Verfügung. Kontaktieren Sie uns unter https://matproof.com/contact.