Wie gut ist die Finanzbranche mittlerweile auf DORA vorbereitet? Auf welche Herausforderungen bei der Umsetzung müssen sich die Verantwortlichen einstellen? Und wie lassen sich die Berichtspflichten der Verordnung mithilfe von smarten Tools erfüllen? Darüber diskutierten Thorsten Breuer, Managing Partner (CEO) & Founder der Kolibri Advisory & Services GmbH i.G., und Robin Schmeisser, Geschäftsführer der Fabasoft Contracts GmbH, im Handelsblatt How To Business-Webinar „Der Countdown läuft: DORA im Finanzsektor effizient umsetzen mit digitalem Management der IT-Dienstleister“.
Wie gut sind Finanzunternehmen auf DORA vorbereitet?
Auch wenn die Umsetzungsfrist mit 17. Januar 2025 in greifbare Nähe rückt, lassen sich aktuell unterschiedliche Vorbereitungsstände in der Branche erkennen. Grundsätzlich unterliegt die Finanzindustrie bereits strenger Regulatorik (bspw. in Deutschland durch die MaRisk) und hat dementsprechend gute Mechanismen zur Anpassung an Gesetzesänderungen etabliert. Je größer dabei der Betrieb und je höher die Geschäftsfrequenz, desto besser wären die Unternehmen in der Realität vorbereitet, meint Thorsten Breuer.
Dennoch sieht der Experte beim Thema Cybersecurity noch einigen Aufholbedarf. Grund ist das fehlende Management der Abhängigkeiten, die sich aus dem hohen Vernetzungsgrad und den digitalen Geschäftsmodellen der Finanzunternehmen ergeben. So galt der Bereich Cybersecurity bisher eher als „Pflichtthema“ und fand wenig Verständnis und Auseinandersetzung außerhalb der IT-Abteilungen. Dies wird sich unweigerlich durch die Ausweitung der Verantwortlichkeiten von DORA ändern.
Wer haftet im Falle einer Nichteinhaltung der DORA-Vorgaben?
Laut Breuer ließe sich aktuell auf EU-Ebene vermehrt das Ziel erkennen, die oberste Führungsebene in die Verantwortung für die Erfüllung regulatorischer Vorgaben zu nehmen, siehe u. a. NIS2. Auch bei DORA wird das Thema Cybersecurity nun zur Chefsache. Bei Nichteinhaltung drohen strenge Sanktionen. Neben erheblichen Geldstrafen kann eine Verletzung der Sorgfaltspflichten sogar zur Suspendierung von Geschäftsführer:innen und Vorständ:innen führen, wenn das Unternehmen beispielsweise die entsprechenden jährlichen Prüfungen nicht besteht. „Die Regelung trifft die Hauptentscheider:innen damit auch auf persönlicher Ebene und sorgt so für die notwendige Execution“, ergänzt Schmeisser.
Welche Informationen müssen Finanzunternehmen gemäß DORA berichten?
Eine wesentliche Säule von DORA bildet das Management der IKT-Dienstleister. Die EU-Verordnung verpflichtet Finanzunternehmen dazu, jegliche bezogenen IT-Services lückenlos und transparent in Form eines Informationsregisters zu dokumentieren. Dieses relationale Datenmodell muss umfangreiche Angaben zu den Lieferanten und IT-Dienstleistungen enthalten, darunter sämtliche Verträge sowie verschiedenste Nachweise und Prüfungen wie Due Diligence, Risikobewertungen und Exit-Strategien. Zu diesen ohnehin ressourcenintensiven Berichtspflichten kommt die Problematik des hohen Überschneidungsgrads mit dem Auslagerungsregister gemäß EBA-Leitlinien hinzu (das auch weiterhin zu führen sein wird). „In diesem Spannungsfeld sehen wir uns als Serviceprovider in der Verantwortung, gemeinsam mit unseren Kunden Redundanz zu vermeiden“, so Schmeisser. „Einerseits um Geschäftsprozesse effizient zu halten, andererseits um das Ziel zu verfolgen, beide Register aus einem Single Point of Truth zu generieren. Das stellt sicher, dass die beiden Berichte inhaltlich deckungsgleich bleiben und keine unterschiedlichen Informationen zu den Behörden gelangen.“
Welche Auswirkungen hat DORA auf das IKT-Drittanbietermanagement?
Im Hinblick auf das IKT-Drittanbietermanagement liegt ein Handlungsschwerpunkt in der Kontrolle und Anpassung der Auslagerungsverträge an die Vorgaben der Regulatorik. Finanzunternehmen müssen ihren gesamten Vertragsbestand mit IKT-Drittleistern auf die Compliance zu DORA überprüfen und bei Bedarf neue Ergänzungsvereinbarungen schließen. Das betrifft nicht nur „wesentliche Auslagerungen“ wie aus den EBA-Leitlinien bekannt, sondern alle IT-Serviceprovider, was mehrere Hundert Verträge bedeuten kann. Geschieht jener Kontroll- und Überarbeitungsprozess manuell, hat dies einen erheblichen Zeitaufwand zur Folge. Zumal es in vielen Fällen auf reine Details bei der Formulierung einzelner Klauseln ankommt. Abhilfe schafft eine KI-basierte Vertragsbestandsanalyse, wie Schmeisser erklärt: „Die KI von Fabasoft DORA unterstützt bei der Kontrolle und Analyse des Vertragsbestands und somit bei dem Prozess, die Vereinbarungen DORA-compliant zu gestalten.“
Ein zweiter Kernaspekt ist das Aufsetzen der notwendigen Workflows im Unternehmen. Die Abläufe im Outsourcing bilden eine Querschnittsmaterie aus der Zusammenarbeit unterschiedlichster Abteilungen, angefangen beim Outsourcing-/Compliance-Management bis hin zur Einbindung des CISOs oder der Geschäftsleitung bei einzelnen Genehmigungsschritten. Eine medienbruchfreie Digitalisierung jener Abläufe unterstützt dabei die nachweisliche Durchführung sämtlicher Aktivitäten, u. a. durch elektronische Workflow-Unterschriften und revisionssichere Audit-Logs. „Gleichzeitig steigt mit dem Einbinden aller relevanten Akteur:innen die Prozesseffizienz erheblich“, so Schmeisser.
Zusätzlich ist der Sicherheitsaspekt in der Zusammenarbeit mit externen Partnern wie den IKT-Dienstleistern zu beachten. Der Austausch von sensiblen Informationen via Mail, u. a. in Form von Due Diligence-Unterlagen und Cybersecurity-Fragebögen stellt Angriffsvektoren bei Cyberattacken und somit ein erhebliches Sicherheitsrisiko dar. Daher empfiehlt Schmeisser, die Einholung der Informationen sowie die Vertragsverhandlungen in sicheren, digitalen Räumen durchzuführen, ohne dass die Daten die geschützte Umgebung verlassen.
Welchen Stellenwert haben digitale Tools bei der Umsetzung der DORA-Berichtspflichten?
Beide Experten sind sich einig, dass die Aufgaben, die durch DORA auf die Unternehmen zukommen, nur schwer auf manuellem Weg zu erledigen sein werden. Neben dem enormen händischen Arbeitsaufwand bestehen auf analogem Weg ein großes Fehlerpotenzial sowie das Risiko der Unvollständigkeit von Unterlagen und Daten. Speziell für die Vorbereitung auf Auditsituationen gilt es, dies zu vermeiden. Eine smarte, auf DORA spezialisierte Software wie Fabasoft DORA spart wertvolle Ressourcen, erhöht die Transparenz, minimiert Risiken und sorgt für eine jederzeitige Auskunftsfähigkeit bei Ad-hoc-Anfragen.
Weitere Details aus dem Webinar finden Sie hier in der vollständigen Aufzeichnung.