Die Umsetzungsfrist des Digital Operational Resilience Act (DORA) rückt mit 17. Januar 2025 in greifbare Nähe. Neben der EU-Verordnung gilt es auch die zwischenzeitlich veröffentlichten Unterlagen der Behörden zu berücksichtigen. Welche Erkenntnisse lassen sich aus den bisherigen Vorbereitungen ziehen? Wie setzen Finanzunternehmen die EU-Vorgaben rechtzeitig um? Wie kann KI-gestützte Software dabei helfen? Dazu diskutierten Anna Muri, Senior Spezialistin IT-Risiko-Aufsicht der FMA, Florian Hagenauer, Vorstandsdirektor der Oberbank AG, und Robin Schmeisser, Geschäftsführer der Fabasoft Contracts GmbH, beim Presse Expert:innen-Talk am 15. Oktober 2024 in Wien.
Bürokratische Herausforderungen
Speziell in Bezug auf das IKT-Drittanbietermanagement stellen die regulatorischen Vorgaben viele Finanzunternehmen noch vor Herausforderungen: Die Erstellung des Informationsregisters, die Kontrolle des Vertragsbestands hinsichtlich der DORA-Compliance sowie das Aufsetzen der notwendigen Prozesse im Betrieb sind dabei wesentliche, zeitintensive Faktoren. Zeit, die vielen Verantwortlichen fehlt. So ist sich Florian Hagenauer sicher: „Niemand wird im Januar völlig compliant zu DORA sein.“ Auch Robin Schmeisser bestätigt: „Bei der Bewertung der Drittdienstleister müssen viele Informationen eingeholt werden. Das ist eine herausfordernde Aufgabe.“ Dennoch sieht der Digitalisierungsexperte die Möglichkeit, die DORA-Berichtspflichten noch rechtzeitig und vollständig umzusetzen – mit den richtigen Tools. Das hat der kürzlich durchgeführte DORA-Dry Run, ein EU-weiter Testlauf der Europäischen Aufsichtsbehörden als „Generalprobe“ zur Übermittlung des Informationsregisters, gezeigt. „Die Motivation, am Dry Run teilzunehmen, war in Österreich sehr gut, jedenfalls wesentlich höher als in Deutschland. Auch unsere Kunden haben das Informationsregister erfolgreich eingereicht. Der Nutzen ist klar: Sowohl Unternehmen als auch die Marktaufsicht können erkennen, wo man im Prozess steht. Und es treten wichtige Fragen auf, die danach richtig adressiert werden können“, so Schmeisser.
Fehlende Vertragsstandards
Neben dem Informationsregister bedarf es auch bei den Verträgen mit IKT-Drittanbietern eines hohen Bearbeitungsaufwands. „Als Finanzunternehmen muss man auf jeden einzelnen Dienstleister zugehen, um Verträge zu prüfen bzw. Rahmenvereinbarungen abzuschließen“, führt Hagenauer aus. Laut ihm fehle es dafür an Vertragsstandards: „Jedes betroffene Unternehmen versucht, auf Mikroebene mit Problemen umzugehen, die eigentlich vorab auf Makroebene mit entsprechenden Standards und konkretisierten Vertragsklauseln gelöst hätten werden sollen.“ Zwar gab es anfangs seitens der EU eine solche Idee, diese wurde allerdings wieder verworfen. „Es hat sich als zu schwierig erwiesen, die gleichen Muster für die große Zahl an verschiedenartigen Verträgen zu verwenden. Deswegen hat man sich darauf geeinigt, die verpflichtenden Vertragsinhalte gesetzlich vorzuschreiben. DORA legt also fest, was im Vertrag stehen muss, lässt aber Spielraum bei der Form“, erklärt Anna Muri.
Für Hagenauer ist klar, dass sowohl der hohe Ressourcenaufwand als auch die zusätzlichen Investitionen insgesamt zu einem Kostenauftrieb in der Branche führen werden. Unternehmen sollten daher alle Prozesse, bei denen sich die Chance dazu bietet, effizienter gestalten. Schmeisser sieht darin einen klaren Anwendungsfall für eine smarte Software wie Fabasoft DORA: „Speziell im Drittdienstleistermanagement lässt sich der Aufwand mit standardisierten Prüfprozessen, digitalen Vorlagen, einer KI-basierten Vertragsprüfung und einem automatisiert generierten Informationsregister erheblich reduzieren.“
Fazit: Hürde oder Wettbewerbsvorteil?
Die Expert:innen sind sich einig, dass DORA zwar einen hohen Regelungsaufwand erfordert, jedoch die digitale operationale Resilienz europäischer Finanzunternehmen stärken wird. „Die Frage ist, ob Europa vor dem Hintergrund des globalen Wettbewerbs gut beraten ist, grundsätzlich so stark auf Regulierung zu setzen. Es besteht die Gefahr, dass darunter die Innovationskraft der Unternehmen leidet, und in der Folge deren Wettbewerbsfähigkeit“, fasst Hagenauer zusammen. Muri wiederum sieht das Potenzial von DORA: „Wenn IT-Risiken im Unternehmen und in der Lieferkette erkannt und adressiert werden, kann die Regulierung zu einem echten Asset werden.“
Das vollständige Video des Expert:innen-Talks steht hier zur Verfügung: Nachrichten | DiePresse.com
