Irma Ferguson und Sebastian Borghans, Spezialistenteam IT und Bankanwendungsverfahren, AWADO GmbH Wirtschaftsprüfungsgesellschaft Steuerberatungsgesellschaft
I. Einleitung
Mit der Einführung des Digital Operational Resilience Acts (DORA) stehen Banken in der Europäischen Union vor erheblichen Veränderungen, wenn es darum geht, die Risiken aus dem Umfeld der Informations- und Kommunikationstechnologie (IKT-Risiken) vollständig zu erheben und DORA-compliant zu managen. Die Verordnung zielt darauf ab, die Widerständigkeit des europäischen Finanzsektors gegenüber Risiken aus dem Cyberumfeld zu stärken und auf ein insgesamt hohes Niveau zu heben. Eine systematische GAP-Analyse (Soll-Ist-Vergleich) ist für Banken ein gängiger Weg, um bestehende Lücken und Abweichungen gegenüber den Soll-Anforderungen zu identifizieren und sie durch angemessene Maßnahmen zu schließen bzw. zu korrigieren. In der Praxis zeigen sich jedoch eine Vielzahl von Herausforderungen, denen es sowohl in strategischer als auch in rechtlicher Hinsicht sowie im Rahmen der operativen Umsetzung zu begegnen gilt.
Dieser Beitrag beleuchtet die spezifischen Herausforderungen der DORA-Umsetzung und bietet praxisorientierte Einblicke aus der Perspektive von Wirtschaftsprüfungsgesellschaften und Beratungsunternehmen, die Banken in Deutschland bei dieser komplexen Aufgabe unterstützen.
II. Strategische Herausforderungen
1. Start auf der grünen Wiese
a) Beschreibung
Banken in Deutschland waren bis jetzt primär auf die Umsetzung der BAIT (Bankaufsichtliche Anforderungen an die IT) ausgerichtet. Die Einführung von DORA bedeutet für sie eine grundlegende Erweiterung der regulatorischen Anforderungen. In einem „Grüne-Wiese-Projekt“ besteht die Notwendigkeit, bisherige Prozesse, Systeme sowie organisatorische Strukturen praktisch von Grund auf neu zu entwickeln. Dies trifft auch auf Projekte zu, die die DORA-Implementierung zum Gegenstand haben. Denn DORA fordert in vielen thematischen Bereichen eine weitgehende Neugestaltung. Als Handlungsbereiche, auf die dies insbesondere zutrifft, sind vor allem das Testen der digitalen operationalen Resilienz, das Management IKT-bezogener Vorfälle oder das Management des IKT-Drittparteienrisikos zu nennen. Deshalb müssen Banken in vielen Fällen nicht nur ihre IKT-Systeme neu aufstellen, sondern auch neue Governance-Modelle und Krisenmanagementprozesse entwickeln sowie ihre Zusammenarbeit mit IKT-Drittparteien intensivieren.
b) Herausforderungen [...]
Beitragsnummer: 22445