Dr. Marlen Hofmann, Abteilungsleiterin Business Support, Sparda Bank Berlin eG
Die fortschreitende Digitalisierung hat den Finanzsektor tiefgreifend verändert und eine wachsende Abhängigkeit von robusten und sicheren Informations- und Kommunikationstechnologien (IKT) mit sich gebracht. Finanzunternehmen setzen IKT verstärkt ein, um ihre Kernprozesse zu optimieren und ihre Dienstleistungen effizient sowie sicher bereitzustellen. Doch diese Entwicklung geht mit erheblichen Risiken einher: Cyberangriffe, IKT-Ausfälle und technische Störungen stellen nicht nur Gefahren für einzelne Unternehmen dar, sondern können auch die Stabilität des gesamten Finanzsystems gefährden.
Um diesen Risiken zu begegnen und die digitale operationale Resilienz der Finanzunternehmen zu stärken, wurde mit der Verordnung (EU) 2022/2554 – dem Digital Operational Resilience Act (DORA) – ein regulatorischer Rahmen geschaffen. DORA legt klare Anforderungen an das IKT-Risikomanagement, das Management von IKT-Drittparteienrisiken, das Handling von IKT-bezogenen Vorfällen sowie das Testen der digitalen operationalen Resilienz fest. Ab dem 17.01.2025 gilt die Verordnung nach einer zweijährigen Übergangsfrist verbindlich, sodass sich Finanzunternehmen an den neuen regulatorischen Vorgaben messen lassen müssen.
Lücken zwischen Vorschriften und Praxis
Trotz der klaren regulatorischen Anforderungen klafft in vielen Unternehmen noch eine Lücke zwischen den Vorgaben und ihrer praktischen Umsetzung. Diese Lücke ist kein Geheimnis – auch die europäischen Aufsichtsbehörden EBA, EIOPA und ESMA haben im Dezember 2024 explizit darauf hingewiesen, dass Finanzunternehmen ihre bestehenden Compliance-Lücken zum Regelwerk systematisch identifizieren und schließen müssen[1]. Diese Aufforderung unterstreicht die Notwendigkeit eines strukturierten Ansatzes, um Defizite zu erkennen, priorisierte Maßnahmen abzuleiten und den Umsetzungsfortschritt kontinuierlich zu überwachen.
Zudem wird diese Aufforderung als ein „Hinweis auf mögliche Risiken“ verstanden, da die Lücken im IKT-Risikomanagementrahmen sowohl mit potenziellen IKT- als auch Rechtsrisiken einhergehen. Es ist daher ratsam, neben der geforderten Gap-Analyse auch eine Risikoanalyse durchzuführen, um bestehende Risiken zu identifizieren und geeignete Maßnahmen zur deren Steuerung zu entwickeln. Zudem sollte eine Übergabe und Berücksichtigung dieser Risiken im Management der operationellen Risiken sichergestellt werden.
Die Herausforderung: Komplexität der DORA-Anforderungen
Die Umsetzung der ESA-Aufforderung zur Identifikation bestehender Lücken ist jedoch keine triviale Aufgabe und setzt ein klares Verständnis der spezifischen DORA-Anforderungen voraus. Das Regelwerk umfasst zahlreiche Vorgaben, die nicht nur aus der Verordnung (EU) 2022/2554 selbst hervorgehen, sondern auch durch ergänzende technische Regulierungsstandards erweitert werden. Dazu gehören etwa die Verordnung (EU) 2024/1772 zur Klassifizierung von IKT-Vorfällen, die Verordnung (EU) 2024/1773 zur Nutzung vertraglicher Vereinbarungen über IKT-Dienstleistungen sowie die Verordnung (EU) 2024/1774 zum IKT-Risikomanagement. Die Vielzahl an Dokumenten macht DORA nicht nur umfangreich, sondern auch deutlich detaillierter als bisherige Regularien im Finanzsektor. Darüber hinaus gibt es zahlreiche Querverweise zwischen den einzelnen Dokumenten, die die Lesbarkeit erschweren und die strukturierte Ableitung der DORA-Anforderungen sowie die Bestimmung des aktuellen Compliance-Grades zu einer echten Herausforderung machen.
Struktur schafft Klarheit – Das DORA-Puzzle als Orientierungsrahmen
Zur Bewältigung dieser Herausforderung wurde das DORA-Puzzle entwickelt. Es strukturiert die regulatorischen Vorgaben in 26 fachliche Domänen, die als „Puzzlesteine“ das komplexe Regelwerk in klar definierte Segmente unterteilen. Dies ermöglicht eine präzise und praxisorientierte Zuordnung der Anforderungen zu fachlichen Handlungsfeldern. (https://www.fch-gruppe.de/Dorapuzzle)
Das DORA-Puzzle unterscheidet außerdem zwei Abstraktionsebenen: Eine verkürzte, kompakte Version fasst die wesentlichen Bestandteile der Anforderungen zusammen und bietet einen idealen Einstieg, um die elementaren DORA-Vorgaben zu erfassen. Eine zweite, detailliertere Ebene enthält tiefergehende Einzelanforderungen und ermöglicht eine präzise Analyse des Umsetzungsstandes in den jeweiligen Domänen.
Verteilung der DORA-Anforderungen an verantwortliche Teams
Angesichts der Bandbreite der fachlichen Domänen im DORA-Puzzle ist es sinnvoll, die Anforderungen gezielt auf die zuständigen Teams innerhalb des Unternehmens zu verteilen. Diese Teams können sich dann auf ihre spezifischen Bereiche konzentrieren und den Umsetzungsstand sowie die Compliance mit den jeweiligen Anforderungen systematisch bewerten. Zur Beschreibung des Fortschritts eignet sich eine qualitative Skala, die den Umsetzungsgrad von „vollständig“ über „teilweise“ bis „nicht umgesetzt“ unterscheidet.
Durch diese gezielte Gap-Analyse entsteht ein transparentes Gesamtbild der DORA-Compliance, das sich über alle 26 Domänen des DORA-Puzzles erstreckt. Diese Übersicht liefert nicht nur eine fundierte Basis für detaillierte Risikoanalysen, sondern ermöglicht auch die Ableitung von Maßnahmen zur Schließung der identifizierten Lücken. So können sowohl IKT-Risiken als auch potenzielle Rechtsrisiken – bspw. im Hinblick auf drohende Sanktionen – systematisch erfasst und im Rahmen des operativen Risikomanagements bewertet werden.
PRAXISTIPPS
Das DORA-Puzzle bietet eine praxisorientierte Lösung, um den regulatorischen Erwartungen und der Forderung der ESAs nach einer strukturierten Gap-Analyse gerecht zu werden. Es bildet die Grundlage für
- Die systematische Identifikation von Compliance-Lücken,
- Eine detaillierte Analyse bestehender IKT- und Rechtsrisiken,
- Die gezielte Entwicklung von Maßnahmen zur Schließung identifizierter Lücken,
- Eine kontinuierliche Erfolgskontrolle und transparente Fortschrittsdokumentation.
➡ Das DORA-Puzzle ist jetzt verfügbar unter https://www.fch-gruppe.de/Dorapuzzle
Beitragsnummer: 22866