Eine Bergsteigerin geht über eine grüne Wiese. Im Hintergrund sind teilweise mit Schnee bedeckte Berge zu sehen.
Resilient Business

DORA-Umsetzung – wo liegen die größten Herausforderungen?

Artikel

18.11.2024

Der Digital Operational Resilience Act (DORA) für Finanzdienstleister und Versicherer kommt. Viele Mittelständler werden die Anforderungen zum Stichtag im Januar 2025 jedoch nicht vollständig umgesetzt haben. Wir haben nachgefragt, wo die größten Herausforderungen liegen.

In einer nicht-repräsentativen Umfrage unter mittelständischen Finanzdienstleistern zeigte sich, dass wenige Monate vor dem offiziellen Stichtag gerade einmal 45 Prozent der DORA-Vorgaben umgesetzt sind. Zudem rechnet keiner der Befragten damit, bis Mitte Januar 2025 fertig zu werden. Bestenfalls sei DORA bis dahin zu 90 Prozent umgesetzt, im schlechtesten Fall erst zu 30 Prozent. Der durchschnittlich geplante Umsetzungsstand zum Stichtag liegt bei etwa zwei Dritteln der Anforderungen. Weitere Details finden Sie im Artikel „DORA-Umsetzung – wie weit ist der Mittelstand?“.

DORA: Die größten Herausforderungen für Unternehmen

Ein Grund für den Verzug ist gemäß den Finanzdienstleistern die relativ späte Veröffentlichung der technischen Standards mit recht umfangreichen Detailregelungen. Ein anderer sind die vielfältigen Herausforderungen bei der DORA-Umsetzung. Hierzu zählen beispielsweise nicht dokumentierte Prozesse, ein zu geringes Budget (bzw. fehlende Priorisierung), mangelnde Zusammenarbeit zwischen Abteilungen sowie fehlendes Know-how und die Leistung/Verfügbarkeit externer Beratungsfirmen. 

In unserer Umfrage haben wir zudem die DORA-Challenges für jedes der vier Kapitel abgefragt:

DORA Umfrage: Wie aufwändig und komplex schätzen Sie die Umsetzung der Anforderungen in den folgenden Bereichen ein?

Kapitel V  – Management des IKT-Drittparteienrisikos

Hier sehen die Befragten die größten Herausforderungen bei der Nachverhandlung der Provider-Verträge, dem Aufbau des Informationsregisters mit Identifizierung der Sub-Provider und der Durchführung der Risikoanalysen. 

Unsere Erfahrung: Oft wird ein Großteil des Projektbudgets für Kapitel V für den Ausbau des Informationsregisters und die Vertragsverhandlungen ausgegeben.

Kapitel II – IKT-Risikomanagement

Teilnehmende der Umfrage verorten die Herausforderungen in der Anzahl der einzelnen Anforderungen sowie der Identifizierung und Überarbeitung bereits bestehender Richtlinien. Teilweise müssten neue Tools eingeführt werden, was den Aufwand ebenfalls nach oben treibt.

Wenn Sie die in DORA geforderten Maßnahmen und Verfahren kennen, ist es gut. Und wenn Sie sich bereits gut mit BaFin, BAIT und VAIT auskennen, brauchen Sie sich keine Sorgen zu machen. Aber sonst sind Sie verloren.

Kapitel III – Behandlung, Klassifizierung und Berichterstattung IKT-bezogener Vorfälle

Geforderte kurze Reaktionszeiten, die Anpassung der Prozesse sowie die Ermittlung der relevanten Daten zu IKT-bezogenen Vorfällen werden als Herausforderungen genannt.

Nicht angemessene Anforderungen für mittlere Versicherungsunternehmen. Beispielsweise Ermittlung der Daten für die Klassifizierung.

Kapitel IV – Testen der digitalen operationalen Resilienz

Zentrale Herausforderungen sind hier, notwendige Ressourcen bereitzustellen und Prozesse für die vorgeschriebenen Tests zu entwickeln.

Wir sehen die Etablierung des Prozesses für die (Pen-)Tests als Herausforderung.

Bilanz der DORA-Herausforderungen 

Mehr oder weniger einig sind sich die Teilnehmenden an der Umfrage in ihrer Einschätzung, dass die DORA-Anforderungen für mittelständische Unternehmen überzogen erscheinen, speziell für mittelständische Versicherer. Zur Einordnung: Während ein Unternehmen von bis zu 100.000 EUR internen wie externen Projektkosten ausgeht, kalkulieren drei weitere Finanzdienstleister/Versicherungen jeweils mit einem DORA-Budget von über einer Million Euro. Wegen der geringen Stichprobengröße variiert der prognostizierte Aufwand für die Umsetzung jedoch recht stark.

Allerdings hängt auch viel davon ab, wie gut das jeweilige Unternehmen in den Bereichen Risikomanagement und Compliance aufgestellt ist. Dies umfasst Regulierungsansätze wie BAIT oder VAIT ebenso wie weitere Anforderungen der BaFin. Durch den DORA-Stichtag sind die Mittelständler gefordert, ihre Anstrengungen weiter zu forcieren. Die mangelnde Verfügbarkeit externer Berater auf den letzten Metern – wie in der Umfrage genannt – verbindet DORA indes mit anderen Regulierungsinitiativen der vergangenen Jahre.

 

Sie interessieren sich für Umsetzung, KI und Chancen der Regulierung? Hier finden Sie weitere Informationen aus unserer DORA-Kurzumfrage.

Wenn Sie sich über Risikosteuerung und Regulierung mit uns austauschen wollen, melden Sie sich gerne über unsere Autorenprofile. 

Divider

Verwandte Einträge