DORA-Umsetzung – wie weit ist der Mittelstand?
Bis zum 17. Januar 2025 müssen Finanzdienstleister, Banken und Versicherer den Digital Operational Resilience Act (DORA) umgesetzt haben und ihre Cyberrisiken entsprechend managen. In den meisten Unternehmen sind die Projekte im vollen Gange. Doch wie weit ist die DORA-Umsetzung kurz vor der Deadline bei mittelständischen Instituten, wo liegen die Chancen, und wird KI für Aufgaben eingesetzt? Wir haben ein paar Finanzunternehmen befragt, wo sie stehen.
Unsere aktuelle Untersuchung bietet einen ersten, aber wertvollen Einblick in den Stand der DORA-Umsetzung im Herbst 2024 von ausgewählten Finanzdienstleistern. Ziel dieser Studie ist es nicht, repräsentative Ergebnisse zu liefern, sondern vielmehr, wichtige Trends und Herausforderungen in der Branche zu identifizieren und zu verstehen. Insgesamt beteiligten sich aus diesen Branchen neun Unternehmen an unserer Online-Umfrage.
Damit ist die Umfrage nicht repräsentativ, aber die gewonnenen Erkenntnisse bilden eine gute Grundlage zur Diskussion über die Umsetzung von DORA bei Banken, Wertpapierfirmen und Versicherungen. Der Fragebogen umfasste 17 Fragen, die als Multiple-Choice, Single-Choice oder offen beantwortet werden konnten.
DORA: Große Chancen, aber schleppende Umsetzung
So herrscht in dem Segment relative Einigkeit bei den Chancen der Initiative: Klarere Vorgaben führen zu mehr Compliance und stärken die Vernetzung von Abteilungen, die mit Cybersicherheit zu tun haben. Verbunden mit der Hoffnung, dass auch das Kerngeschäft sowie das Kundenvertrauen von der verstärkten Sicherheit (und dem damit verbundenen Aufwand) profitiert.
DORA gibt den InfoSec-Teams definitiv mehr Kraft bei der Implementierung von Kontrollen und sorgt für mehr Aufmerksamkeit seitens des Managements. Das Unternehmen ist sich der Anforderungen bewusster geworden und wird bei der Implementierung effizienter.
Starker Fokus auf Betriebsstabilität und Cybersicherheit; die Themen bekommen noch mehr Gewicht. Davon profitieren letztlich das Business und die Kunden. Europaweit einheitlicher Rahmen (allerdings nur für die Finanzbranche).
Der momentane Umsetzungsstand zeigt jedoch, dass DORA im Mittelstand kein Selbstläufer ist: So sind wenige Monate vor dem offiziellen Stichtag Mitte Januar 2025 gerade einmal 45 Prozent der Vorgaben umgesetzt. Dass noch keines der befragten Unternehmen das Projekt abgeschlossen hat, lässt sich allerdings auch durch die späte Veröffentlichung der technischen Standards mit den recht umfangreichen Detailregelungen erklären.
Die Folge: Keiner der Befragten rechnet damit, bis Mitte Januar 2025 fertig zu werden. Bestenfalls sei DORA bis dahin zu 90 Prozent umgesetzt, im schlechtesten Fall erst zu 30 Prozent. Der durchschnittlich geplante Umsetzungsstand liegt zum Stichtag bei etwa zwei Dritteln der Anforderungen. Das einzige DORA-Kapitel, dessen komplette Umsetzung bis Januar 2025 geplant ist, betrifft das Management des IKT-Drittparteienrisikos (Kapitel V).
Tools und KI für DORA
Alle befragten Unternehmen nutzen IT-Applikationen, um die Umsetzung der DORA-Anforderungen zu unterstützen. Allerdings sind keine einheitlichen DORA-Tools im Einsatz. Den größten Anteil haben Systeme für Incident-Management und Information Security, die nur Teile der Anforderungen abdecken und häufig in der Informationssicherheit angesiedelt sind. Lediglich vier Prozent bedienen sich eines Systems für Governance, Risk und Compliance (GRC), um die DORA-Anforderungen übergreifend zu managen.
Und weniger als die Hälfte der Unternehmen setzt künstliche Intelligenz (KI) zur Umsetzung der Anforderungen (42 Prozent) ein. Hierbei werden vor allem Large Language Models (LLMs) für die Analyse von Dokumenten der IT-Dienstleister wie Kontrollberichte verwendet. Auch werden LLMs wie ChatGPT genutzt, um DORA-Anforderungen zu erfassen und für die Projektbeteiligten aufzubereiten.
Wir nutzen ChatGPT zur automatisierten Analyse der Dokumente von Drittparteien (z.B. ISAE 3402 Reports) gegen unsere Kontrollumgebung.
Wir verwenden ChatGPT und Gemini, um die Anforderungen zu bereinigen und sie für das Unternehmen verständlicher zu machen.
DORA in der Organisation
Auffällig ist, dass es verschiedene organisatorische Instanzen gibt, von denen DORA umgesetzt wird: Mal wird die Verantwortung an die Informationssicherheit oder die IT übertragen, bisweilen kümmert sich der Vorstand darum.
Und auch der prognostizierte Aufwand für die Umsetzung variiert stark: Während ein befragtes Unternehmen von bis zu 100.000 EUR internen wie externen Projektkosten ausgeht, kalkulieren drei weitere Finanzdienstleister jeweils mit einem DORA-Budget von über einer Million Euro. Angesichts der geringen Größe der Stichprobe haben die Gewichtungen in diesen Punkten jedoch nur eine geringe allgemeingültige Aussagekraft.
Herausforderungen der DORA-Umsetzung
Die DORA-Umsetzung stellt nicht nur den Mittelstand in der Finanz- und Versicherungsbranche vor Herausforderungen. Schwerpunkte liegen beispielsweise auf der Nachverhandlung der Verträge und dem Aufbau des Informationsregisters. Daneben haben die Teilnehmenden der Umfrage noch weitere neuralgische Punkte genannt.
Mehr zu den DORA-Herausforderungen lesen sie in unserem Artikel „DORA – jetzt wird´s ernst“.
Fazit
Umsetzungsprojekte zu DORA sind im Mittelstand der Finanzbranche in vollem Gange. Doch bei einem aktuellen Umsetzungsstand von rund 45 Prozent der Anforderungen muss das Tempo auf der Zielgeraden stark angezogen werden, damit die Unternehmen die angepeilten 75 Prozent Umsetzungsgrad im Januar 2025 erreichen.
Ein Lösungsansatz sind KI-Tools, die in mittelständischen Instituten jedoch noch nicht flächendeckend eingesetzt werden. Unserer Erfahrung nach nutzen größere Organisationen der Branche KI-Anwendungen insbesondere für den Aufbau des Informationsregisters, bei der Unterstützung von Risikoanalysen und der Vorbereitung der Vertragsnachverhandlung. Auch der Mittelstand würde vom KI-Einsatz profitieren und könnte so die Effizienz und Geschwindigkeit der DORA-Umsetzung steigern.
In unserem zweiten Teil der Artikelreihe erfahren Sie, wo Mittelständler die größten Herausforderungen bei den DORA Anforderungen sehen. Welche Herausforderungen im Bereich Drittparteien-Risikomanagement zu meistern sind und wie KI-Anbieter richtig ausgewählt werden, beleuchten wir zudem in den folgenden Artikeln:
- DORA: Weniger IT-Risiken, mehr Steuerung!
- AI Act – was man bei der Auswahl von KI-Anbietern beachten muss
- NIS-2: Wie Unternehmen ihr Third Party Risk Management stärken
Wenn Sie sich für Risikosteuerung und Regulierung interessieren oder Fragen haben, melden Sie sich gerne bei uns über die Autorenprofile.
