Veröffentlicht in: Bankmagazin 07/2022
Mit DORA (Digital Operational Resilience Act) rollt das nächste große Regelwerk auf den EU-Finanzmarktsektor zu. Es übersteigt bislang gekannte Dimensionen der Regulierung in der IT. Tatsächlich sind heute erhebliche Teile der IT von Banken und Versicherungen ausgelagert und werden in fremden Rechenzentren oder in der Cloud betrieben. Was bedeutet DORA in diesem Kontext konkret für die Institute, aber auch für ihre Dienstleister? Outsourcing-Experte Sebastian Dosch im Interview.
Herr Dosch, ist DORA zuvorderst ein Zeichen europäischer Regulierungswut – oder steckt ein legitimes Interesse dahinter?
Kaum eine andere Branche ist in ihrer Kerntätigkeit so abhängig von IT und Vernetzung wie Banken, Versicherungen und Zahlungsdienstleister. Das macht sie angreifbar, wie gerade die zuletzt explosionsartig steigende Zahl der Cyberangriffe zeigt – nicht zuletzt forciert mit Beginn des Krieges in der Ukraine und dem damit verbundenen Ziel, die westlichen Volkswirtschaften zu schwächen und zu schädigen. Die EU hat also ein gut nachvollziehbares Interesse, an dieser Achillesferse anzusetzen und die Betriebsstabilität der Unternehmen des Finanzmarktes abzusichern. Das liegt natürlich auch in unser aller Interesse.
Der Markt ist aber doch bereits schon stark reguliert, auch in dieser Hinsicht?
Europäische Finanzunternehmen werden teils von europäischen, teils von nationalen Behörden und teilweise auch in deren Zusammenarbeit beaufsichtigt. Die Ausgestaltung dieser komplexen Verflechtungen ist dazu von Land zu Land auch noch unterschiedlich. DORA ist ein wichtiges Mittel, um eine Vereinfachung dieses Aufsichtswirrwarrs zu erreichen und arbeitet mit konkreten Zuweisungen von Aufgaben an einzelne Behörden.
Also nicht nur eine Regulierung, sondern auch eine Harmonisierung?
Richtig. Dass es um Stärkung eines gesamten Sektors geht, zeigt der dabei weit gefasste Anwendungsbereich von DORA: auch Einrichtungen der betrieblichen Altersvorsorge, Wertpapierfirmen, E-Geld-Institute und Anbieter von Krypto-Dienstleistungen sowie Datenbereitstellungsdienste fallen hierunter.
Im Kern wird aber die IT mit DORA zu tun bekommen.
Und deren Dienstleister! Das ist neu. DORA gibt den europäischen Aufsichtsbehörden die Möglichkeit, so genannte "kritische" IKT-Dienstleister unter unmittelbare Aufsicht zu nehmen – ein bemerkenswerter Eingriff in deren marktwirtschaftliche Freiheiten, denn die Dienstleister unterliegen im Gegensatz zu den Finanzunternehmen nicht einer behördlichen Zulassung für ihre geschäftlichen Tätigkeiten.
Welche Intention steckt aus Ihrer Sicht dahinter?
Die EU will offenbar Konzentrations- bzw. Klumpenrisiken frühzeitig erkennen und mitigieren können. Würde einer der führenden Hyperscaler Opfer eines Cyberangriffs, könnte eine Ansteckungsgefahr mit enormer Reichweite entstehen.
Es geraten also vor allem Microsoft, Google und Co. ins Visier?
Nicht nur. Im deutschen Bankenmarkt können genauso die Säule der Finanzverbünde und -Gruppen und ihre IT-Konstrukte, also beispielsweise die Finanz Informatik oder die Atruvia auf den Prüfstand kommen. Schließlich gibt es hier eine einzigartige Abhängigkeit der Verbund- bzw. Gruppenunternehmen von jeweils einem IT-Dienstleister. Wenn wir DORA also wirklich konsequent zu Ende denken, stellt sich auch die Frage nach der perspektivischen Tragfähigkeit dieser Konstrukte.
Was bedeutet das konkret für Banken und Versicherungen? Was können oder müssen sie jetzt schon tun?
Sie sollten die in DORA aufgestellten Anforderungen an das IKT-Risikomanagement, an das Testen der digitalen operationalen Resilienz und an das IKT-Drittanbieter-Risikomanagement am besten schon jetzt erfassen. Anschließend muss in einer Soll-/Ist-Analyse herausgefunden werden, welche der Anforderungen bereits erfüllt sind und wo noch Nachbesserungsbedarf gegeben ist. Außerdem sind die Institute gut beraten, bereits jetzt sicherzustellen, dass die erforderlichen Daten zur inhaltlichen Unterstützung des verbindlichen Meldewesens für wesentliche IKT-Vorfälle in der geforderten Zeit zur Verfügung stehen – die ist nämlich oft sehr kurz.
Und IT-Dienstleister?
Sie müssen ähnlich vorgehen. In erster Linie sollten sie ihre Kunden im Finanzmarkt bei ihren Aufgaben unterstützen und alle erforderlichen Unterlagen, Dokumente und auch Daten zur Verfügung stellen. Das geht nicht ohne neue oder angepasste Prozesse – es muss ja zum Standard werden. Finanzinstitute werden künftig in Ausschreibungen nur noch Dienstleister in eine engere Wahl nehmen können, wenn sie diese Anforderungen erfüllen. Und da sie unter DORA ja selbst geprüft werden können, ist das auch ein ureigenes Interesse der Dienstleister.
Das bedeutet doch erheblichen Mehraufwand.
Sicher - deshalb werden sich insbesondere kleinere Dienstleister die strategische Frage stellen müssen, ob sie zu den kritischen Dienstleistungsunternehmen gehören wollen. Denn Unternehmen, die vom DORA-Ausschuss nicht selbst "nominiert" werden, können auf Antrag in die Liste aufgenommen werden. Das hat dann voraussichtlich direkten Einfluss auf Kundenakquise und -bindung.
DORA ist noch nicht in Kraft. Sollen Finanzdienstleister warten oder starten?
Auch wenn aktuell noch formell im Gesetzgebungsverfahren, beginnt der Markt bereits mit der Vorbereitung auf die Umsetzung von DORA. Erste Finanzunternehmen, aber auch Dienstleister haben unabhängig vom Entwurfsstadium der Regelungen bereits mit Gap-Analysen begonnen, um ihren Handlungsbedarf frühzeitig zu erkennen. Insbesondere das Thema der digitalen Betriebsstabilität findet sich bereits in den soeben überarbeiteten regulatorischen Aufsichtsdokumenten wie MaRisk, BAIT und VAIT. Wer die Ratifizierung abwartet, startet also bereits mit Rückstand.
Manche Regularien enden als zahnloser Papiertiger. Wie schätzen Sie das bei DORA ein?
Die EU geht bei DORA sehr entschlossen vor. Das ist schon daran zu erkennen, dass sie mit den für den EU-Finanzmarkt verantwortlichen Aufsichtsbehörden EBA, ESMA und EIOPA gleich drei Institutionen mit der Einführung und Überwachung beauftragt hat. Dieser Tiger hat Zähne.