Die digitalen Möglichkeiten im Banken- und Finanzwesen sind in den vergangenen Jahren immer weitergewachsen. Anbieter können Prozesse verschlanken und die Kommunikation zwischen Instituten und Kunden wird erleichtert. Finanzunternehmen sind jedoch auch beliebte Angriffsziele für Kriminelle. Zudem haben Kundenanstürme in letzter Zeit zu technischen Problemen zum Beispiel bei der Postbank, Scalable oder Trade Republic geführt. Die Europäische Kommission will dem mit dem Digital Operational Resilience Act (Dora) entgegentreten und hat Finanzunternehmen neue Verpflichtungen auferlegt.
Ziel des Regulierungsaktes ist ein effektives und umfassendes Management von Cybersicherheits-, Informationstechnik- und Kommunikationstechnik-Risiken. In Europa fallen fast alle Finanzunternehmen unter die Verordnung, die vor anderthalb Jahren in Kraft getreten und schon bis 17. Januar 2025 umgesetzt werden muss. Bis dahin müssen die Unternehmen ihre Systeme so aufgerüstet haben, dass sie widerstandsfähiger gegen Vorfälle wie Datenlecks, DDoS-Angriffe oder Insider-Bedrohungen werden. Besonders wichtig innerhalb der fünf Kernthemen: das IKT (Informationstechnik und Kommunikationstechnologie) -Risikomanagement und das Management von IKT-Drittanbietern.
Verzeichnis von IT- und Kommunikationstechniksleistungen anlegen
Gerade der letzte Punkt dürfte für viele Vermögensverwalter relevant sein, da fast alle Institute IT-Dienstleistungen beauftragt haben. Hier gilt es darauf zu achten, dass diese Dienstleister Dora-konform arbeiten.
Die Finanzinstitute sind zur Überwachung der Risiken verpflichtet, die die Inanspruchnahme von Informations- und Kommunikationstechnik-Drittanbietern mit sich bringt. Darunter fallen zum Beispiel das dabei entstehende IT-Konzentrationsrisiko oder Risiken, die sich aus der Weitervergabe von Aktivitäten über eine Kette von Dienstleistern ergeben. Für einen besseren Überblick müssen sie ein vollständiges Verzeichnis aller von Dritten bezogenen IKT-Leistungen anlegen. Außerdem müssen die Verträge mit Informations- und Kommunikationstechnik-Drittanbietern alle notwendigen Details zur Überwachung und Erreichbarkeit enthalten, um auch hier möglichen Sicherheitslücken vorzubeugen. Auch das Meldewesen für IKT-Vorfälle bezieht die Kette der Dienstleister von kritischen und wichtigen Funktionen mit ein.
Vorteil, wenn IT-Dienstleister selbst unter Dora-Regularien fällt
Die Institute sind nämlich verpflichtet, ihre IKT-Dienstleister auf Dora zu schulen und heranzuführen, sie müssen mit ihnen eine Reihe von Vertragsklauseln wie Prüfrechte für die Aufsichtsbehörden selber vereinbaren – ein häufig sehr zähes Unterfangen ist. Denn: Viele IT-Dienstleister stammen nicht aus dem Finanzbereich und arbeiten für viele Branchen. Sie kennen die Vorgaben für Finanzinstitute nicht und Ansprechpartner sind nur schwer zu finden. Es bringt Unsicherheit mit sich, wenn die Dora-Anforderungen bei Dienstleistern nicht oder nur langsam umgesetzt werden. Hier ist es ein großer Vorteil, wenn der IT-Dienstleister selber reguliert ist und unter die Dora-Regularien fällt. Das entlastet das Finanzunternehmen erheblich.
Natürlich bringt Dora vor allem organisatorische und technische Herausforderungen mit sich, es sind gesetzliche Vorgaben, die eingehalten werden müssen. Viele Finanzunternehmen sind heute noch nicht umfassend gegen die wachsenden cyberkriminellen Bedrohungen und gegen technische Probleme aufgestellt. Dora kann – bei allem Aufwand – also durchaus als Treiber für die Verbesserung der Widerstandsfähigkeit verstanden werden.
Über den Autor:
Harald Brock ist seit März 2019 einer von drei Geschäftsführern des Technologie- und Regulatorik-Dienstleisters Investify Tech. Das Unternehmen unterstützt Finanzdienstleister bei der Digitalisierung und Automatisierung des Investmentgeschäftes. Brock war zuvor bei der Sparkassen-Finanzgruppe tätig, wo er Vertriebssteuerung, Marketing und Digitalisierung verantwortete. Brock ist Herausgeber und Autor diverser Veröffentlichungen zum Thema Multi- und Omni-Channel-Management.