Dieser Artikel richtet sich ausschließlich an professionelle Investoren. Bitte melden Sie sich daher einmal kurz an und machen einige berufliche Angaben. Geht ganz schnell und ist selbstverständlich kostenlos.
Seit dem 17. Januar 2025 müssen Finanzunternehmen die europäische Dora-Verordnung umsetzen. Sie soll dafür sorgen, dass Finanzunternehmen sensibler mit ihren digitalen Risiken umgehen. Die Verordnung macht Vorgaben zum Umgang mit IKT-Risiken (IKT = Informations- und Kommunikationstechnologie), darunter auch zur Zusammenarbeit mit externen Dienstleistern, zu Störungsmeldungen, Stresstests und zum Informationsaustausch bei Cyber-Bedrohungen.
Dora erfasst Banken, Versicherungen, Zahlungsdienstleister, Fondsgesellschaften, Vermögensverwalter, Verwahrstellen – Finanzunternehmen, die innerhalb der Europäischen Union beaufsichtigt sind.
Obwohl die Regeln schon seit Mitte Januar angewendet werden müssen, kämpfen viele Häuser weiterhin mit den komplexen Anforderungen. Nadine Schmitz und Florian Göltl vom Beratungsunternehmen KPMG begleiten Institute bei der Umsetzung und bereiten sie auf die aktuell anstehenden Aufsichtsprüfungen vor.
DAS INVESTMENT: Herr Göltl, wie sind Sie bei KPMG in das Thema Dora involviert?
Florian Göltl: Als das Thema „Dora“ in den letzten zweieinhalb Jahren aufkam, habe ich es mit meinen Partnerkollegen für KPMG verantwortet. Wir haben anfangs Gap-Analysen gemacht, also Soll-Ist-Vergleiche, um Lücken bei den Dora-Anforderungen zu identifizieren. Danach sind wir in die Umsetzungen gegangen und haben große Häuser in Deutschland dabei begleitet. Jetzt unterstützen wir die ersten Institute auch bei den nahenden Aufsichtsprüfungen. In Summe sind wir etwa 150 Personen in Deutschland, die sich um Dora kümmern.
Eine erste Einschätzung zum Stand der Dinge bei den Dora-verpflichteten Unternehmen?
Nadine Schmitz: Die meisten Häuser sind eher noch mitten im Prozess und nicht so weit, dass sie sagen könnten: „Wir sind fertig und die Aufsicht kann kommen.“
Woran liegt das – ist den Marktteilnehmern nicht klar, was sie zu tun haben?
Göltl: Die große Herausforderung war von Anfang an die Interpretation. Schon vor der finalen Verabschiedung 2022 haben wir Projekte auf Basis der Entwürfe aufgesetzt. Die Gesetzgebung war aber nicht so detailliert wie bei anderen Regulatorikvorhaben. Wir haben uns daher auch mit anderen Beratungsgesellschaften und der Aufsicht ausgetauscht, um ein gemeinsames Verständnis zu entwickeln.
Schmitz: Genau. Dora ist im Januar 2023 in Kraft getreten und musste bis Januar 2025 umgesetzt sein. Auf diesem Weg wurden immer wieder konkretisierende technische Standards, sogenannte ITS und RTS, veröffentlicht. Trotzdem blieben Interpretationsspielräume. Deshalb konnten die Unternehmen nicht einfach loslegen.
Was sind die größten Stolpersteine bei der Umsetzung?
Schmitz: Einer der größten Stolpersteine ist das Silo-Denken. In vielen Häusern schafft man es nicht, die Themen so zu integrieren, wie Dora es fordert.
Göltl: Ein ganz großes Thema ist, wo man Dora überhaupt verorten soll - im Bereich IT oder bei Non-IT. Das ist auch nach wie vor ein Problem. Es gibt verschiedene Disziplinen: Third Party Risk Management für Auslagerungen, Business Continuity Management, Risikomanagement und Security-Themen. All das gilt es unter Dora zu integrieren. Die meisten Häuser haben Schwierigkeiten, innerhalb der einzelnen Disziplinen die Dinge zusammenzubringen.
Ein Paradebeispiel: Business Continuity Management (BCM) beschäftigt sich damit, was passiert, wenn Personal oder Gebäude ausfallen. IT Security Continuity Management (ITSCM) fragt: Was ist, wenn die IT ausfällt? Das wird oft sehr „silohaft“ behandelt. Man schafft es nicht, diese Themen so zu integrieren, dass man IT- und Non-IT-Dinge gut zusammen betrachten kann.
Schmitz: Von oben betrachtet erfordert Dora ein Umdenken. Es ist nicht nur eine Sache einzelner Abteilungen, sondern ein übergreifendes Thema mit dem Ziel einer besseren Durchlässigkeit. Wie kriege ich es in meinem Risikomanagement mit, wenn ich eine große Störung in meiner IT habe? Welche Ursachen gibt es und welche präventiven Maßnahmen kann man treffen? Dafür sollte ich mich als Unternehmen funktionsübergreifend selbst besser verstehen, um resilienter zu werden. Das silohafte Denken stammt aus der Vergangenheit, wo man gemäß Regulatorik alles so aufgebaut hat, weil es in BAIT, VAIT oder ZAIT stand. Jetzt kommt eine Bedrohungslage von außen, die alle Bereiche gleichermaßen betrifft.
Wie unterscheidet sich eigentlich die Dora-Verordnung von den Bafin-Vorgaben BAIT, VAIT, ZAIT oder KAIT?
Göltl: Die vorherigen Standards wie BAIT waren sehr stark auf die IT bezogen. Dora betrifft aber die Bank in Summe. Es geht um Resilienz gegenüber externen Einflüssen - das ist deutlich breiter und braucht die Zusammenarbeit zwischen den Abteilungen. Diese Verflechtung über alle Bereiche, Funktionen und Teams hinweg ist das Neue und Herausfordernde an Dora.
Wie sind die Unternehmen organisatorisch an die Umsetzung herangegangen?
Schmitz: Es gibt üblicherweise ein Zentralteam, es wird viel projekthaft gearbeitet. Aber man ist an Dora so herangegangen, wie man bisher an regulatorische Themen rangegangen ist: Anforderung analysiert, Maßnahmen überlegt. Erst jetzt, wo es die ersten Erkenntnisse aus Prüfungen gibt, merkt man: Die Dinge müssen eigentlich zusammenhängend betrachtet werden. Das lässt sich mit einer normalen Anforderungsanalyse nicht erreichen.
