Neue DORA-Anforderungen im Fokus der Aufsicht

• Ablösung der BAIT-/ VAIT-/ KAIT-Anforderungen durch DORA
• IKT-/Drittpartei-Risiken als wesentliche Herausforderung für Banken
• Proportionale DORA-Anwendung: Konkretes Vorgehen und notwendige Prozessanpassungen
• Abgrenzung kritischer und wichtiger Funktionen und Dienstleister
• Dienstleister-Einbindung in IKT-Notfallmanagement /BCM/ ITSCM
• DORA-Gap-Analyse und Überprüfung der DORA-Konformität von (IKT-)Dienstleistern und Cloud Service Providern

Mit »DORA« (Digital Operational Resilience Act) schafft die Aufsicht ein europaweit einheitliches Aufsichts- Rahmenwerk für digitale Risiken der Informations- und Kommunikationstechnologien (IKT) von Banken, Versicherungen und für (kritische) IKT-Drittanbieter. Hiermit gehen weitreichende Veränderungen in den Prozessen der Dienstleister-Steuerung und des Informationsrisikomanagements einher.

Aufgrund der zunehmenden Digitalisierungs- und Cyber-Risiken ist die Regulierung von IKT-Dienstleistern, einschließlich Cloud-Anbietern, in den Fokus der Aufsicht gerückt und hebt den Bereich der digitalen Finanzregulierung auf die nächste Stufe.

Da DORA im Vergleich zur BAIT, VAIT und KAIT konkretere Vorgaben enthält, werden derzeit bestehende Ermessensspielräume von Instituten, Versicherungsunternehmen und Dienstleistern stark reduziert.

Die Themen IT-Sicherheit und IT-Governance, aber auch das (IT-)Notfallmanagement (BCM / ITSCM) gewinnen dadurch weiter an Bedeutung und sind somit erklärte Prüfungsschwerpunkte der Aufsicht.