DORA-Umsetzung im Fokus der Aufsicht

• Konkretisierung der BAIT-/VAIT-/KAIT-Anforderungen durch DORA
• IKT-/Drittpartei-Risiken: wesentliche Herausforderungen für Banken
• Proportionale DORA-Umsetzung: konkretes Vorgehen und notwendige Prozessanpassungen
• Vereinheitlichung der IT-Risiko-Aufsicht bei IT-Auslagerungen
• Dienstleister-Einbindung in IT-Notfallmanagement /BCM/TSCM
• DORA-Gap-Analyse: Überprüfung der DORA-Konformität von (IT-) Dienstleistern und Cloud-Service-Providern

Mit »DORA« (Digital Operational Resilience Act) schafft die Aufsicht ein europaweit einheitliches Aufsichts- Rahmenwerk für digitale Risiken der Informations- und Kommunikationstechnologien (IKT) von Banken, Versicherungen und für kritische IKT-Drittanbieter. Hiermit gehen weitreichenden Veränderungen in den Prozessen der Dienstleister-Steuerung und des Informationsrisikomanagements einher.

Aufgrund der zunehmenden Digitalisierungs- und Cyber-Risiken ist die Regulierung von IKT-Dienstleister*innen, einschließlich Cloud-Anbieter*innen, in den Fokus der Aufsicht gerückt und hebt den Bereich der digitalen Finanzregulierung auf die nächste Stufe.

Da DORA im Vergleich zur BAIT, VAIT und KAIT konkretere Vorgaben enthält, werden derzeit bestehende Ermessensspielräume von Instituten, Versicherungsunternehmen und Dienstleistern stark reduziert.

Die Themen IT-Sicherheit und ITGovernance aber auch das (IT-)Notfallmanagement (BCM/ITSCM) gewinnen dadurch weiter an Bedeutung und sind somit erklärte Prüfungsschwerpunkte der Aufsicht.

Die neuen Anforderungen sind proportional und gemeinsam mit den jeweiligen (IT-)Dienstleister*innen von den Instituten umzusetzen.