n der heutigen digitalisierten Welt gewinnt das Thema IT-Sicherheit und Resilienz immer mehr an Bedeutung, besonders in der Versicherungsbranche. Die Digital Operational Resilience Act (DORA) ist eine neue Regulierung der Europäischen Union, die darauf abzielt, die Widerstandsfähigkeit und Sicherheit der Finanz- und Versicherungsunternehmen gegenüber IT-Risiken zu stärken. Als Experten für regulatorische Anforderungen begleiten wir mit unserem Team derzeit eine Vielzahl von Projekten zur Identifizierung von Gaps und zur Umsetzung von Anforderungen aus der DORA und möchte Ihnen einen Einblick in die aktuellen Herausforderungen und Chancen geben.
Der aktuelle Stand der Umsetzung
In unseren Projekten sehen wir häufig, dass sich insbesondere kleine und mittlere Versicherungsunternehmen und Pensionskassen, noch in der Anfangsphase der Umsetzung befinden. Die meisten sind mit einer Gap-Analyse beschäftigt, um die Lücken zwischen dem Status Quo und den Anforderungen der DORA zu identifizieren und zu bewerten. Erste Erkenntnisse sind vielfach bereits vorhanden, aber die konkrete Umsetzung steht noch bevor. Hierbei zeigt sich, dass viele Unternehmen mit der Komplexität und dem Umfang der neuen Anforderungen externe Unterstützung suchen, um der Komplexität der Aufgaben ebenso wie der Bearbeitung identifizierter Arbeitspakete Herr zu werden.
Die großen Herausforderungen
Eine der größten Herausforderungen bei der Umsetzung der DORA ist die Erstellung und/oder Erweiterung und Ergänzung der schriftlich fixierten Ordnung (z.B. Richtlinien und Verfahren). Diese müssen nicht nur entwickelt, sondern auch unternehmensweit organisatorisch und prozessual verankert werden. Zudem müssen neue vertragliche Vereinbarungen mit IKT Drittanbietern den regulatorischen Anforderungen an Anbindung und vertraglicher Kontrolle und Überwachung gerecht werden sowie bestehende Verträge mit IKT Drittanbietern angepasst oder sogar neu erstellt werden, um sicherzustellen, dass auch diese den neuen Anforderungen gerecht werden.
Ein weiterer wichtiger Aspekt ist die Anpassung der IT-Infrastruktur, um den erhöhten Sicherheitsanforderungen gerecht zu werden. Dies erfordert nicht nur technisches Know-how, sondern auch eine enge Zusammenarbeit zwischen den verschiedenen Abteilungen innerhalb des Unternehmens.
Weitere Unterstützungspunkte
- Schulungen und Sensibilisierung: Es ist entscheidend, dass Mitarbeiter auf allen Ebenen die neuen Richtlinien verstehen und in ihrer täglichen Arbeit anwenden können. Hier bietet sich an umfassende Schulungsprogramme zu implementieren, um das Bewusstsein für IT-Risiken und die Anforderungen von DORA zu schärfen.
- Notfall- und Krisenmanagement: Die Entwicklung und Implementierung von Notfallplänen, die sicherstellen, dass Ihr Unternehmen im Falle eines Cyberangriffs oder eines IT-Ausfalls schnell reagieren kann, ist essenziell.
- Kontinuierliches Monitoring und Reporting: DORA verlangt kontinuierliches Monitoring und regelmäßige Berichte über die IT-Sicherheitslage.
- Externe Prüfung: Um sicherzustellen, dass Ihre Maßnahmen den DORA-Anforderungen entsprechen, bieten wir Unterstützung bei der Vorbereitung externer Prüfungen.
Der Bedarf an Arbeitskraft und Expertise
Die Umsetzung von DORA ist arbeitsintensiv und erfordert spezifische Fachkenntnisse. Es reicht nicht aus, die Anforderungen lediglich zu verstehen – sie müssen in die bestehenden Strukturen integriert und kontinuierlich überwacht werden. Viele Organisationen haben aber nicht die Anzahl an internen Ressourcen und benötigen externe Unterstützung, um die notwendigen Maßnahmen effektiv umzusetzen.
