Skip to main content

Praktische Herausforderungen bei der Implementierung der BaFin-Umsetzungshinweise für das IKT-Risikomanagement unter DORA

Die Einführung der Digital Operational Resilience Act (DORA) stellt einen wichtigen Schritt dar, um die digitale Resilienz im Finanzsektor zu stärken. Die BaFin hat hierzu spezielle Umsetzungshinweise veröffentlicht, die den Unternehmen helfen sollen, die neuen Anforderungen effektiv zu erfüllen. Allerdings bringt die Umsetzung in der Praxis diverse Herausforderungen mit sich, insbesondere im Bereich des IKT-Risikomanagements. Dieser Artikel beleuchtet die wichtigsten Schwierigkeiten und gibt Empfehlungen, wie Unternehmen diese bewältigen können.

BaFin-Umsetzungshinweise für das IKT-Risikomanagement unter DORA

1. Harmonisierung bestehender IT-Rahmenwerke

Eine der größten Herausforderungen bei der Umsetzung von DORA und den dazugehörigen BaFin-Leitlinien liegt in der Harmonisierung bestehender IT-Rahmenwerke. In Deutschland haben die Bankaufsichtlichen Anforderungen an die IT (BAIT), die Versicherungsaufsichtlichen Anforderungen an die IT (VAIT) und die Zahlungsdiensteaufsichtlichen Anforderungen an die IT (ZAIT) bisher die Standards für das IT-Risikomanagement gesetzt. Diese bestehenden Regelwerke umfassen detaillierte Vorgaben zur IT-Sicherheit, Governance und zum Risikomanagement.

DORA geht jedoch über diese Anforderungen hinaus und fordert eine umfassende Integration der digitalen Resilienz in alle Geschäftsprozesse. Die Herausforderung besteht darin, sicherzustellen, dass bestehende Rahmenwerke nahtlos mit den neuen Anforderungen von DORA verknüpft werden, ohne dabei Redundanzen oder Lücken zu schaffen. Die BaFin hat in ihren Umsetzungshinweisen bereits angedeutet, dass bestehende Vorschriften wie BAIT und VAIT größtenteils mit den DORA-Anforderungen übereinstimmen, doch Unterschiede in den methodischen Ansätzen können zu Umsetzungsproblemen führen​.

2. Erweiterung der Governance und Verantwortung

Ein zentrales Element der DORA-Verordnung ist die verstärkte Einbindung der Unternehmensführung in das IKT-Risikomanagement. Die BaFin weist darauf hin, dass Unternehmen eine klare Strategie für die digitale operationale Resilienz entwickeln müssen, die direkt von der obersten Führungsebene überwacht wird. Dies bedeutet, dass nicht nur IT-Abteilungen, sondern auch die Geschäftsführung aktiv in die Planung und Steuerung der digitalen Resilienz eingebunden werden müssen.

Die Herausforderung hier liegt darin, dass viele Unternehmen ihre Governance-Strukturen anpassen müssen, um diesen neuen Anforderungen gerecht zu werden. Dies kann zu erheblichen Änderungen in der internen Organisation führen. Vor allem kleine und mittelständische Finanzinstitute, die möglicherweise nicht über spezialisierte Ressourcen für das IT-Risikomanagement verfügen, stehen vor der Aufgabe, die Rolle des Managements klar zu definieren und sicherzustellen, dass die Verantwortlichkeiten für IKT-Risiken angemessen verteilt sind​.

3. Integrierte IKT-Risikomanagement-Strategie

DORA verlangt von Unternehmen eine integrierte IKT-Risikomanagement-Strategie, die alle Aspekte von Prävention, Schutz, Erkennung, Reaktion und Wiederherstellung abdeckt. Diese Strategie muss systematisch alle IKT-bezogenen Risiken erfassen und kontinuierlich bewertet werden. Während Unternehmen bereits IT-Sicherheitsprotokolle und Risikomanagementrichtlinien haben, fordert DORA eine weitreichendere Integration dieser Maßnahmen in den allgemeinen Geschäftsbetrieb.

Dies erfordert erhebliche Anpassungen, um sicherzustellen, dass alle IKT-Systeme, -Prozesse und -Tools regelmäßig auf ihre Resilienz geprüft werden. Dabei müssen Unternehmen auch sicherstellen, dass sie über die notwendige technische Infrastruktur und die entsprechenden personellen Ressourcen verfügen, um diese Anforderungen zu erfüllen. In der Praxis bedeutet dies oft, dass zusätzliche Schulungen und Kapazitäten aufgebaut werden müssen, um die neuen Anforderungen effektiv umzusetzen​​.

4. Erweiterte Berichts- und Meldepflichten

Ein weiterer kritischer Punkt bei der Umsetzung von DORA sind die erweiterten Berichts- und Meldepflichten für IKT-Vorfälle. Unternehmen müssen sicherstellen, dass sie über Systeme verfügen, die nicht nur eine schnelle Erkennung von Vorfällen ermöglichen, sondern auch die notwendigen Daten erfassen und eine zeitnahe Meldung an die zuständigen Aufsichtsbehörden gewährleisten. Dies schließt die Verpflichtung ein, schwerwiegende IKT-bezogene Vorfälle unverzüglich zu melden und entsprechende Berichte zu erstellen, die alle erforderlichen Informationen enthalten.

Die BaFin weist in ihren Leitlinien darauf hin, dass Finanzinstitute ihre bestehenden Meldeprozesse überarbeiten und verbessern müssen, um die neuen Anforderungen zu erfüllen. Dies stellt insbesondere Unternehmen vor Herausforderungen, die grenzüberschreitend tätig sind, da sie sicherstellen müssen, dass ihre Berichtsprozesse sowohl den nationalen als auch den EU-weiten Vorschriften entsprechen​​.

5. Umgang mit IKT-Drittparteienrisiken

Ein bedeutender Teil der DORA-Regulierung bezieht sich auf das Management von Risiken, die durch die Nutzung von IKT-Diensten von Drittanbietern entstehen. Unternehmen müssen sicherstellen, dass sie umfassende Due-Diligence-Prüfungen durchführen, klare Vertragsbedingungen festlegen und regelmäßige Überwachungen dieser Drittanbieter durchführen. Die BaFin hebt in ihren Umsetzungshinweisen hervor, dass Unternehmen genau prüfen müssen, wie sie IKT-Dienste von Drittanbietern beziehen und verwalten, insbesondere wenn diese Dienste kritische oder wichtige Funktionen unterstützen.

Die Umsetzung dieser Anforderungen erfordert erhebliche Anstrengungen, da viele Finanzunternehmen stark auf Drittanbieter angewiesen sind. Es müssen effektive Kontrollmechanismen implementiert werden, um sicherzustellen, dass die Leistung und Sicherheit der Drittanbieter den vorgeschriebenen Standards entspricht. Dies kann bedeuten, dass bestehende Verträge überprüft und neue Vereinbarungen ausgehandelt werden müssen, um die Einhaltung der DORA-Vorgaben sicherzustellen​​.

Fazit

Die Umsetzung der DORA-Vorgaben, wie sie von der BaFin in ihren Aufsichtsmitteilungen beschrieben werden, stellt Finanzunternehmen vor zahlreiche Herausforderungen. Insbesondere die Harmonisierung bestehender Rahmenwerke, die Stärkung der Governance-Strukturen, die Integration einer umfassenden IKT-Risikomanagement-Strategie, die erweiterten Berichts- und Meldepflichten sowie das Management von IKT-Drittparteienrisiken erfordern eine umfassende Anpassung interner Prozesse und Strukturen.

Die BaFin-Umsetzungshinweise bieten dabei wertvolle Unterstützung, um den Übergang zu einem robusten und einheitlichen Risikomanagementrahmen zu erleichtern. Finanzunternehmen sollten jedoch sicherstellen, dass sie frühzeitig mit der Anpassung ihrer internen Systeme und Prozesse beginnen, um die Anforderungen rechtzeitig und vollständig zu erfüllen. Ein risikobasierter Ansatz, der die Besonderheiten des eigenen Geschäftsmodells berücksichtigt, kann dabei helfen, die Anforderungen effizienter zu implementieren und langfristige Vorteile in Form von erhöhter digitaler Resilienz zu erzielen.

Dieses Seminar könnte dich interessieren: