Zum Inhalt gehen

DORA: Umsetzung in Versicherungsunternehmen

Sebastian Ertl
08. März 2021
capgemini-invent

Mit der Bezeichnung 2020 /0266 (COD) hat die Europäische Kommission am 24. September 2020 einen Vorschlag bezüglich der angedachten Verordnung des Europäischen Parlaments und des Rates „über die Betriebsstabilität digitaler Systeme des Finanzsektors“ (DORA) veröffentlicht.

Nach der ausstehenden Finalisierung und Verabschiedung des Dokumentes kann mit einem Inkrafttreten innerhalb von 12 Monaten nach diesem Datum gerechnet werden.

Bei der Umsetzung dieser in Teilen neuen Anforderungen befinden sich Versicherungsunternehmen in einem schwierigen Spannungsfeld zwischen Angemessenheit (Compliance), Wirtschaftlichkeit (Kosten) und den bestehenden versicherungsspezifischen Regelungen auf europäischer (z.B. EIOPA IKT Leitlinie) und nationaler (z.B. BaFin VAIT) Ebene.

Wie gelingt nun die angemessene und effiziente Umsetzung in der Versicherungspraxis? Durch ein etabliertes, risikobasiertes und fokussiertes Vorgehen, das auf etablierten VAIT-Strukturen (Versicherungsaufsichtliche Anforderungen an die IT)  und -Prozessen aufbaut und diese einbezieht!

DORA im Überblick

  • Anwendungsbereich: die Finanzbranche im weiteren Sinne; zusätzlich dazu IKT-Drittanbieter
  • Anwendungszeitraum: nach Veröffentlichung des Vorschlags (24.09.2020) wird in 2021 die Finalisierung und Verabschiedung erwartet, Inkrafttreten t+12 Monate
  • Ziel der Guideline: DORA beabsichtigt die IKT-Anforderungen im gesamten Finanzsektor zu konsolidieren und zu verbessern – mit dem Ziel, die digitale operative Widerstandsfähigkeit europäischer Finanzunternehmen zu stärken. Dabei schafft sie einheitliche Rahmenbedingungen für den gesamten Finanzsektor ohne nennenswerte Differenzierung zwischen Banken, Versicherungen, et cetera
  • Referenzierung: Weite Teile entsprechen bereits bestehenden europäischen Normen; zusätzlich ergeben sich Änderungen der Verordnungen (EG) Nr. 1060/2009, (EU) Nr. 648/2012, (EU) Nr. 600/2014 und (EU) Nr. 909/2014
  • Anforderungen in den Themengebieten: IKT-Risikomanagement, IKT-bezogene Vorfälle, Digitale Betriebsstabilität, IKT-Drittanbieter und Informationsaustausch

Aktuelle Situation

Digitale operative Widerstandsfähigkeit ist die Fähigkeit der Unternehmen, sicherzustellen, dass sie allen Arten von Störungen und Bedrohungen im Zusammenhang mit IKT standhalten können. Finanzunternehmen sind zielführend für Cyberangriffe geworden, die Kunden und Unternehmen ernsthaften finanziellen und reputitativen Schaden zufügen. Die nationalen Finanzaufsichtsbehörden in der gesamten EU sowie die europäischen Aufsichtsbehörden sind sich darin einig, dass Finanzunternehmen mit vollwertigen und modernen Fähigkeiten ausgestattet sein müssen. Entsprechend sollen Finanzunternehmen strenge Standards einhalten, um die unmittelbaren Auswirkungen und die weitere Ausbreitung von IKT-bezogenen Vorfällen zu begrenzen.

Spannungsfeld

Die derzeitigen EU-Vorschriften für das Management von IKT-Risiken sind in den einzelnen Finanzdienstleistungssektoren sehr unterschiedlich und haben sich in den vergangenen Jahren in unterschiedlichen Zeiträumen entwickelt. Sie befassen sich nur teilweise mit IKT-Risiken. Nationale Anforderungen und aufsichtsrechtliche Leitlinien können die Lücken teilweise füllen. Obwohl Finanzunternehmen in einem stark vernetzten finanziellen und digitalen Ökosystem tätig sind, wie von den europäischen Aufsichtsbehörden hervorgehoben, sind die Anforderungen an die Unternehmen, das IKT-Risiko anzugehen, fragmentiert und im gesamten Finanzsektor inkonsistent.

Auch wenn durch die neue Regelung rechtliche Klarheit über die geltenden IKT-Risikobestimmungen geschaffen wird – es ist essentiell, dass der Aufwand für die Umsetzung dieser neuen Regelung, vor allem im Hinblick auf die bereits bestehenden Regelungen, im Verhältnis steht. Es gilt den Wettbewerb zu schützen und die Aufwände und Kosten für die Unternehmen im Blick zu behalten.

Finanzunternehmen sind nicht gleichermaßen IKT-Risiken ausgesetzt. Die Risiken hängen von der Größe, den Funktionen und dem Geschäftsprofil der Unternehmen ab. Daher werden die Anforderungen verhältnismäßig angewandt, um sicherzustellen, dass die neuen Vorschriften zwar alle Finanzunternehmen abdecken, aber gleichzeitig auf die Risiken und Bedürfnisse bestimmter Unternehmen sowie auf ihre Größe und ihre Geschäftsprofile zugeschnitten sind.

Neue und konkretisierende Anforderungen mit entsprechenden Auswirkungen

Zahlreiche DORA-Anforderungen sind nicht über die bestehenden versicherungsspezifischen Anforderungen auf europäischer (z.B. EIOPA IKT Leitlinie) oder nationaler (z.B. BaFin VAIT) Ebene abgedeckt. Insbesondere im Vergleich zu den VAIT der BaFin formuliert DORA neue / zusätzliche Anforderungen (Ausweitung) bzw. konkretisiert diese (Konkretisierung).

Dies hat Auswirkungen auf die Rollen und Tätigkeiten der 1. und 2. Verteidigungslinie in den Themengebieten Risikomanagement, Informationssicherheit, Business Continuity Management und Ausgliederungsmanagement. Bestehende Rollen werden angepasst – neue / zusätzliche Tätigkeiten werden hinzukommen. Die inhaltliche und organisatorische Verzahnung und Zusammenarbeit innerhalb und zwischen den genannten Themengebieten wird forciert.

Der Fokus liegt dabei sowohl auf grundlegenden Themen wie Governance, Awareness und Rahmenbedingungen als auch ganz konkret auf Aufgaben wie Kontrollen, Überwachungsmechanismen, Tests und Informationsaustausch.

Kurz- und mittelfristiger Handlungsbedarf

Bei der angemessenen und wirtschaftlichen Umsetzung der DORA-Anforderungen empfehlen wir Versicherungsunternehmen, drei Schritte prioritär im Jahr 2021 vorzubereiten bzw. anzugehen.
Dabei sollte zunächst eine Reifegradbewertung anhand der DORA-Anforderungen durchgeführt werden. Daneben ist es notwendig, die erforderlichen Vorbereitungen für groß angelegte Testszenarien und das gewünschte Informationsregister für IKT-Drittanbieter zu starten.

Parallel nutzen wir unser im Rahmen der VAIT-Umsetzung etabliertes Vorgehen nun als Grundlage für die vollständige Compliance mit DORA und VAIT, auch unter Einbeziehung der neuen Handlungsfelder.

Dabei werden ein risikobasierter Ansatz und eine Ermittlung des individuellen Risikoprofils auf Basis der Situation des Versicherungsunternehmens verfolgt. Die Grundlage bildet dabei die Analyse der Ist-Situation bezugnehmend auf die Vollständigkeit der Compliance. Konkrete Handlungsfelder, die je nach Organisation, Prozessen und IT-Systemen unterschiedlich ausgestaltet sein können, werden proportional zu den ermittelten Risiken und im Hinblick auf die Erfüllung der Compliance entwickelt.

Vorhandenes und Erfahrungswerte nutzen

Die im Versicherungsunternehmen etablierten und dokumentierten Prozesse, Maßnahmen und Kontrollen sollten – soweit möglich – wiederverwendet und angepasst werden. Darüberhinausgehende Anforderungen oder somit entstehende Lücken zur Compliance können aus dem Abgleich der Anforderungen zwischen Ist-VAIT und Soll-DORA identifiziert und zielgerichtet bearbeitet oder geschlossen werden. Erfahrungen aus den VAIT-Aktivitäten, Prüfungen und den daraus resultierenden Umsetzungen können dabei nutzbringend eingesetzt werden. Auch bestehende Organisations- und Managementsysteme können in die neuen Anforderungen eingebunden werden – somit können bereits implementierte und dokumentierte Systeme (z.B. Internes Kontrollsystem) bei entsprechender Eignung wiederverwendet werden.

Fokussiertes Vorgehen

Eine unstrukturierte Umsetzung über alle Organisationen, Prozesse und IT-Systeme hinweg ist nicht effizient und führt auch nicht zum angestrebten Ziel. Vielmehr empfiehlt sich ein geplantes und fokussiertes Vorgehen unter Berücksichtigung eines risikobasierten Ansatzes (abgeleitet vom VAIT-Vorgehen) in drei Schritten:

  • Schritt 1: Analyse der Ist-Situation
  • Schritt 2: Abgleich Soll und Ist
  • Schritt 3: Umsetzung der Handlungsempfehlungen

Die Vorgehensweise entscheidet!

Aufwände und Wirtschaftlichkeit sind bei der Umsetzung der DORA-Anforderungen entscheidende Kriterien für die Wahl der Vorgehensweise. Unsere Vorgehen ist erprobt, effizient, risikobasiert und fokussiert auf die notwendigen Aktivitäten – und geräuschlos für die Unternehmen.

So können Unternehmen Zeit und Kosten im Projekt- und Linienbetrieb sparen und gleichzeitig die Qualität der Projekt- und Arbeitsergebnisse erhöhen.

Vielen Dank an die Autorin Sabrina Koll. Als Ansprechpartnerin für Rückfragen steht sie Ihnen gerne zur Verfügung.

Blog-Updates per Mail?

Abonnieren Sie unseren Newsletter und erhalten Sie alle zwei Monate eine Auswahl der besten Blogartikel.

Zur Anmeldung

Autor

Sebastian Ertl

Senior Director | Head of Governance, Risk & Compliance Insurance DACH, Capgemini Invent
Sebastian verfügt über langjährige Erfahrung in der Beratung und Prüfung von nationalen und internationalen Erst- und Rückversicherungsunternehmen in den Bereichen Finance, Risikomanagement und Compliance. Er unterstützt Versicherungsunternehmen dabei, regulatorische (z.B. VAIT), rechtliche (z.B. DSGVO) und fachliche (z.B. IFRS 17) Anforderungen effizient und angemessen in Versicherungsorganisationen, -prozessen und -systemen umzusetzen.

    Weitere Blogposts

    Überarbeitung der „Versicherungsaufsichtlichen Anforderungen an die IT“ (VAIT): Verschärfungen und Erweiterungen der BaFin-Regulierung

    Sebastian Ertl
    23. März 2022

    Beratungsbedarf der Kund*innen ist höher als Versicherer denken

    Martin Baumann
    29. Juli 2021

    Cloud-Compliance für Versicherungen: Nicht den Überblick verlieren

    Sebastian Ertl
    5. Mai 2021
    Alle Blogposts