DORA erfordert Weiterentwicklung des Risikomanagementsystems

Mit der fortschreitenden Integration von Technologie und digitalen Lösungen in nahezu allen Bereichen der Finanzindustrie sind neue Herausforderungen und Risiken entstanden. Angesichts dieser Entwicklungen haben das Europäische Parlament und der Europäische Rat den Digital Operational Resilience Act (DORA) entwickelt, mit dem Ziel, die operationelle Widerstandsfähigkeit von Finanzinstituten und Dienstleistern gegenüber digitalen Bedrohungen wie Cyberangriffen, technischen Ausfällen und anderen digitalen Störungen zu stärken. 

Die Umsetzung des ab 2025 verpflichtenden Digital Operational Resilience Act (DORA) erfordert eine umfassende Überprüfung und Weiterentwicklung verschiedener Aspekte des Risikomanagementsystems. Dazu gehören insbesondere: 

1. Risikoermittlung und -bewertung: Ausweitung auf digitale Risiken und Schwachstellen. 
2. Cybersicherheit und technologische Resilienz: Stärkung der Cybersicherheitsmaßnahmen, um Angriffe zu erkennen und digitale Bedrohungen wie  Malware und die Verschlüsselung sensibler Daten abzuwehren. 
3. Notfallmanagement und Incident Response (Vorfallreaktion): Entwicklung wirksamer Verfahren zur Bewältigung digitaler Vorfälle. Dazu gehören Ablaufpläne für die Identifizierung, Meldung und Reaktion auf digitale Störungen, um schnell und gezielt auf akute Bedrohungen reagieren zu können. 
4. Drittanbieter- und Lieferantenmanagement: Kritische Überprüfung der Abhängigkeiten von Drittanbietern und Lieferanten sowie Sicherstellung, dass diese die Anforderungen von DORA erfüllen. 
5. Kontinuitätsplanung und Wiederherstellung: Entwicklung von robusten Kontinuitätsplänen, zur Sicherstellung der Geschäftskontinuität im Falle von digitalen Störungen oder Ausfällen. 
6. Überwachung und Berichterstattung: Etablierung einer effektiven kontinuierlichen Überwachung der digitalen Aktivitäten und Risiken sowie Etablierung eines entsprechenden Berichtswesens. 
7. Kommunikation und Kooperation: Etablierung von Mechanismen zum Austausch von Informationen über digitale Risiken und Störungen mit anderen Finanzinstituten, Aufsichtsbehörden und relevanten Stakeholdern. 
8. Schulung und Sensibilisierung: Die Sensibilisierung der Mitarbeitenden für digitale Risiken, um ein bewusstes Verhalten im Umgang mit digitalen Systemen und Daten zu fördern. 
9. Kultur der Resilienz: Gewährleistung einer Kultur der digitalen Widerstandsfähigkeit und Resilienz auf allen Ebenen der Organisation, um ein proaktives Risikomanagement und eine proaktive Anpassung zu fördern. 

Zusammenfassend gilt es für Finanzinstitute und deren Dienstleister, den Weiterentwicklungsbedarf ihres Risikomanagementsystems anhand der konkreten Anforderungen von DORA zu identifizieren und eine fristgerechte Umsetzung sicherzustellen – zur Erfüllung der zukünftigen regulatorischen Anforderungen, aber insbesondere auch zur Sicherstellung der eigenen Resilienz. 

Autor: Julian Bischof