Bereits im Januar dieses Jahres ist der Digital-Operational-Resilience-Act (DORA), eine Verordnung der europäischen Union, in Kraft getreten. Umzusetzen ist das EU-Gesetz bis zum 17.01.2025. Obwohl es sich vorrangig an den Finanzsektor richtet, können auch andere Unternehmen, wie beispielsweise IT-Dienstleister davon betroffen sein. Firmen, die in diese Kategorie fallen oder selbst im Finanzsektor tätig sind, sollten sich also frühzeitig mit der Verordnung befassen. Hendrik Fundermann, COO für den Geschäftsbereich Financial & Professional Services bei d.velop, gibt vier Tipps, wie sie dabei am besten beginnen.
Prüfen, ob das eigene Unternehmen betroffen ist
Zunächst zielt die DORA-Verordnung auf das europäische Finanzsystem ab. In Deutschland sind davon in erster Linie alle BaFin-regulierten Unternehmen betroffen. Dies umfasst Banken und Versicherungsgesellschaften. Dazu kommen Wertpapierfirmen wie beispielsweise Broker. Außerdem sind Zahlungsdienstleister betroffen, darunter fallen auch E-Geld-Institute und nicht zuletzt weitere Finanzdienstleister.
Darüber hinaus erstreckt sich DORA aber auch auf Unternehmen der Informations- und Kommunikationstechnik (IKT), falls diese für regulierte Unternehmen als Dienstleister tätig sind und als kritisch eingestufte Infrastrukturen bereitstellen. Software-Anbieter, die beispielsweise Banken in ihrem Kundenstamm haben, sollten sich also ebenfalls mit der Verordnung vertraut machen. Am besten arbeiten sie bereits frühzeitig mit den betroffenen Kunden zusammen.
DORA – Rechtzeitig handeln
Zwar haben Unternehmen noch bis zum 17.01.2025 Zeit, um DORA umzusetzen. Allerdings sollten sie sich nicht darauf ausruhen. Die Komplexität hinter der compliancegerechten Umsetzung sollte man nicht unterschätzen. Neben In-House-Prozessen sind häufig auch Ergänzungen in Verträgen mit Dienstleitern notwendig bis hin zur Anpassung der Systemlandschaft. Dies alles benötigt natürlich seine Zeit in der Umsetzung.
Mehrarbeit einkalkulieren
Neben dem Zeitbedarf sollte man auch den personellen Aufwand der Prüfungen und Anpassungen nicht unterschätzen und entsprechend frühzeitig planen. Den Aufwand, der hier geleistet werden muss, sollten Finanzunternehmen allerdings nicht nur als notwendiges Übel, sondern auch als Chance sehen. Es ist die Gelegenheit, ein ganzheitliches Verständnis der technischen Infrastruktur eines Instituts zu erlangen und Silos zwischen einzelnen Abteilungen abzubauen. So können ineffiziente Doppelstrukturen abgebaut und Synergien genutzt werden.
Partner einbeziehen
Banken und andere Finanzdienstleister sollten bedenken, dass auch ihre IT-Partner und (Sub-) Dienstleister von der Verordnung betroffen sein können. Das heißt, Verantwortliche sollten hier frühzeitig auf die Anbieter zugehen und gegebenenfalls gemeinsame Strategien abstimmen. DORA verlangt zudem die vollständige Dokumentation von IT-Dienstleistern sowie Exit-Strategien für kritische Services. Nicht zuletzt benötigen die Unternehmen zur Erfüllung der Dokumentations- und Berichtspflichten effiziente Software. Lösungen für das Dokumentenmanagement können beispielsweise dabei helfen, schlanke und automatisierte Prozesse zu etablieren, die Mitarbeiter entlasten.
Fazit
Die Erwartungen an kritische Infrastruktur in Zeiten global exponentiell steigender Cyberangriffe erfordern zielgerichtetes und länderübergreifendes Handeln. DORA ist somit eine Maßnahme, die zu mehr Sicherheit und Resilienz der Systeme führen soll. Die betroffenen Unternehmen sollten dies als Chance sehen, sich mit ihrer Systemlandschaft effizient und effektiv aufzustellen und frühzeitig mit der Umsetzung entsprechender Maßnahmen beginnen.
#d_velop
