Am 17. Januar 2025 ist es soweit. Ab dann gilt für fast alle in der EU operierenden Banken und Finanzinstitute der Digital Operational Resilience Act der EU, kurz DORA. Die neue EU-Verordnung regelt die digitale operationale Resilienz im Finanzsektor, um europäische Banken und den europäischen Finanzmarkt insgesamt besser vor Cyber-Attacken und ITK-Risiken zu schützen.
Von Michael Baldauf, Sen. Director & Industry Principal Banking EMEA bei Pegasystems.
Mit DORA ist erstmals eine einheitliche Regelung geschaffen, die verschiedene existierende Anforderungen und Vorgaben an die operative Resilienz und das operative Risikomanagement von Banken zusammenführt. DORA schließt damit die Lücke zwischen den bislang separaten Regelungen in Sachen Risikomanagement und Outsourcing sowie den Vorgaben bezüglich Security und Compliance der Informations- und Kommunikationstechnologie (ITK).
Regulierung auf allen Ebenen
Für Finanzinstitute bedeutet diese Regelung einen erheblichen Mehraufwand. Es ist daher abzusehen, dass die Kosten der Finanzinstitute für die Erfüllung von ITK-bezogenen Compliance-Vorgaben massiv steigen werden. Immerhin gilt es, die DORA-Regeln in fünf Geltungsblöcken umzusetzen:
- Risiko- und Governancemanagement der ITK
- Management und Berichterstattung ITK-bezogener Vorfälle
- Testen der digitalen operationalen Resilienz einschließlich Threat-Led Penetration Testing (TLPT)
- Management des ITK-Drittparteienrisikos und der ITK-Dienstleister, wie beispielsweise Onboarding, Supply Chains oder Vertragsgestaltung
- Interner und externer Austausch von Informationen
Bei der Erfüllung dieser Aufgaben müssen verschiedenste Abteilungen unterhalb des Vorstands zusammenarbeiten, die aktuellen Verträge sichten, gegebenenfalls nachverhandeln und gemeinsam neue Prozesse schaffen. Das betrifft die IT-, Risk- und Compliance-Abteilungen ebenso wie die Rechtsabteilungen.
Es ist zu erwarten, dass sich dafür eine neue Koordinations- und Leitungsfunktion im Sinne eines Operational Resilience Officer (ORO) als notwendig und sinnvoll herauskristallisieren wird. Besonderes Augenmerk gilt dabei den kritischen oder wichtigen Funktionen, deren Ausfall eine erhebliche Beeinträchtigung der finanziellen Leistungsfähigkeit, der Geschäftsfortführung oder regulatorischer Art darstellen würde.
Kein DORA ohne Automatisierung (und KI)
Angesichts der Aufgabenfülle und -komplexität ist jetzt schon klar, dass DORA ohne eine weitgehende Automatisierung von Prozessen nicht zu erfüllen sein wird. Aus der Umsetzung der KYC-Vorgaben (Know your Customer) können die Banken eine Menge aus den Erfahrungen mit komplexen Regelwerken, der Case-Automatisierung oder dem Auto-Routing mitnehmen.
Als typische Einsatzbereiche sind unter anderem das automatisierte Erkennen, Behandeln und Melden von Intrusionsversuchen, Echtzeit-Analysen und Reporting, die vorausschauende Risiko-Identifizierung, die Informationsbeschaffung und -qualifizierung, das Management von Testverfahren und -ergebnissen sowie das Berichtswesen denkbar. Dafür können unterstützend alle aktuellen Spielarten von KI (analytisch, prediktiv, generativ) genutzt werden.
Auch das Thema Schatten-IT erfährt durch DORA neue Brisanz. Damit rücken Low-Code-Plattformen verstärkt in den Fokus, da dort in den letzten Jahren entwickelte Fachbereichslösungen zum Risiko werden können. Der interne Softwareentwicklungs-Prozess selbst muss also ebenfalls DORA-konform aufgestellt werden, um mehr Anwender in die Entwicklung einbinden zu können.
DORA ist nicht das Ende, sondern erst der Anfang
DORA ist aller Voraussicht nach nicht das Ende einer Entwicklung, sondern deren Anfang, denn die Komplexität regulatorischer Anforderungen rund um das Thema OpResilience wird weiter steigen. Anpassungen und Erweiterungen sind damit vorprogrammiert.
Gleichzeitig steht Banken und Finanzdienstleistern mit DORA endlich ein zentraler Katalog von Regularien zur Verfügung, mit dem sich das OpRisk Management transparent messen und bewerten lässt, um objektiv zwischen gutem und schlechtem zu unterscheiden.
Es ist daher sehr wahrscheinlich, dass die Qualität des Risikomanagements sich zu einem weitaus größeren, selbstständigen Faktor entwickelt und zukünftig auch bei der Bewertung, Einstufung und gegebenenfalls Sanktionierung von Banken eine wichtige Rolle spielen kann.