Auch Finanzinstitute sind immer mehr von IT-Systemen und digitalen Prozessen abhängig. Gleichzeitig gewinnen die Sicherheit und Resilienz dieser Systeme zunehmend an Bedeutung. Um den steigenden Bedrohungen durch Cyber-Attacken und IT-Störungen zu begegnen, hat die Europäische Union den Digital Resilience Act (kurz: DORA) ins Leben gerufen. DORA zielt darauf ab, die digitale Widerstandsfähigkeit von Banken und Sparkassen zu stärken und sicherzustellen, dass sie auch in Krisensituationen zuverlässig und sicher agieren können.
Der neue EU-Rechtsrahmen zur Stärkung der Stabilität und Widerstandsfähigkeit der Kapitalmärkte stellt Finanzinstitute vor große Herausforderungen. Ergänzend zu bestehenden Richtlinien wie MaRisk und BAIT erfordert er umfassende Anpassungen in den Bereichen IT-Sicherheit, Risiko-Management und Compliance. Ab dem 17. Januar 2025 müssen Banken und Sparkassen ein gründliches Management von Cyber-Security- und IKT-Risiken etabliert haben. Diese Maßnahmen zielen darauf ab, die Sicherheit und Resilienz der IT-Systeme und Dienstleistungen im Finanzsektor zu gewährleisten und damit letztlich auch das Vertrauen der Kunden zu stärken.
Das kommt auf Finanzinstitute zu
Die neuen Vorschriften gemäß DORA stellen Finanzinstitute vor erweiterte Anforderungen in mehreren zentralen Bereichen: Sie müssen strengere IT-Sicherheitsmaßnahmen einführen, darunter stärkere Sicherheitsprotokolle und regelmäßige Sicherheitsprüfungen. Darüber hinaus müssen Banken Cyber-Angriffe sofort den Aufsichtsbehörden melden und detaillierte Berichte über IT-Risiken und getroffene Maßnahmen vorlegen. Im Bereich des Risiko-Managements für ihre IT-Systeme müssen Finanzdienstleister robustere Systeme implementieren und regelmäßig Risikobewertungen sowie Stress-Tests durchführen. Außerdem gibt es strengere Vorschriften für das Management von Drittanbietern, einschließlich einer verstärkten Kontrolle und Überwachung von IT-Dienstleistern. Um die neuen Vorschriften zu erfüllen, sind ein effektives Vertragsmanagement und regelmäßige Sicherheitsbewertungen von entscheidender Bedeutung.
Neue Herausforderungen meistern
Um die DORA-Anforderungen zu meistern ist eine technologische Aufrüstung bei Banken und Sparkassen unerlässlich. Sie sind gut beraten, in modernere und sicherere IT-Infrastrukturen zu investieren sowie neue Technologien zur Überwachung und Abwehr von Cyber-Bedrohungen zu integrieren. Die Komplexität der Compliance erfordert eine Anpassung bisheriger Systeme und Prozesse. Diese beinhalten auch den Aufbau und die Erweiterung der Compliance-Teams, um sicherzustellen, dass alle Vorschriften korrekt umgesetzt werden. Zudem steigt der Kostendruck durch die Notwendigkeit, die IT- und Sicherheitsbudgets zu erhöhen. Zusätzliche Kosten entstehen auch durch erforderliche Schulungen und regelmäßige Audits, um die Einhaltung der neuen Standards zu gewährleisten.
Darüber hinaus spielt die Mitarbeiterschulung eine zentrale Rolle bei der Bewältigung der DORA- Herausforderungen. Regelmäßige Schulungen und Sensibilisierungsprogramme für alle Mitarbeitenden sind notwendig, um ein hohes Sicherheitsniveau zu gewährleisten. Eine kontinuierliche Überwachung und Verbesserung der IT-Sicherheitslage ist ebenfalls entscheidend. Finanzinstitute sollten dafür entsprechende Prozesse einrichten – auch um die Sicherheitsprotokolle und -maßnahmen weiter zu verbessern. Die Basis dafür können aktuelle Bedrohungen und identifizierten Schwachstellen bilden. Diese Schritte sind essenziell, um den neuen regulatorischen Anforderungen gerecht zu werden und die Stabilität und Sicherheit der Finanzmärkte zu gewährleisten.
Mit P3N DORA erfolgreich umsetzen
Die erfolgreiche Umsetzung der DORA-Richtlinie stellt Banken und Sparkassen vor Herausforderungen, bietet jedoch gleichzeitig die Chance, ihre digitale Widerstandsfähigkeit zu stärken und sich effektiver gegen zukünftige Cyber-Angriffe zu schützen. Schätzungen zeigen: Die Implementierung von DORA erfordert durchschnittlich eine dreistellige Anzahl an Personentagen pro Kreditinstitut. Das liegt an den komplexen, institutsweiten Aufgabenstellungen und den knappen Zeitvorgaben, die ein konsequentes, systematisches und methodensicheres Projektmanagement notwendig machen. Die Teilprojekte zur Umsetzung erfordern erfahrene und methodisch versierte Projektleiter, die in Banken und Sparkassen jedoch knapp sind. Es ist entscheidend, frühzeitig potenzielle Herausforderungen zu identifizieren und Lösungsansätze für die Umsetzung von DORA zu entwickeln. Die fachlichen Erfahrungen und Interpretationen sind hauptsächlich über Verbände verfügbar, doch das spezifische Fachwissen für die individuelle Anpassung ist begrenzt. Die operative Umsetzung beansprucht viele Ressourcen und steht im Konflikt mit dem täglichen Geschäftsbetrieb. DORA betrifft das gesamte Unternehmen und erfordert ein effektives Change Management sowie eine Sensibilisierung aller Mitarbeitenden und Führungskräfte, um den erfolgreichen Betrieb sicherzustellen.
So unterstützt P3N bei der DORA-Umsetzung:
Methodenunterstützung:
- Die Unterstützung des Gesamtprojektleiters umfasst die Projektplanung und -strukturierung gemäß den Empfehlungen des Deutschen Sparkassen- und Giroverbands (DSGV).
Fachberatung:
- Im Bereich IKT-Risikomanagement bieten wir Expertise in Governance und Organisation, IKT-Systemen sowie in der Implementierung von Protokollen und Tools.
- Unsere Dienstleistungen umfassen auch Sensibilisierungs- und Schulungsmaßnahmen für Ihre Teams.
- Beim IKT-Drittanbietermanagement unterstützen wir Sie beim Aufbau eines Informationsregisters und bei der Definition von Vertragsanforderungen.
- Wir optimieren Ihre Prozesse im IKT-Vorfallsmeldewesen für eine effiziente Handhabung von Zwischenfällen.
Operative Umsetzung:
- Wir aktualisieren Ihre Verträge und führen eine präzise Datenpflege z.B. in RiMaGo durch.
Laufender Betrieb:
- Wir koordinieren und führen regelmäßige Krisenmanagement- und Notfallübungen durch, um Ihre Reaktionsfähigkeit zu verbessern.
- Unsere Experten unterstützen Sie bei der Auditierung von Verträgen mit IKT-Dienstleistern.
- Zudem bieten wir Unterstützung für Ihr Informationssicherheitsmanagement (ISB) an, um die Sicherheit und Kontinuität Ihrer Geschäftsprozesse zu gewährleisten.
Fazit
Fest steht: Die Umsetzung der DORA-Vorschriften für Banken, Sparkassen und ihre Dienstleister stellt keine einfache Aufgabe dar, die sich mit ein paar zusätzlichen Maßnahmen und Anpassungen bewältigen lässt. Vielmehr hängen Komplexität und zusätzlicher Aufwand stark vom aktuellen Umsetzungsstand der MaRisk und BAIT in jedem einzelnen Institut ab. Der Grad der Herausforderungen variiert entsprechend der bereits vorhandenen regulatorischen Compliance und der strukturellen Vorkehrungen, die jedes Institut bereits getroffen hat.