Tägliche Archive: 05/03/2025

3 Beiträge

DORA

Der Digital Operational Resilience Act (DORA) ist eine EU-Verordnung, die 2023 in Kraft getreten ist und deren Übergangsfrist mit 17.1.2025 endete. Sie ist Teil des digitalen Finanzpakets der EU-Kommission mit dem Ziel, die digitale Widerstandsfähigkeit des europäischen Finanzmarkts zu erhöhen und gilt auch für Versicherungsunternehmen.

Mit Ende der Übergangsfrist müssen nun Versicherungsunternehmen durch eine Reihe von Maßnahmen sicherstellen, dass ihre Informations- und Kommunikationstechnologie (IKT) jederzeit auch bei größeren IKT-Vorfällen, korrekt und zuverlässig weiterarbeiten oder rasch wiederhergestellt werden kann.

Viele Versicherungsunternehmen befanden sich in einer intensiven Umsetzungsphase, um bis Jänner 2025 die geforderten Anforderungen zu erfüllen. Diese Anforderungen umfassen die vier verpflichtenden Säulen von DORA:

  1. Governance und IKT-Risikomanagement
  2. Reporting von IKT-bezogenenen Vorfällen
  3. Prüfung digitaler Betriebsstabilität
  4. Steuerung der IKT-Drittanbieter

 

Ein wesentlicher Aspekt von DORA ist Resilienz. Das bedeutet, dass ein ganzheitlicher Ansatz unabhängig von den Auslösern von IKT-Vorfällen gewählt werden muss. Sowohl sicherheitstechnische Vorfälle (zB Hackerangriffe) als auch klassische IKT-Ausfälle müssen hierbei betrachtet werden. Viele, oftmals schon vorhandene Prozesse müssen verbunden oder abgestimmt werden. Ein wesentlicher Erfolgsfaktor dabei ist eine genaue und fließende Abstimmung der Prozesse und Kommunikation zwischen IT-Betrieb und Cyber Security. Insbesondere sind hier die strikten Meldepflichten bei IKT-Vorfällen an die Aufsichtsbehörde zu beachten.

Eine weitere Herausforderung bei vielen DORA-Umsetzungsprojekten war das Thema IKT-Dienstleistersteuerung. Im Fokus steht dabei einerseits die Sicherheit der IKT-Lieferkette zu gewährleisten und andererseits die Überwachung des Konzentrationsrisikos in Bezug auf IKT-Dienstleister sicher zu stellen. Insbesondere muss eine tourliche Überwachung der gesamten IKT-Lieferkette etabliert werden. An der Verbesserung der IKT-Dienstleistersteuerung sind praktisch immer mehrere Abteilungen oder Teams beteiligt: IT-Betrieb, Cyber Security, Compliance, Risikomanagement, Legal und Procurement. Wesentlich ist hier, dass Aufgaben, Verantwortlichkeiten und Rollen klar definiert und geregelt sind. Darüber hinaus sind hier entsprechend vorgegebenen Berichtspflichten zu erfüllen. Grundsätzlich um die Informationen über die IKT-Dienstleister regelkonform zu führen, aber auch um die Geschäftsführung in Zusammenarbeit mit dem Risikomanagement über mögliche Auswirkungen auf kritische und wichtige Funktionen in Kenntnis zu setzen und entsprechende Risiken zu erfassen und zu bewerten.

FAZIT:

Die Versicherungsunternehmen verfügen in der Regel oft über komplexe und heterogene IT-Infrastrukturen, die aus verschiedenen Systemen und Technologien bestehen, was die Unternehmen natürlich vor Herausforderungen stellte. Insbesondere ist für die Implementierung von DORA spezialisiertes Know-How im Bereich der IT-Security als auch des Risikomanagements notwendig, welches eventuell aufgebaut bzw. ausgebaut werden musste und auch weiterhin muss. Die Umsetzung der DORA-Verordnung erfordert oft einen kulturellen Wandel innerhalb der Unternehmen, bei dem IT-Sicherheit in Verbindung mit Risikomanagement als zentrale Geschäftsziele erkannt werden und entsprechend priorisiert werden. Dementsprechend bilden insbesondere die Überwachung und Berichterstattung von IT-Risiken und IT-Vorfällen, die Steuerung von IKT-Drittanbietern sowie allgemein die Sicherstellung der digitalen Betriebsstabilität einen wichtigen Rahmen bei künftigen strategischen Planungen von Entscheidungsträgern.

Erstes Jungaktuarstreffen in Graz

Das neue Jahr hat am 9.1. noch ganz verschlafen geblinzelt als sich gute zweieinhalb Dutzend Jungaktuar:innen in den hochmodernen Räumlichkeiten der ältesten Versicherung Österreichs, der Merkur Versicherung in Graz, zusammengefunden haben. Das Experiment, ein Jungaktuarstreffen auch einmal außerhalb Wiens zu veranstalten, ist geglückt. Neben zahlreichen lokalen Teilnehmer:innen sind auch ein paar Gäste aus Wien angereist. Einerseits, weil Mag. Bock (Leiter Risikomanagement und Konzernmathematik, Merkur Versicherung) freundlich eingeladen und ausgezeichnet bewirtet hat, andererseits – und das freut uns ganz besonders – weil es wieder eine berufsbegleitende Aktuarausbildung gibt und tags darauf die von Dr. Thonhauser (Institut für Statistik, TU Graz) initiierte Lehrveranstaltung „Internationale Rechnungslegung für Versicherungsunternehmen“ stattgefunden hat, die dadurch ein Vorabendprogramm mit interessierten Gesprächspartner:innen bekommen hat. Bei (hauseigenen) Pinsen, Brötchen und lokalem Bier haben sich alle gut unterhalten und konnten erfolgreich neue Bekanntschaften knüpfen, ein voller Erfolg! Danke Graz, es hat uns sehr gefreut, wir kommen wieder.

IDD-Punkte für ÖFdV-Seminare

Die Österreichische Förderungsgesellschaft der Versicherungsmathematik, Tochtergesellschaft der AVÖ, begann das neue Jahr mit der erfolgreichen Zertifizierung mit den IDD-Gütesiegeln.  Bei Seminaren der ÖFdV GmbH, welche dem Lehrplan der Versicherungsmakler:innen und -berater:innen entsprechen, können nun auch IDD-Einheiten erworben werden.

Bei den Seminarankündigungen werden in Zukunft auch die jeweils erwerbbaren IDD-Punkte angegeben.

Sollte für eine Seminarteilnahme im Jahr 2024 eine Teilnahmebestätigung inklusive IDD-Punkten benötigt werden, bitten wir um Kontaktaufnahme unter office@oefdv.at.