Der Digital Operational Resilience Act (DORA) ist eine EU-Verordnung, die 2023 in Kraft getreten ist und deren Übergangsfrist mit 17.1.2025 endete. Sie ist Teil des digitalen Finanzpakets der EU-Kommission mit dem Ziel, die digitale Widerstandsfähigkeit des europäischen Finanzmarkts zu erhöhen und gilt auch für Versicherungsunternehmen.
Mit Ende der Übergangsfrist müssen nun Versicherungsunternehmen durch eine Reihe von Maßnahmen sicherstellen, dass ihre Informations- und Kommunikationstechnologie (IKT) jederzeit auch bei größeren IKT-Vorfällen, korrekt und zuverlässig weiterarbeiten oder rasch wiederhergestellt werden kann.
Viele Versicherungsunternehmen befanden sich in einer intensiven Umsetzungsphase, um bis Jänner 2025 die geforderten Anforderungen zu erfüllen. Diese Anforderungen umfassen die vier verpflichtenden Säulen von DORA:
- Governance und IKT-Risikomanagement
- Reporting von IKT-bezogenenen Vorfällen
- Prüfung digitaler Betriebsstabilität
- Steuerung der IKT-Drittanbieter
Ein wesentlicher Aspekt von DORA ist Resilienz. Das bedeutet, dass ein ganzheitlicher Ansatz unabhängig von den Auslösern von IKT-Vorfällen gewählt werden muss. Sowohl sicherheitstechnische Vorfälle (zB Hackerangriffe) als auch klassische IKT-Ausfälle müssen hierbei betrachtet werden. Viele, oftmals schon vorhandene Prozesse müssen verbunden oder abgestimmt werden. Ein wesentlicher Erfolgsfaktor dabei ist eine genaue und fließende Abstimmung der Prozesse und Kommunikation zwischen IT-Betrieb und Cyber Security. Insbesondere sind hier die strikten Meldepflichten bei IKT-Vorfällen an die Aufsichtsbehörde zu beachten.
Eine weitere Herausforderung bei vielen DORA-Umsetzungsprojekten war das Thema IKT-Dienstleistersteuerung. Im Fokus steht dabei einerseits die Sicherheit der IKT-Lieferkette zu gewährleisten und andererseits die Überwachung des Konzentrationsrisikos in Bezug auf IKT-Dienstleister sicher zu stellen. Insbesondere muss eine tourliche Überwachung der gesamten IKT-Lieferkette etabliert werden. An der Verbesserung der IKT-Dienstleistersteuerung sind praktisch immer mehrere Abteilungen oder Teams beteiligt: IT-Betrieb, Cyber Security, Compliance, Risikomanagement, Legal und Procurement. Wesentlich ist hier, dass Aufgaben, Verantwortlichkeiten und Rollen klar definiert und geregelt sind. Darüber hinaus sind hier entsprechend vorgegebenen Berichtspflichten zu erfüllen. Grundsätzlich um die Informationen über die IKT-Dienstleister regelkonform zu führen, aber auch um die Geschäftsführung in Zusammenarbeit mit dem Risikomanagement über mögliche Auswirkungen auf kritische und wichtige Funktionen in Kenntnis zu setzen und entsprechende Risiken zu erfassen und zu bewerten.
FAZIT:
Die Versicherungsunternehmen verfügen in der Regel oft über komplexe und heterogene IT-Infrastrukturen, die aus verschiedenen Systemen und Technologien bestehen, was die Unternehmen natürlich vor Herausforderungen stellte. Insbesondere ist für die Implementierung von DORA spezialisiertes Know-How im Bereich der IT-Security als auch des Risikomanagements notwendig, welches eventuell aufgebaut bzw. ausgebaut werden musste und auch weiterhin muss. Die Umsetzung der DORA-Verordnung erfordert oft einen kulturellen Wandel innerhalb der Unternehmen, bei dem IT-Sicherheit in Verbindung mit Risikomanagement als zentrale Geschäftsziele erkannt werden und entsprechend priorisiert werden. Dementsprechend bilden insbesondere die Überwachung und Berichterstattung von IT-Risiken und IT-Vorfällen, die Steuerung von IKT-Drittanbietern sowie allgemein die Sicherstellung der digitalen Betriebsstabilität einen wichtigen Rahmen bei künftigen strategischen Planungen von Entscheidungsträgern.
