DORA die Schreckliche? Die EU macht Druck bei Cyber-Sicherheit
Mit dem Digital Operational Resilience Act (kurz: DORA) kommt neue Regulierung aus Europa auf die Versicherungsbranche zu. Doch mit Blick auf Cyber-Sicherheit leistet DORA etwas Besonderes, meint Dirk Weske, Vorstand PPI AG.
Mitten in Europa herrscht Krieg. Das sehen wir fast täglich an den schrecklichen Bildern, die uns von zerstörten Gebäuden, Infrastrukturen und der Front in der Ukraine erreichen. Weit weniger im Lichte der medialen Öffentlichkeit steht ein weiterer Kriegsschauplatz, bei dem sich die Angriffe nicht auf die Ukraine beschränken, sondern sich gegen uns alle in Europa und der freien Welt richten.
Anzeige
Sie ahnen sicherlich, wovon ich rede: Vom hybriden Krieg im Cyber-Space. Seit dem Beginn des russischen Angriffskriegs auf die Ukraine haben die Angriffe auf deutsche und europäische Unternehmen und Behörden deutlich zugenommen. Für viele dieser Angriffe sind staatliche Akteure verantwortlich. Aber auch Kriminelle greifen gezielt Unternehmen und Behörden an, um zum Beispiel Lösegelder für entwendete oder verschlüsselte Daten zu erpressen.
Nach einer Studie des Branchenverbands Bitkom beliefen sich die Schäden durch Cyber-Kriminalität in der deutschen Wirtschaft 2023 auf 206 Milliarden Euro. Das ist doppelt so hoch wie noch 2019. Einer weiteren Bitkom-Studie zufolge erwarten zwei Drittel der Unternehmen einen Cyberangriff in den kommenden Monaten; lediglich 43 Prozent sehen sich jedoch in der Lage, sich zuverlässig davor zu schützen.
Versicherungsunternehmen und Banken sind in besonderem Maße Ziel von Cyberattacken. Denn sie verfügen nicht nur über Unmengen an für Erpressungsversuche besonders geeigneten Daten, sondern gehören auch zu den kritischen Infrastrukturen unserer Gesellschaft. Beides macht sie zu einem attraktiven Ziel für die Angreifer.
Mit dem Digital Operational Resilience Act (kurz: DORA) definiert die Europäischen Union deshalb einheitliche, verbindliche und kurzfristig umzusetzende Anforderungen an die Finanzindustrie, um die Widerstandsfähigkeit gegenüber Cyberangriffen und weiteren IKT-Risiken konsequent und nachhaltig zu stärken.
Mein Eindruck ist, dass die allermeisten Versicherer Bedeutung und Auswirkungen der DORA-Regulierung erkannt haben und sich bereits intensiv damit beschäftigen. Mehr noch: Ich habe das Gefühl, dass es mit DORA zum ersten Mal seit Solvency II eine EU-Regulierung gibt, die wirklich eine nahezu uneingeschränkte Priorität in den VU genießt.
Das ist auch gut so. Denn die Liste der Anforderungen ist lang – und die Zeit bis zur Anwendung im Januar 2025 ist kurz. Zumal im schlimmsten Fall bei Nichteinhaltung erhebliche Strafen von täglich ein Prozent des weltweiten durchschnittlichen Tagesumsatzes des vergangenen Jahres drohen.
Ich persönlich stehe vielen regulatorischen Ambitionen eher kritisch gegenüber, bei DORA ist das jedoch anders. Denn es verankert das Thema Cyber-Sicherheit dort, wo es hingehört: in das Top-Management der Versicherungsunternehmen und Banken.
Das ist wichtig, denn Cyberangriffe können durch massiven Datenverlust oder -abfluss nicht nur irreparable Reputationsschäden bei Kunden und Partnern verursachen, sondern bedrohen im schlimmsten Falle auch das Weiterbestehen des betroffenen VU.
Unsere Welt ist spürbar unsicherer und instabiler geworden, gerade Versicherungsunternehmen sind da gesellschaftlich wichtige Garanten und Stützpfeiler von Stabilität und Verlässlichkeit. Die DORA trägt dieser wichtigen Rolle Rechnung.
Anzeige