Mit dem Digital Operational Resilience Act (DORA) ist eine neue EU-Verordnung in Kraft getreten, die ihren Fokus auf die Sicherheit von Daten und Technologien setzt. Bisherige Rahmenwerke – wie bspw. die VAIT – bezogen sich in ihren Regelungen eher auf informationstechnologische Prozesse. Diese Regelwerke wurden der Bedrohung durch Cyberattacken bislang nicht ausreichend gerecht. Die soll nun mit der neuen EU-Verordnung geändert werden. Die Umsetzung der in DORA enthaltenen Regelungen ist bis zum 17.01.2025 durch Finanzinstitute und IKT-Drittdienstleister sicherzustellen. Was heißt das für die Versicherungsbranche und wie müssen sich die Unternehmen hier vorbereiten?

Anzeige

Die Lage

Informations- und Kommunikationstechnologien (IKT) gewinnen im digitalen Zeitalter zunehmend an Bedeutung und unterstützen komplexe und teils kritische Systeme in einer vernetzten und globalisierten Welt. Zugleich steigt die Bedrohungslage durch Cyberangriffe und als Konsequenz das Risiko von Datenlecks, Reputationsschäden und durch den Ausfall von IKT-Systemen bedingten Betriebsunterbrechungen. Angesichts der wichtigen volkswirtschaftlichen Funktionen der Versicherungswirtschaft, wie der Sicherungs-, Stabilisator- und Katalysatorfunktion, ist die Sicherstellung einer hinreichenden Cyber-Resilienz nicht nur für die Versicherungs- und Finanzwirtschaft an sich, sondern zugleich für Verbraucher und versicherte Wirtschaftsunternehmen von enormer Bedeutung. Man kann es auch kurz ausdrücken: Die Versicherungswirtschaft spielt eine wesentliche Rolle in unserem wirtschaftlichen wie sozialen Gefüge und hier alle Teilnehmenden zu schützen ist oberste Priorität. DORA also einer der Schlüssel zu mehr Sicherheit.

Priorität: Sicherheit – doch wie umsetzen?

Die Priorität ist erkannt, dennoch ist es wichtig, auch zügig umzusetzen. Das wird nicht jedem Unternehmen ähnlich schnell und leicht von der Hand gehen. Die digitale Abbildung vieler unternehmerischen Prozesse kann hier aufzeigen, worauf bei DORA zu achten ist. Am Beispiel von Neodigital selbst werden das To-Dos deutlich: Die Neodigital AG ist ein junges und volldigitales Versicherungsunternehmen, das seinen Fokus auf Dunkelverarbeitung, Papierlosigkeit, vollständig digitale Information und Prozesstransparenz durch umfangreiche Data Analytics-Dienste setzt. Hier DORA zu integrieren ist zwar immer noch komplex, aber im Rahmen der digitalen, von Anfang an klar dokumentierten Strukturen deutlich einfacher als in einer heterogenen Umgebung aus unterschiedlichsten Sub-Systemen oder gar Legacy Systemen aus den Tagen als Always-Online und End-2-End Kommunikation in Echtzeit eine Vision einer fernen Zukunft für die Versicherungswirtschaft waren. War früher IT ein Bereich, der sich mit Workstations und Backendsystemen beschäftigt hat, muss sie heute fundamentaler Bestandteil der Unternehmensstrategie sein. Dazu gehört ebenfalls die Abwägung was machen wir als Unternehmen selbst, was wird entsprechend nach Außen verlagert.

Digitalisiert macht es leichter

Wenngleich die Neodigital auf Ausgliederungen als integrierten Bestandteil ihrer Unternehmens- und Risikostrategie setzt, verzichtet sie bewusst auf Ausgliederungen im Bereich der IT. Die Unabhängigkeit und Agilität im Bereich IT und somit auch der Informations- und Kommunikationstechnologien sind für die Neodigital ein wesentlicher Erfolgsfaktor, um dem Ziel einer Leading Insurance Factory in großen Schritten immer näher zu kommen.

Die Ziele aus DORA, konkret die Begegnung der Risiken, die mit dem digitalen Wandel einhergehen, die Stärkung der Cyber-Resilienz und Cyberstabilität sowie die Steigerung der digitalen Betriebsstabilität, harmonieren mit einem solchen IT-bezogenen Ziel. Das ist keine Besonderheit, das sollte in allen Unternehmen der Branche gesetzter Standard sein.

Zudem sind wir der Auffassung, dass die Finanzdienstleistungsbranche perspektivisch von mehr Transparenz sowie besseren Reaktionsmöglichkeiten durch einheitliche Meldepflichten sowie den freiwilligen Informationsaustausch bezüglich IKT-Vorfälle und Cyberbedrohungen profitieren kann. Angesichts der Marktmacht der Anbieter kritischer IKT-Dienstleistungen schafft die EU durch die Einführung eines EU-weit einheitlichen Überwachungsrahmens für ebendiese kritischen IKT-Dienstleister ein Mehr an Sicherheit, dass die Finanzdienstleistungsbranche selbst aufgrund von Abhängigkeiten zu diesen IKT-Dienstleistern vermutlich selbst nicht hätte erreichen können. Entsprechend stellt dieser Aspekt der DORA einen großen Pluspunkt für die Versicherungswirtschaft dar.

Es wird aufwendig

Versicherungsunternehmen, die bereits die Anforderungen aus den Versicherungsaufsichtsrechtlichen Anforderungen an die IT (VAIT) vollumfänglich bzw. gut umgesetzt haben, werden auch viele Aspekte der DORA bereits erfüllen. Entsprechend ist im ersten Schritt eine tiefgehende Gap-Analyse erforderlich. Eine Inventarisierung von IKT-Anwendungen sowie das Matching zu betrieblichen Prozessen und damit einhergehenden Wechselwirkungen bietet, wenn dieses noch nicht erfolgt ist, große Chancen zur Optimierung des Business Continuity Managements (BCM). Die erstmalige Erstellung notwendiger Dokumentation, Leitlinien und ggfs. die Anpassung von Strategiepapieren geht im ersten Schritt immer mit Aufwand und Kapazitäten einher, steigert im Idealfall allerdings die Transparenz im Unternehmen.

Nach der Umsetzung der DORA ist nichtsdestotrotz von einem laufenden Aufwand auszugehen, der insbesondere für kleine Unternehmen unproportional sein kann. Dies vor allem folgenden Gründe:

  • Es muss ein IKT-Beauftragter aufgrund der Anforderungen zu Funktionstrennung zur Vermeidung von Interessenkonflikten und fehlendem Proportionalitätsprinzip als neue Funktion geschaffen werden. Darüber hinaus ist mit zusätzlichen Kosten für die jährlichen Wirtschaftsprüfungen zu rechnen.
  • Ebenfalls problematisch ist, dass DORA im Gegensatz zur VAIT keine genauen Umsetzungsvorschriften enthält, sodass einerseits Umsetzungsfreiräume, aber auch Umsetzungsunsicherheiten entstehen.
  • Man muss außerdem festhalten, dass die Unsicherheiten rund um DORA auch dadurch bedingt werden, dass die Auslegungspapiere (ITS und RTS) noch nicht final verabschiedet wurden

DORA: Chance und Verantwortung

Grundsätzlich ist davon auszugehen, dass Versicherungsnehmer:innen selbst wenig von der DORA-Umsetzung mitbekommen werden. Mittelbar zeigt sich der Nutzen durch die gesteigerte Sicherheit von Daten und Sicherstellung der betrieblichen Kontinuität in Zeiten einer gestiegenen Risikolage. Versicherungsunternehmen sollten zudem durch die regulatorisch initiierte Steigerung der digitalen operationellen Resilienz des eigenen Unternehmens sowie der Partnerunternehmen profitieren.

Anzeige

Wir selbst sehen uns und aufgrund der vorhandenen Transparenz in den betriebsinternen IT-bezogenen Prozessen, dem bewussten Verzicht auf die Ausgliederungen von IT-Dienstleistungen und den eingesetzten modernen Systemen und Technologien gut gewappnet für die Umsetzung der DORA-Anforderungen, wenn auch der interne Umsetzungsaufwand in diesem Jahr wesentlich sein wird. Nicht nur als ein Versicherungsunternehmen, sondern insbesondere auch als technologischer Anbieter von Insurance-as-a-service-Dienstleistungen an andere Versicherer sieht die Neodigital sich selbst von ihrer Gründung an in der Verantwortung, cyber-resilient zu sein. Der Markt sieht sich neuen (cyber-) kriminellen Herausforderungen gegenüber, DORA hat die Chance und auch die Verantwortung im Sinne der Kunden und der Industrie hier das entsprechende Gegengewicht an Sicherheit zu stellen.