DORA ist da – Wie geht’s jetzt weiter?

Quelle: Valytics

Seit dem 17. Januar 2025 sind die Anforderungen des Digital Operational Resilience Act (DORA) in Kraft, die das Management von Risiken aus Partnerschaften mit Drittanbietern in den Fokus rücken. Dies betrifft insbesondere die Versicherungsbranche, die zunehmend daten- und technologiegetriebene Geschäftsmodelle nutzt. Worin dabei die Herausforderungen bestehen und welche Prozesse Versicherungsunternehmen dafür implementieren müssen, erklärt Axel Kirchhoff, Associate Partner bei der Unternehmensberatung Valytics.

In zunehmend daten- und technologiegetriebenen Geschäftsmodellen der Versicherungsbranche besteht zweifelsfrei die Herausforderung, die operationale Resilienz kontinuierlich zu stärken. Seit dem 17. Januar kommen die Anforderungen des Digital Operational Resilience Act (DORA) zur Anwendung und damit rückt das Management des Risikos aus der Partnerschaft mit Drittparteien in den Fokus.

1. Anforderungen an das Management des IKT-Drittparteienrisikos als Teil eines ganzheitlichen Third Party Management Frameworks

Bereits in der Vergangenheit existierten hohe aufsichtliche Anforderungen an die Anbindung, Steuerung und Überwachung von Dienstleistern im Rahmen von Ausgliederungen. Das Management von IKT-Drittparteienrisiken als ein bedeutender Bereich von DORA ergänzt die bestehenden gesetzlichen Anforderungen und die Vorgaben aus den Mindestanforderungen an die Geschäftsorganisation (MaGo). Gleichzeitig werden durch die Definition der IKT-Dienstleistung wesentlich mehr Drittparteien adressiert, während die inhaltlichen Anforderungen differenzierter betrachtet und erweitert wurden. Insgesamt lassen Sie die Anforderung aus der DORA zu verschiedenen Phasen im Dienstleisterlebenszyklus zuordnen, diese betreffen sowohl die vorvertraglichen Prozesse wie auch die Prozesse in der Phase der Leistungserbringung bis zum Exit. In der Praxis hat es sich bewährt, den gesamten Dienstleisterlebenszyklus beispielsweise in die folgenden Phasen zu unterteilen:

  • Definition und Beschreibung eines konkreten Dienstleistungsbedarfes
  • Auswahl und Qualifizierung potenzieller Vertragspartner (Due Dilligence)
  • Identifizierung und Bewertung von Risiken im Assessment
  • Vertragsabschluss unter Berücksichtigung der Mindestvertragsinhalte (z.B. eines Ausstiegs-Szenarios)
  • Leistungserbringung inkl. Steuerung, Überwachung und Berichterstattung
  • Vertragsbeendigung

In der Praxis wird es häufig so sein, dass eine IKT-Dienstleistung eine Ausgliederung ist. Zudem fallen nicht alle von Dritten erbrachten Dienstleistungen unter die Begriffe IKT-Dienstleistung oder Ausgliederung. Aus diesen verschiedenen Betrachtungsweisen resultiert unmittelbar die Anforderung zur Harmonisierung der Prozesse auf der einen Seite und zur Vereinheitlichung der Beteiligten im Rollen- und Verantwortungsmodell auf der anderen Seite. Im Zielbild entsteht so das Zielbild für ein standardisiertes und ganzheitliches Third Party Management mit harmonisiertem Organisations- und Prozessmodell, welches die DORA-Anforderungen erfüllt.

2. Operationalisierung als Teil eines ganzheitlichen Third Party Management

DORA fordert explizit eine Strategie für das IKT-Drittparteienrisiko, diese umfasst eine Leitlinie für die Nutzung von IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen. Wesentliche Inhalte dieses Rahmenwerkes für das Management der IKT-Drittdienstleisterrisiken resultieren als Teil der schriftlich fixierten Ordnung (sfO) aus DORA. Die schriftlich fixierte Ordnung als zentrale Anforderung der DORA beschreibt das Zielbild, welches in der Umsetzung als Mindestanforderung für die betroffenen Versicherungsunternehmen gilt. Gleichwohl gilt, zwischen der Beschreibung des Zielbildes und der Operationalisierung dieses Zielbildes zu differenzieren.

In den oben beschriebenen Einzelphasen des Dienstleisterzyklus sind eine Vielzahl von Beteiligten eingebunden. Beispielhaft dafür sind in den vorvertraglichen Phasen die Definition eines Prozess-Owners, ebenso wie die Einbindung des Risikomanagements, des Business Continuity Managements, des Einkaufes und im erweiterten Kreis Recht und Compliance. Nicht zuletzt ist die Beteiligung des Leitungsorgans erforderlich, um auf der einen Seite den aufsichtlichen Anforderungen an eine umfassende Due Dilligence gerecht zur werden und andererseits die Grundlage für einen Vertragsabschuss unter Berücksichtigung der gesetzlichen Mindestanforderungen zu ermöglichen. Die Anbindung von Drittdienstleistern sollte im Zielbild regelmäßig unter der Berücksichtigung der Expertise dieser Bereiche erfolgen, unabhängig davon, ob es sich um IKT-Dienstleister handelt oder das Rollen- und Verantwortungsmodell übergreifend als Teil des ganzheitlichen Third Party Management Anwendung findet. Im Detail geht es bei der Definition des Prozess-Owners unter anderem um die Frage, in welchem Bereich diese Verantwortung verankert wird. Denkbar ist die Verankerung in dem Bereich, welcher den Dienstleisterbedarf adressiert hat und in der Phase der Leistungserbringung die Steuerung und die Überwachung des Dienstleisters verantwortet. Alternativ führt die Bündelung der Prozessverantwortung in den vorvertraglichen Prozessen in einer eigenen, zentralen Organisationseinheit zur Standardisierung und Sicherstellung der Prozessqualität im Zielbild.

Neben der beispielhaft beschriebenen Komplexität in der Implementierung eines zum einen aufsichtlich geeigneten und zum anderen betrieblich funktionierenden Rollen- und Verantwortungsmodells geht es um die Modellierung und Umsetzung eines geeigneten Prozessmodells. Dieses sollte, auf der einen Seite den (neuen) Anforderungen der DORA gerecht werden und die zusätzlichen aufsichtlichen Anforderungen adaptieren. Auf der anderen Seite müssen die Prozesse so in die bestehende Prozesslandschaft eingebaut werden, dass sie aufsichtlich die Anforderungen abdecken und gleichzeitig schlank sind, Komplexität und Prozessbrüche vermeiden und für das gesamte Third Party Management zumindest in den erforderlichen Bereichen adaptierbar sind. Grundvoraussetzung für diese Prozessmodellierung und die Implementierung ist die vollständige Beschreibung und Dokumentation sämtlicher Prozessschritte sowie deren Operationalisierung im Sinne von Implementierung unter Berücksichtigung des definierten Rollen- und Verantwortungsmodells.

3. Herausforderungen an Aufbau- und Ablauforganisation

Die Erfahrung aus zahlreichen DORA-Projekten im vergangenen Jahr zeigt, dass es nach dem Start der DORA am 17. Januar zunächst einmal darum geht die „weißen Flecken“ in der organisatorischen und prozessualen Umsetzung der schriftlich fixierten Ordnung zu identifizieren. Unter Berücksichtigung einer Priorisierung dieser offenen Punkte gilt es, eine detaillierte Planung für die inhaltliche und zeitliche Umsetzung dieser Aspekte zu entwerfen. Ähnlich wie zu Beginn der DORA-Projekte empfiehlt es sich dabei auf die schriftlich fixierte Ordnung zu referenzieren und daraus abgeleitet einen Soll-Ist-Abgleich vorzunehmen. Beispielhaft sollen an dieser Stelle zum einen die Steuerung und Überwachung der IKT-Dienstleister, sowie deren Subdienstleister zur Unterstützung kritischer und wichtiger Prozesse, die Umsetzung der Anforderungen an ein Änderungsmanagement, die Kommunikation und das Berichtswesen und die Einhaltung der Anforderungen an einen geordneten Exit des Dienstleisters dienen. Hierzu müssen sämtliche Prozessschritte in der Leistungserbringungsphase des IKT-Dienstleisters detailliert modelliert und umgesetzt, sowie im Rollen- und Verantwortungsmodell unter Berücksichtigung der beispielhaft oben genannten beteiligten Bereiche verankert sein. Voraussetzung dafür ist die Sensibilisierung und Schulung aller beteiligten Akteure. Nicht zuletzt muss im Rahmen der Operationalisierung die Pflege und Sicherstellung der Aktualität des Informationsregisters organisatorisch und prozessual verortet werden, nachdem bei den meisten Versicherungsunternehmen im Rahmen der DORA-Umsetzung in den vergangenen Monaten nur eine initiale Erstellung des Informationsregisters vorgenommen wurde.

4. Vorgehensweise zur DORA Compliance in 2025

Zunächst kommt es nun darauf an, auf Basis der Erkenntnisse aus den laufenden DORA-Projekten das Ambitionsniveau für ein Third Party Management zu definieren. Maßgeblich dafür ist nicht nur der Risikoappetit des jeweiligen Versicherungsunternehmens, sondern besonders die daraus resultierende Verhältnismäßigkeit und Proportionalität in Bezug auf das individuelle Zielbild. Der Abgleich von Ambitionsniveau und Reifegrad der Umsetzung von Anforderungen führt unmittelbar zu Maßnahmen und Aktivitäten, deren Umsetzung zeitlich und inhaltlich zu planen und zu priorisieren ist. Im Ergebnis steht das vollständige Bild zu offenen Aspekten im Management von IKT-Drittdienstleisterrisiken sowie die Schaffung einer inhaltlichen und zeitlichen Umsetzungs-Planung zur Sicherstellung der DORA-Readiness und zur Adjustierung im ganzheitlichen und übergeordneten Third Party Management im laufenden Jahr.