Viele kennen dieses Verhalten aus persönlicher Erfahrung: Was uns schmerzt, ignorieren wir zunächst gerne und wenn es gar nicht mehr anders geht, werden provisorisch die Symptome behandelt. Mit dieser Strategie kommen Versicherer bei den anstehenden DORA-Prüfungen vermutlich nicht durch. Die regulatorischen Schmerzen erfordern eine tiefergehende Behandlung – um im Bild zu bleiben.

Anzeige


Das ist den Versicherungsunternehmen natürlich bewusst und viele haben bereits erhebliche Anstrengungen unternommen, um die Mindestanforderungen zum DORA-Start zu erfüllen. Wo dies noch nicht geschehen ist, sollten die Provisorien der ersten Stunde spätestens jetzt zu belastbaren und nachhaltigen Lösungen weiterentwickelt werden. Dabei zeigt unser Blick in die Branche, dass sich der Umsetzungsgrad bei den einzelnen Marktteilnehmern deutlich unterscheidet. Beispielsweise konnten manche Versicherer die regulatorischen Anforderungen der DORA noch gar nicht in spezifische interne Vorgaben übersetzen, bei anderen fehlt bislang die Umsetzung in praktische Prozesse und Technik.

Dirk Weske ist Vorstand der PPI AGPPI AG

Auf vielen Baustellen wird noch gearbeitet

Angesichts von Komplexität und Umfang der DORA-Vorgaben verwundern diese Lücken nicht und der Eindruck aus unseren Beratungsmandaten ist klar: Viele Player in der Assekuranz setzen die Vorgaben lieber langsamer um und machen es dafür richtig – unserer Meinung nach der angemessene Weg. Dabei gilt es jedoch am Ball zu bleiben, denn die offiziellen Verlautbarungen und auch die aufsichtliche Praxis zeigen sehr deutlich, dass operationelle Resilienz eine Kernforderung des Gesetzgebers darstellt. Die BaFin nimmt diesen Ansatz sehr ernst und dementsprechend sollte die Branche agieren. 
Doch wo liegen die noch offenen Fragen und was zeigt der Blick in die Branche en Detail? Für mich heißen die Prioritäten klar:

  • Operationalisierung der erstellten neuen Vorgaben (Leitlinien, Richtlinien, Funktionen, Prozesse, ...),
  • eine automatisierte Anomalie-Erkennung,
  • Business Continuity Management,
  • Netzwerksicherheit und
  • Authentifizierung.

Unsere Experten sehen mit etwas geringerer Priorität zudem noch weiteren Handlungsbedarf bei Themen wie Vertragsgestaltung und der Meldung des Informationsregisters spätestens zum 11. April 2025.

Den Endspurt effektiv gestalten

Unser Blick in die Branche zeigt, dass die Versicherer DORA durchweg ernst nehmen und sich um eine nachhaltige Steigerung ihrer digitalen Resilienz bemühen.
In unserer Beratungspraxis identifizieren wir aber immer wieder einige zentrale Erfolgsfaktoren für das erfolgreiche Bestehen von regulatorischen Prüfungen und – letztlich noch viel wichtiger – die Erreichung tatsächlicher digitaler Resilienz. Die drei wichtigsten sind:

  • Nachhaltige Verankerung der Vorgaben nicht nur in der Aufbauorganisation, sondern insbesondere auch in der Ablauforganisation. Digitale Resilienz muss Tagesgeschäft in der ganzen Organisation werden, kein Hop-on-Hop-off, wenn mal wieder eine Prüfung ansteht oder „geschafft“ ist.
  • Hakt es noch sehr bei der Umsetzung, sollten Sie einen realistischen Plan formulieren, auch wenn dieser zeitlich länger dauert. Es ist gerade bei Prüfungen immer besser, einen ehrlichen Plan zu haben, als auf eine Prüfungslücke zu bauen.
  • Setzen Sie konsequent auf Schulungen und Awareness-Trainings für Fachbereiche und IT, denn diese sind wichtiger, als Sie vielleicht vermuten. Sie nutzen damit die inhärenten Kräfte Ihrer Organisation, als sinnvoll erkannte Prozesse ganz natürlich in den Arbeitsalltag zu integrieren und so nicht nur die laufenden Kosten der DORA zu minimieren, sondern auch tatsächliche digitale Resilienz zu leben.

Zusammengefasst: DORA ist gekommen, um zu bleiben. Machen Sie das Beste daraus und nutzen Sie die Chance, Ihre Organisation besser zu machen!

Anzeige