STRATEGIE7. Februar 2024

“Die Uhr für DORA-Compliance tickt” – der Kommentar von Kyndryl-Deutschlandchef Markus Koerner

Am 17.1.2025 tritt DORA in Kraft. Banken sollten sich und ihre Dienstleister kritisch prüfen meint Markus Koerner, Deutschlandchef Kyndryl.
Markus Koerner, Deutschlandchef KyndrylKyndryl

Am 17. Januar 2025 tritt der Digital Operational Resilience Act (DORA) in Kraft, der EU-weit Finanz­unternehmen und ihre IT-Partner betrifft. Banken sollten sich selbst und ihre Dienstleister kritisch prüfen, meint Markus Koerner, Deutschlandchef von Kyndryl und betont in seinem Kommentar die Dringlichkeit der Umsetzung dieser Verordnung zur Stärkung der Cyberresilienz im Finanzsektor.

von Markus Koerner, Deutschlandchef Kyndryl

In weniger als einem Jahr, ab dem 17. Januar 2025, gilt der Digital Operational Resilience Act (DORA) EU-weit für Finanzunternehmen und ihre IT-Partner. Da es sich um eine Verordnung der europäischen Union handelt, findet die Umsetzung in nationales Recht nicht statt. Die Zeit für betroffene Unternehmen wird also knapp. Je nachdem, welche Maßnahmen sie noch implementieren müssen, könnte die fristgerechte Umsetzung für einige Institute zu einem Problem werden. In der systemkritischen und hochregulierten Branche ist mit ernsten Folgen zu rechnen, sollte dies nicht gelingen.

Ziel der EU-Gesetzgebung ist es, die Resilienz von europäischen Finanzunternehmen zu stärken. Die Forderung nach mehr Cyberresilienz drückt sich nicht nur in Form von DORA aus, sondern zusätzlich auch durch den Cyber Resilience Act (CRA) und die Network and Information Security (NIS) Direktive II. Für den Finanzsektor ist DORA die wichtigste Legislation.”

Anfälligkeiten für Cyberbedrohungen sollen im Rahmen der neuen Verordnung nicht nur bei Banken und anderen Finanzdienstleistern selbst, sondern entlang der gesamten Wertschöpfungskette des Sektors reduziert werden. Deutsche Institute, die bereits durch die BaFin und/oder das BSI reguliert werden, sehen Ähnlichkeiten mit bestehenden Vorgaben, da DORA ganz bewusst auf solchen nationalen Elementen aufbaut. Diese sollen nun für die gesamte EU vereinheitlicht und auf rechtlicher Ebene verankert werden, statt wie bislang vielfach nur Verwaltungsvorschriften darzustellen. Es besteht also Handlungsbedarf, da sonst auch mit Sanktionen zu rechnen ist.

Finanzunternehmen und ihre Dienstleister müssen gleich mehrere Punkte beachten. Der Verordnungstext DORA lässt sich grob in fünf Säulen zusammenfassen:

1. Informations- und Kommunikationstechnologie (IKT)-Risikomanagement
2. IKT-bezogenes Incident Management, Klassifizierung und Berichterstattung
3. Testen der digitalen Ausfallsicherheit (Digital Operational Resilience)
4. Management von IKT-Drittparteirisiken
5. Informationsaustausch

Autor Markus Koerner, Deutschlandchef Kyndryl
Markus Koerner ist Deutschlandchef von Kyndryl (Website), wo er seit Sep­tem­ber 2021 tä­tig ist und für die stra­te­gi­sche Füh­rung und das Wachs­tum des Un­ter­neh­mens in Deutsch­land ver­ant­wort­lich zeich­net. Vor sei­ner ak­tu­el­len Po­si­ti­on war er 17 Jah­re bei IBM in ver­schie­de­nen Füh­rungs­rol­len tä­tig, zu­letzt als Vice Pre­si­dent für IBM DACH (Deutsch­land, Ös­ter­reich, Schweiz). Sei­nen be­ruf­li­chen Wer­de­gang be­gann er bei PwC Deutsch­land in Frank­furt am Main, wo er von 1999 bis 2002 als Part­ner tä­tig war. Mar­kus Ko­er­ner hat ein Di­plom in Be­triebs­wirt­schaft von der Jus­tus-Lie­big-Uni­ver­si­tät Giessen.
Die ersten beiden Punkte setzen europäische Banken praktisch schon seit Jahrzehnten um. Hier ist nicht mit besonderen Herausforderungen zu rechnen. Anders sieht es hingegen bei Punkt drei aus:

Zeitgemäße Back-up-Technologien und automatisierte Wiederherstellungspläne sind noch nicht überall Standard.”

Auf den eventuell positiv ausfallenden Ergebnissen des EZB-Stresstests hinsichtlich Resilienz dürfen sich Banken ebenfalls nicht ausruhen. Ging es dort „lediglich“ darum, theoretisch eine Art Case Study durchzuspielen, fordert DORA technische Tests der Systeme. Dies sollte natürlich auch nicht zum ersten Mal aufgrund der Verordnung erfolgen, sondern bereits vorher erprobt werden.

Haben Unternehmen noch gar nicht mit der Einführung konkreter Resilienz-Maßnahmen begonnen, läuft ihnen die Zeit davon.

Entsprechende Lösungen innerhalb eines Jahres zu planen, budgetieren, freigeben zu lassen, zu implementieren und in den Betrieb zu überführen, ist gelinde gesagt sehr sportlich.”

Der vierte Punkt, das Management von Drittparteirisiken, könnte für Geldinstitute, Versicherer und andere Finanzdienstleister ebenfalls zu einer Herausforderung werden. Der Sektor verfügt bisher kaum über ein Bewusstsein für die Auswirkungen von Ausfällen bei Dienstleistern, geschweige denn über konkrete Pläne für diesen Fall. Das muss sich ändern: Finanzunternehmen sollten auf Risikodiversifikation setzen und Infrastrukturen auf verschiedene kleinere Anbieter verteilen. Die Alternative dazu ist, auf die überlegenen Ressourcen der wenigen großen Dienstleister zu setzen. Fakt ist nun einmal, dass diese im Rennen mit immer innovativeren Kriminellen wesentlich besser mithalten oder sogar einen Schritt voraus sein können. Vollkommene Sicherheit gibt es allerdings auch dort nicht und somit auch keinen Königsweg zwischen Konzentration und Diversifikation.

Insgesamt wird es für viele Institute herausfordernd werden, die DORA-Compliance zum Stichtag zu erreichen. Nur wenn alle beteiligten Stakeholder, verschiedene interne Abteilungen und Dienstleister konstruktiv zusammenarbeiten, kann diese Herkulesaufgabe bewältigt werden.Markus Koerner, Deutschlandchef Kyndryl

 
Sie finden diesen Artikel im Internet auf der Website:
https://itfm.link/199533

 

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert