Seit der Veröffentlichung des Digital Operational Resilience Act (DORA) im Amtsblatt der EU am 27.12.2022 haben auch zugehörige Regulatory Technical Standards (RTS), Implementing Technical Standards (ITS) und Guidelines den Konsultationsprozess durchlaufen oder sind in diesem fortgeschritten. Damit nimmt die inhaltliche Stabilität der die DORA flankierenden, konkretisierenden Vorgaben weiter zu
Ein Teil der Deligierte Verordnungen sind bereits im Juni 2024 im Amtsblatt der EU veröffentlicht worden:
weitere vorgaben im laufenden prozess
Weitere RTS, ITS sowie Guidelines liegen seit spätestens Juli 2024 im Final-Draft-Status, d.h. mit Entgegnungen aus den Konsultationen, vor:
Ein Abgleich zwischen den Final-Drafts und der im Amtsblatt veröffentlichten Versionen der “1. Tranche” ergab keine materiellen, sondern lediglich strukturelle Änderungen (z.B. Nummerierungen und Verschiebungen von Inhalten). Dies ist daher auch für die sich noch im Prozess befindlichen Vorgaben zu erwarten, so dass diese bereits als Grundlage für Analysen und Umsetzungen genutzt werden können.
erste erfahrungen aus der projektarbeit
In den vergangenen Monaten haben wir zahlreiche Kunden der Finanzindustrie in DORA-Analyseprojekten und Umsetzungsprojekten beraten und unterstützt. Hierzu gehören Banken, Versicherungen und Bausparkassen in verschiedenen Größen, mit und ohne Konzernzugehörigkeit sowie unterschiedlichen Reifegraden in ihrer individuellen BAIT-/VAIT-Compliance.
lessons learned
DORA und die flankierenden Dokumente sind nun bekannt und größtenteils veröffentlicht, in der Umsetzungs-Praxis aber unverändert neu. Im Rahmen unserer Projekte haben wir zusammen mit unseren Kunden neue Erfahrungen gesammelt. Diese gingen direkt und kurzfristig durch Anpassungen in die laufenden Projekte ein und bildeten, als Blueprint, jeweils den Rahmen für die nachfolgenden Mandat.
erfolgsfaktor strukturierung der analyse
Der ursprüngliche Ansatz, die DORA-, RTS-Inhalte etc. anhand ihrer Gliederungsstrukturen mit dem Istzustand der Kunden zu vergleichen, hat sich als sehr sperrig erwiesen. Die Inhalte stellten sich als zu verwoben (Querverweise) und zu weit entfernt von den bestehenden Organisationsstrukturen und Themenzuordnungen in den Häusern heraus. Stattdessen hat sich eine Strukturierung in zehn Themenkomplexe bewährt, denen die jeweiligen Vorgaben der DORA, RTS/ITS und Guidelines lückenlos zugeordnet sind.
erfolgsfaktor priorisierungsansatz der maßnahmen
Sind die DORA-Gaps im Haus ermittelt, die erforderlichen Maßnahmen definiert sowie mit einer Aufwandsschätzung versehen, stellt sich die Frage nach der adäquaten Umsetzungsreihenfolge. Dabei hat sich in der Praxis die Beachtung von vier Priorisierungs-Faktoren bewährt:
Dabei sind fachlich, inhaltlichen Schnittstellen und Abhängigkeiten jeweils zu berücksichtigen.
analyseergebnisse aus der praxis
Als Ergebnis der Gap-Analyse ermittelt plenum, zusammen mit seinen Kunden, das qualitative Ausmaß des Deltas, die notwendigen Maßnahmen zur Schließung und die damit verbundenen Aufwände. Gefolgt von einem planerischen Entwurf der Umsetzung auf Basis abgestimmter Priorisierungs-Kriterien.
qualitative deltas und umsetzungsaufwand
Übergreifend über die Finanzinstitute zeichnen sich typische Themenkomplexe ab, welche ein vergleichsweise hohes qualitatives Delta zu den DORA-Vorgaben aufweisen. Dies liegt vornehmlich in der darin enthaltenen Regelungstiefe und dem Detaillierungsgrad begründet. Der zugehörige Umsetzungsaufwand korreliert nicht zwangsläufig mit dem qualitativen Delta des Themenkomplexes. Einzelne Themen in den qualitativen Gaps können hohe Umsetzungsaufwände nach sich ziehen.
beispiel mittelständisches Finanzinstitut in konzernstrukturen
unser fazit und angebot - der DORA delta-check
Die bisherigen Erfahrungen unserer Abgleiche von DORA mit dem Status Quo in den Finanzinstituten zeigen, dass die richtige Vorgehensweise, Analysetiefe und Bewertungs-/Planungsansätze wichtige Voraussetzungen für eine erfolgreiche operative Umsetzung sind. Dabei sind im Ergebnis die ermittelten Umsetzungsaufwände durchgängig recht hoch. Dies ist zwar immer abhängig von der Compliance mit bestehenden Regularien, aber auch in der Detaillierung und Regelungstiefe von DORA begründet.
plenum führt seit vielen Jahren sehr erfolgreich regulatorische Projekte für die IT von Finanzunternehmen durch. Diese Erfahrung und Kenntnisse der Prüfungspraxis der Aufsicht kombinieren wir für Sie zu einem „DORA delta-check“, welcher Ihnen Ihre individuellen Handlungsbedarfe aufzeigt. Diesen führen wir wahlweise unter Annahme der Compliance mit z.B. BAIT/VAIT oder als „DORA Fully“ mit Ihnen durch. Als Partner der IT betrachten wir die IT und ihre Risiken hierbei „end-to-end“ entlang der Leistungsprozesse und gehen den Risikoursachen sorgfältig auf den Grund. Denn unser Auftrag endet nicht damit, die IT „durchzuprüfen”, sondern beginnt damit erst. Mit einem in der Praxis vielfach bewährtem Vorgehen bieten wir Ihnen eine Standortbestimmung. Neben den Schwachstellen Ihrer IT aus Sicht der DORA-Vorgaben zeigen wir Ihnen auf, mit welchen Maßnahmen Sie Ihre Compliance steigern und komplettieren können. Der wichtigste Mehrwert in unserem Vorgehen liegt jedoch darin, dass wir auf Basis unserer mehr als 25 Jahre Erfahrung mit Ihnen zukunftsorientierte Maßnahmen erarbeiten, die für eine angemessene & nachhaltige Compliance sorgen – damit Sie sich wieder voll auf Ihr Kerngeschäft konzentrieren können