Suche Event Calendar Icon EVENTKALENDER Newsletter Icon Newsletter Icon Newsletter Abonnieren
Das Tool für Profis und solche, die es werden wollen – jetzt die DAS INVESTMENT Fonds-Analyse-App installieren.
Headphones
Artikel hören
Neue Regeln ab 2025
Dora-Verordnung: Praxistipps für Finanzberater, Vermögensverwalter und KVG
Die Audioversion dieses Artikels wurde künstlich erzeugt.

Neue Regeln ab 2025 Dora-Verordnung: Praxistipps für Finanzberater, Vermögensverwalter und KVG

Von in InstitutionelleLesedauer: 8 Minuten
Lucas Schmidt
Lucas Schmidt: In einer dreiteiligen Serie gibt IT-Spezialist Lucas Schmidt Tipps, wie sich die Dora-Verordnung am besten umsetzen lässt. | Foto: IT4 Funds / Canva

Nachdem wir uns in den ersten beiden Teilen die Grundlagen des Digital Operational Resilience Act (Dora) und die Durchführung einer Gap-Analyse angesehen haben, wenden wir uns in diesem dritten Teil der praktischen Umsetzung zu. Dabei besprechen wir spezifische Einblicke und Empfehlungen zur Implementierung des DORA für Vermögensverwalter, Kapitalverwaltungsgesellschaften (KVGen) und Finanzberater.

Ziel ist es, nicht nur die gesetzlichen Anforderungen zu erfüllen, sondern auch die digitale Resilienz Ihres Unternehmens zu steigern.

Umsetzungsstrategien für Vermögensverwalter und Finanzberater: Prioritäten setzen

Für Vermögensverwalter und Finanzberater steht vor allem der Schutz der Kunden- und Transaktionsdaten im Fokus. Ein zentraler Bestandteil der Dora-Umsetzung ist daher die Einführung robuster IKT-Risikomanagementsysteme. Ein Ansatz dazu kann sein, zunächst die IKT-Risiken (IKT = Informations- und Kommunikationstechnologien) in verschiedene Kategorien zu unterteilen und diese mit klar definierten Maßnahmen zu adressieren. Dies kann durch die Etablierung eines regelmäßigen Bedrohungsmonitorings und die Anpassung bestehender Cyber-Sicherheitsprotokolle geschehen.

Darüber hinaus sollten Vermögensverwalter ihre Third-Party-Risiken überwachen, um sicherzustellen, dass alle externen Anbieter ebenfalls die strengen Dora-Vorgaben erfüllen. Hier kommt es auf eine sorgfältige Vertragsgestaltung und die Einbindung von Drittanbietern in Ihre Sicherheitsprozesse und Ihren Notfallplan an.

Governance und interne Kontrollen: Der Weg zur Compliance

Ein starkes Governance-Modell ist unerlässlich, um die Dora-Anforderungen effizient zu implementieren. Vermögensverwalter und KVGen sollten klar definieren, wer wofür verantwortlich ist. Die Rollen einzelner Mitarbeiter im Rahmen des IKT-Risikomanagements sollten konkret feststehen. Es ist wichtig, dass die interne Governance-Struktur auch die IKT-bezogenen Aspekte der Unternehmensführung integriert und klare Berichtswege und Eskalationsprozesse etabliert.

Ein weiterer wesentlicher Schritt ist, IKT-Risiken in den bestehenden Compliance-Richtlinien zu verankern. Viele Unternehmen haben bereits bewährte Praktiken im Bereich der Geldwäscheprävention oder des Outsourcings etabliert. Diese können als Grundlage für die Erweiterung auf IKT-Themen. Das bedeutet, dass bestehende Kontrollmechanismen und Meldepflichten für IKT-bezogene Vorfälle in die Unternehmensrichtlinien aufgenommen und regelmäßig überprüft werden sollten.

Ein wichtiger Aspekt hierbei ist die Schulung der Mitarbeiter. Dora fordert, dass alle relevanten Stakeholder, von der IT-Abteilung bis hin zur Geschäftsführung, mit den Anforderungen und Prozessen vertraut sind. Regelmäßige Schulungen und Workshops stellen sicher, dass Ihr Team auf die Herausforderungen von Cyberangriffen oder technischen Störungen vorbereitet ist. Zudem bietet es sich an, ein internes IT-Resilienzteams zu etablieren, das sich speziell auf die Überwachung und Weiterentwicklung der IKT-Sicherheitsrichtlinien konzentriert.

Technologie und automatisierte Lösungen

Zahlreiche Arbeitsgruppen und Beratungshäuser weisen darauf hin, dass der Einsatz automatisierter Tools zur Durchführung regelmäßiger Audits und zur Überwachung der IT-Systeme nicht nur die Einhaltung der Dora-Vorgaben erleichtert. Er kann auch die Effizienz steigern.

Hierbei sollte der Fokus auf der Wiederherstellungszeit (Recovery Time Objective, RTO) und den Wiederherstellungspunkten (Recovery Point Objective, RPO) der IT-Systeme nach festgestellten Ausfällen liegen. Dies erfordert oft eine enge Zusammenarbeit mit IT-Spezialisten und möglicherweise eine Neuausrichtung der IT-Infrastruktur, um sicherzustellen, dass die Systeme schnell wieder funktionsfähig sind.

Automatisierte Systeme bieten zudem den Vorteil, dass sie rund um die Uhr überwachen und potenzielle Bedrohungen frühzeitig erkennen können. Diese Lösungen sind nicht nur für große Finanzinstitute relevant, sondern auch für kleinere Vermögensverwalter und KVGen, die ihre Ressourcen gezielt einsetzen müssen. Durch die Integration dieser Tools in die bestehende IT-Infrastruktur erhöhen Sie die Resilienz Ihrer Systeme und können gleichzeitig den Aufwand für manuelle Prüfungen reduzieren.

Zusammenarbeit mit Drittanbietern: Verträge und Monitoring

Wie bereits im zweiten Teil angesprochen, erfordert Dora eine enge Zusammenarbeit mit Drittanbietern, die für Finanzdienstleister von entscheidender Bedeutung sind. Gerade das ist häufig besonders herausfordernd. Die Praxis zeigt, dass viele Verträge mit IT-Dienstleistern überarbeitet werden müssen, um den strengen Dora-Standards zu entsprechen.

1.200% Rendite in 20 Jahren?

Die besten ETFs und Fonds, aktuelle News und exklusive Personalien erhalten Sie in unserem Newsletter „DAS INVESTMENT Daily“. Kostenlos und direkt in Ihr Postfach.

Die Überwachung von Drittanbietern durch Key Risk Indicators (KRIs), die frühzeitig auf potenzielle Sicherheitsrisiken hinweisen können, ist ein wichtiger Schritt. Die Einführung von Monitoring-Tools, die den Echtzeit-Zugriff auf die Daten Ihrer Drittanbieter gewährleisten, ist eine weitere Möglichkeit, das Risiko zu minimieren und gleichzeitig die Anforderungen der Aufsichtsbehörden zu erfüllen.

Umgang mit RTS und ITS

Um die Regulatory Technical Standards (RTS) und Implementing Technical Standards (ITS) effizient in die Umsetzung des Dora einzubeziehen, ist ein systematischer Ansatz erforderlich.  Zunächst müssen Sie herausfinden, welche RTS und ITS für Ihr Unternehmen von Bedeutung sind.

Dies hängt von Ihrer Rolle im Finanzsektor ab (zum Beispiel Vermögensverwalter, Bank oder Drittanbieter). Setzen Sie klare Prioritäten und analysieren Sie, welche Themen – wie IKT-Risikomanagement, Incident Reporting, Penetrationstests und Drittanbieter-Management – für Sie besonders relevant sind. 

Für jedes dieser Themen gibt es spezifische technische Standards. Erstellen Sie anschließend einen detaillierten Umsetzungsplan, der aufzeigt, welche Maßnahmen ergriffen werden müssen, um die Anforderungen der RTS und ITS zu erfüllen. Setzen Sie Prioritäten und Deadlines, die sicherstellen, dass Sie alle erforderlichen Schritte rechtzeitig vor der Dora-Deadline 2025 abschließen.

Ein Fazit

Auch wenn die Umsetzung von Dora für viele Unternehmen zunächst herausfordernd ist, bietet die Verordnung auch Chancen: Durch die Einführung robuster IKT-Sicherheitsmaßnahmen und eine klaren Governance-Struktur können Unternehmen nicht nur den regulatorischen Anforderungen gerecht werden. Sie können darüber hinaus auch das Vertrauen ihrer Kunden stärken, sich besser gegen künftige Cyberangriffe wappnen und im Falle von Störungen handlungsfähig bleiben.

In der Praxis zeigt sich: Viele Unternehmen, die bereits mit den strengen Vorschriften im Finanzsektor vertraut sind, müssen ihr Regelwerk gar nicht komplett umstellen. Vielmehr lassen sich viele der Dora-Anforderungen mit bereits bestehenden Prozessen und Strukturen verknüpfen. Oft geht es nur darum, bestehende Systeme anzupassen, zu erweitern und gezielt auf die neuen Anforderungen auszurichten. Diese Herangehensweise macht den Übergang deutlich leichter und minimiert den Aufwand für Finanzunternehmen.

 

Der Beitrag ist Teil 2 einer dreiteiligen Serie. Bisher erschienen sind: 

Teil 1: Dora-Verordnung: Wo Finanzunternehmen jetzt gefordert sind

Teil 2: Dora-Verordnung: Die Gap-Analyse in 5 Schritten erklärt

Teil 3: Dora-Verordnung: Praxistipps für KVG, Vermögensverwalter und Finanzberater

Über den Autor:

Lucas Schmidt leitet das IT-Dienstleistungsunternehmen IT4Funds, eine Tochtergesellschaft der Luxemburger Service-KVG Axxion.

Wie hat Ihnen der Artikel gefallen?

Danke für Ihre Bewertung
Leser bewerteten diesen Artikel durchschnittlich mit 0 Sternen
PDF nur für Sie. Weitergabe? Fragen Sie uns.
Newsletter Titelbild
Ja, ich möchte den/die oben ausgewählten Newsletter mit Informationen über die Kapitalmärkte und die Finanzbranche, insbesondere die Fonds-, Versicherungs-und Immobilienindustrie abonnieren. Hinweise zu der von der Einwilligung mitumfassten Erfolgsmessung, dem Einsatz der Versanddienstleister June Online Marketing und Mailingwork, der Protokollierung der Anmeldung, der neben der E-Mail-Adresse weiter erhobenen Daten, der Weitergabe der Daten innerhalb der Verlagsgruppe und zu Ihren Widerrufsrechten finden Sie in der Datenschutzerklärung. Diese Einwilligung können Sie jederzeit für die Zukunft widerrufen.
+
Anmelden