Neue Regeln ab 2025 Dora-Verordnung: Praxistipps für Finanzberater, Vermögensverwalter und KVG
Nachdem wir uns in den ersten beiden Teilen die Grundlagen des Digital Operational Resilience Act (Dora) und die Durchführung einer Gap-Analyse angesehen haben, wenden wir uns in diesem dritten Teil der praktischen Umsetzung zu. Dabei besprechen wir spezifische Einblicke und Empfehlungen zur Implementierung des DORA für Vermögensverwalter, Kapitalverwaltungsgesellschaften (KVGen) und Finanzberater.
Ziel ist es, nicht nur die gesetzlichen Anforderungen zu erfüllen, sondern auch die digitale Resilienz Ihres Unternehmens zu steigern.
Umsetzungsstrategien für Vermögensverwalter und Finanzberater: Prioritäten setzen
Für Vermögensverwalter und Finanzberater steht vor allem der Schutz der Kunden- und Transaktionsdaten im Fokus. Ein zentraler Bestandteil der Dora-Umsetzung ist daher die Einführung robuster IKT-Risikomanagementsysteme. Ein Ansatz dazu kann sein, zunächst die IKT-Risiken (IKT = Informations- und Kommunikationstechnologien) in verschiedene Kategorien zu unterteilen und diese mit klar definierten Maßnahmen zu adressieren. Dies kann durch die Etablierung eines regelmäßigen Bedrohungsmonitorings und die Anpassung bestehender Cyber-Sicherheitsprotokolle geschehen.
Darüber hinaus sollten Vermögensverwalter ihre Third-Party-Risiken überwachen, um sicherzustellen, dass alle externen Anbieter ebenfalls die strengen Dora-Vorgaben erfüllen. Hier kommt es auf eine sorgfältige Vertragsgestaltung und die Einbindung von Drittanbietern in Ihre Sicherheitsprozesse und Ihren Notfallplan an.
Governance und interne Kontrollen: Der Weg zur Compliance
Ein starkes Governance-Modell ist unerlässlich, um die Dora-Anforderungen effizient zu implementieren. Vermögensverwalter und KVGen sollten klar definieren, wer wofür verantwortlich ist. Die Rollen einzelner Mitarbeiter im Rahmen des IKT-Risikomanagements sollten konkret feststehen. Es ist wichtig, dass die interne Governance-Struktur auch die IKT-bezogenen Aspekte der Unternehmensführung integriert und klare Berichtswege und Eskalationsprozesse etabliert.
Ein weiterer wesentlicher Schritt ist, IKT-Risiken in den bestehenden Compliance-Richtlinien zu verankern. Viele Unternehmen haben bereits bewährte Praktiken im Bereich der Geldwäscheprävention oder des Outsourcings etabliert. Diese können als Grundlage für die Erweiterung auf IKT-Themen. Das bedeutet, dass bestehende Kontrollmechanismen und Meldepflichten für IKT-bezogene Vorfälle in die Unternehmensrichtlinien aufgenommen und regelmäßig überprüft werden sollten.
Ein wichtiger Aspekt hierbei ist die Schulung der Mitarbeiter. Dora fordert, dass alle relevanten Stakeholder, von der IT-Abteilung bis hin zur Geschäftsführung, mit den Anforderungen und Prozessen vertraut sind. Regelmäßige Schulungen und Workshops stellen sicher, dass Ihr Team auf die Herausforderungen von Cyberangriffen oder technischen Störungen vorbereitet ist. Zudem bietet es sich an, ein internes IT-Resilienzteams zu etablieren, das sich speziell auf die Überwachung und Weiterentwicklung der IKT-Sicherheitsrichtlinien konzentriert.
Technologie und automatisierte Lösungen
Zahlreiche Arbeitsgruppen und Beratungshäuser weisen darauf hin, dass der Einsatz automatisierter Tools zur Durchführung regelmäßiger Audits und zur Überwachung der IT-Systeme nicht nur die Einhaltung der Dora-Vorgaben erleichtert. Er kann auch die Effizienz steigern.
Hierbei sollte der Fokus auf der Wiederherstellungszeit (Recovery Time Objective, RTO) und den Wiederherstellungspunkten (Recovery Point Objective, RPO) der IT-Systeme nach festgestellten Ausfällen liegen. Dies erfordert oft eine enge Zusammenarbeit mit IT-Spezialisten und möglicherweise eine Neuausrichtung der IT-Infrastruktur, um sicherzustellen, dass die Systeme schnell wieder funktionsfähig sind.
Automatisierte Systeme bieten zudem den Vorteil, dass sie rund um die Uhr überwachen und potenzielle Bedrohungen frühzeitig erkennen können. Diese Lösungen sind nicht nur für große Finanzinstitute relevant, sondern auch für kleinere Vermögensverwalter und KVGen, die ihre Ressourcen gezielt einsetzen müssen. Durch die Integration dieser Tools in die bestehende IT-Infrastruktur erhöhen Sie die Resilienz Ihrer Systeme und können gleichzeitig den Aufwand für manuelle Prüfungen reduzieren.
Zusammenarbeit mit Drittanbietern: Verträge und Monitoring
Wie bereits im zweiten Teil angesprochen, erfordert Dora eine enge Zusammenarbeit mit Drittanbietern, die für Finanzdienstleister von entscheidender Bedeutung sind. Gerade das ist häufig besonders herausfordernd. Die Praxis zeigt, dass viele Verträge mit IT-Dienstleistern überarbeitet werden müssen, um den strengen Dora-Standards zu entsprechen.
1.200% Rendite in 20 Jahren?
Die Überwachung von Drittanbietern durch Key Risk Indicators (KRIs), die frühzeitig auf potenzielle Sicherheitsrisiken hinweisen können, ist ein wichtiger Schritt. Die Einführung von Monitoring-Tools, die den Echtzeit-Zugriff auf die Daten Ihrer Drittanbieter gewährleisten, ist eine weitere Möglichkeit, das Risiko zu minimieren und gleichzeitig die Anforderungen der Aufsichtsbehörden zu erfüllen.
Umgang mit RTS und ITS
Um die Regulatory Technical Standards (RTS) und Implementing Technical Standards (ITS) effizient in die Umsetzung des Dora einzubeziehen, ist ein systematischer Ansatz erforderlich. Zunächst müssen Sie herausfinden, welche RTS und ITS für Ihr Unternehmen von Bedeutung sind.
Dies hängt von Ihrer Rolle im Finanzsektor ab (zum Beispiel Vermögensverwalter, Bank oder Drittanbieter). Setzen Sie klare Prioritäten und analysieren Sie, welche Themen – wie IKT-Risikomanagement, Incident Reporting, Penetrationstests und Drittanbieter-Management – für Sie besonders relevant sind.
Für jedes dieser Themen gibt es spezifische technische Standards. Erstellen Sie anschließend einen detaillierten Umsetzungsplan, der aufzeigt, welche Maßnahmen ergriffen werden müssen, um die Anforderungen der RTS und ITS zu erfüllen. Setzen Sie Prioritäten und Deadlines, die sicherstellen, dass Sie alle erforderlichen Schritte rechtzeitig vor der Dora-Deadline 2025 abschließen.
Ein Fazit
Auch wenn die Umsetzung von Dora für viele Unternehmen zunächst herausfordernd ist, bietet die Verordnung auch Chancen: Durch die Einführung robuster IKT-Sicherheitsmaßnahmen und eine klaren Governance-Struktur können Unternehmen nicht nur den regulatorischen Anforderungen gerecht werden. Sie können darüber hinaus auch das Vertrauen ihrer Kunden stärken, sich besser gegen künftige Cyberangriffe wappnen und im Falle von Störungen handlungsfähig bleiben.
In der Praxis zeigt sich: Viele Unternehmen, die bereits mit den strengen Vorschriften im Finanzsektor vertraut sind, müssen ihr Regelwerk gar nicht komplett umstellen. Vielmehr lassen sich viele der Dora-Anforderungen mit bereits bestehenden Prozessen und Strukturen verknüpfen. Oft geht es nur darum, bestehende Systeme anzupassen, zu erweitern und gezielt auf die neuen Anforderungen auszurichten. Diese Herangehensweise macht den Übergang deutlich leichter und minimiert den Aufwand für Finanzunternehmen.
Der Beitrag ist Teil 2 einer dreiteiligen Serie. Bisher erschienen sind:
Teil 1: Dora-Verordnung: Wo Finanzunternehmen jetzt gefordert sind
Teil 2: Dora-Verordnung: Die Gap-Analyse in 5 Schritten erklärt
Teil 3: Dora-Verordnung: Praxistipps für KVG, Vermögensverwalter und Finanzberater
Über den Autor:
Lucas Schmidt leitet das IT-Dienstleistungsunternehmen IT4Funds, eine Tochtergesellschaft der Luxemburger Service-KVG Axxion.