Die EU-Verordnung über die digitale operationale Resilienz im Finanzsektor (DORA) führt ab 17. Jänner 2025 einen einheitlichen europäischen Standard ein. Womit beschäftigt sich die neue Verordnung?
Laurenz Schwelle: Im Kern geht es darum, die digitale Betriebsstabilität von Finanzunternehmen wie Banken sicherer zu gestalten, auf ein höheres Level zu heben und so besser zu schützen. Vor dem Hintergrund steigender Cybergefahren soll zudem das Vertrauen von Anlegern und Verbrauchern in das Finanzsystem weiter gestärkt werden. Dafür wird ein besonderes Augenmerk auf das Risikomanagement von Informations- und Kommunikationstechnologie gelegt. Von den Themen und Inhalten her ist aber vieles gar nicht so neu.
Ist der Aufwand für die Umsetzung daher überschaubar?
Schwelle: Auch wenn vieles bekannt ist, darf man den Aufwand nicht unterschätzen. Aktuell ist DORA eines der Top-Themen im Finanzsektor. Die Umsetzung wird aber nicht so funktionieren, dass man sich zu den bereits implementierten Maßnahmen zusätzlich ein paar Dinge ansieht. Man muss eigentlich alles neu angreifen. Das beginnt etwa bei der Anpassung von Verträgen mit IT-Dienstleistern und geht bis hin zur Erfassung der IT-Assets und der Ausarbeitung einer eigenen IT-Strategie. Dabei sind die neuen Vorgaben in einer Granularität, wie es sie bisher nicht gegeben hat. Das macht den ganzen Prozess sehr aufwendig und spannend.
Haben die Unternehmen bis zur Umsetzung noch genügend Zeit?
Schwelle: Für die komplette Vorbereitung – von der Gap-Analyse bis hin zur verordnungskonformen Umsetzung – wird es sicherlich abhängig von der Größe des jeweiligen Finanzunternehmens wohl hunderte Personentage brauchen. Insoweit wird das noch einiger Anstrengungen bedürfen. Nicht vergessen sollte man, dass noch vor der Anwendbarkeit von DORA ab Jänner 2025 die große Urlaubszeit im Sommer liegt. Außerdem beginnt ab Herbst die Vorbereitungsphase für die Jahresabschlussprüfung. Insoweit ist nicht mehr allzu viel Zeit vorhanden, die man gut nützen sollte, um DORA-fit zu werden.
Was waren die Triebfedern für die neuen Regeln?
Schwelle: Eine starke Motivation dahinter war der Wunsch nach einer gesamthaften Regulierung. Zahlreiche Vorgaben sind aktuell in Richtlinien der verschiedenen europäischen Aufsichtsbehörden wie der Europäischen Bankaufsichtsbehörde (EBA) oder der Europäischen Aufsichtsbehörde für Versicherungen (EIOPA) fragmentiert für einzelne Bereiche geregelt. Grundsätzlich ist die Vernetzung im Finanzsektor sehr stark, damit ist aber auch ein mögliches Ansteckungsrisiko im Fall des Falles sehr groß. Im Vergleich zu den bestehenden Standards regelt DORA die Anforderungen viel spezifischer und das Thema IKT-Risikomanagement bekommt einen höheren Stellenwert im Unternehmen, unter anderem in dem die Unternehmensführung stärker in die Pflicht genommen wird.
Wie wird das erreicht?
Schwelle: Bisher konnte man sich im Großen und Ganzen bei der Einschätzung von IT-Risiken und der Betreuung der IT-Landschaft auf Experten und Dienstleister verlassen. Mit DORA müssen künftig Leitungsorgane zwar nicht die IT-Risiken im Detail verstehen, aber sich ein ausreichendes Verständnis aneignen müssen, um ihrer Letztverantwortung gerecht zu werden.
Liegen schon alle Vorgaben auf dem Tisch?
Schwelle: Es wird noch an den Leitlinien und technischen Regulierungs- und Durchführungsstandards (RTS & ITS) seitens der Europäischen Aufsichtsbehörden gearbeitet, die zahlreiche praktische Hinweise für die Umsetzung definieren. Die Entwürfe gibt es schon, die Finalisierung sämtlicher Standards wird bis zum Sommer erwartet.
Was sind die wesentlichen Bereiche, die DORA ins Visier nimmt?
Schwelle: Neben dem bereits erwähnten IKT-Risikomanagement geht es auch um die Behandlung von IKT-bezogenen Vorfällen, Testungen der Sicherheit der IT-Systeme – bei ausgewählten Unternehmen auch durch externe Teams – und die Überwachung von zentralen IKT-Dienstleistern. So müssen alle Unternehmen, die DORA unterliegen, Listen ihrer IT-Dienstleister führen. Basierend darauf werden zentrale Dienstleister auf europäischer Ebene identifiziert und von den europäischen Finanzaufsichtsbehörden, den „ESAs“, erstmalig direkt beaufsichtigt.
Gilt das neue Regime für die kleine Raiffeisenbank ebenso wie für die Raiffeisen Bank International?
Schwelle: Grundsätzlich sieht die Verordnung die Möglichkeit der proportionalen Anwendung von Maßnahmen vor. Allerdings gibt es da keine fixen Vorgaben, sondern es sind vielmehr qualitative Dinge zu bewerten, die letztendlich darüber entscheiden, ob ein Finanzunternehmen alle Vorgaben nach Punkt und Beistrich umsetzen muss oder ob es erleichterte Umsetzungsmöglichkeiten gibt. Kleinere Unternehmen, die weniger komplexe IT-Systeme und ein überschaubares Geschäftsmodell haben, werden wohl mit Erleichterungen rechnen können. Das zu beurteilen, obliegt in erster Linie dem aufsichtsrechtlichen Prüfer.
Multicont beschäftigt sich unter anderem mit IT-Audit und Wirtschaftsprüfung. Wie können Sie Ihre Kunden bei der DORA-Umsetzung unterstützen?
Schwelle: Wir beschäftigen uns mit dem Thema mittlerweile sehr intensiv, etwa in Form von sogenannten „Gap-Assessments“, also dem Feststellen, wie groß die Lücke vom aktuellen System bis zur DORA-Fähigkeit ist, und welche Maßnahmen noch gesetzt gehören. Da wir regelmäßig IKT-Risiken anhand der EBA-Richtlinien prüfen, kennen wir die Akteure und Standards und können daher sehr gut beurteilen, wie viel Arbeit und welche Maßnahmen für die Umsetzung noch notwendig sind. Bei vielen Klienten haben wir aber eine Prüferrolle. Deshalb können wir bei diesen Klienten nicht direkt in die Umsetzung involviert werden.
Wer kontrolliert die Einhaltung der neuen Vorgaben?
Schwelle: Das fällt primär in den Zuständigkeitsbereich der Finanzaufsicht hinein. Sollte diese Versäumnisse bei der Umsetzung feststellen, ermächtigt die Verordnung die zuständigen Behörden Korrektur- und Abhilfemaßnahmen zu verlangen und im Weiteren auch Verwaltungsstrafen und Sanktionen zu verhängen. Grundsätzlich stehen den Behörden alle Werkzeuge im Rahmen des aufsichtsrechtlichen Überprüfungsverfahrens zur Verfügung, wie etwa das Vorschreiben von Maßnahmen kapitalbezogener Maßnahmen. Darüber hinaus wird DORA auch in der Abschlussprüfung, erstmals für die Jahresabschlüsse per Jahresultimo 2025, thematisiert.