Digital Operational Resilience Act (DORA): direkte Aufsicht für kritische IKT-Drittdienstleister kommt!
Im April diesen Jahres hat die Europäische Union den Entwurf für den Digital Operational Resilience Act (DORA) vorgestellt. Im Interview erklärt Jürgen Lang, Cloud Compliance Advisor, IBM Europe, welche erheblichen Auswirkungen DORA auf Banken und Versicherer hat.
Herr Lang, welches Ziel verfolgt die EU mit dem Digital Operational Resilience Act (DORA) und was bedeutet es für deutsche Finanzinstitute, aber auch Cloud-Anbieter?
Die EU-Kommission hat im September 2020 den Regulationsentwurf Digital Operational Resilience Act (DORA) vorgelegt, mit dem die digitale Resilienz im gesamten Finanzsektor mit erstmals einheitlichen Regeln; und zwar für Banken, Versicherungen, Zahlungsdienstleister, Wertpapierfirmen und weitere Akteure im Finanzsektor. Die sechs Kernelemente von DORA sind zum Teil „alte Bekannte“ aber auch einiges Neues.So werden die Meldepflichten zu IKT-Vorfällen ausgeweitet und die Anforderungen an die Belastbarkeitstests erhöht. Das IKT-Risikomanagement wird harmonisiert und dann für den gesamten Finanzsektor einheitliche Anforderungen zu erfüllen haben.
Eine der größten Änderungen sehe ich im IKT-Drittparteien-Risikomanagement. Hier wird ein Informationsregister durch die Finanzinstitute zu etablieren sein. Und erstmals eine direkte Aufsicht für kritische IKT-Drittdienstleister eingeführt.”
Wie können sich Banken Ihrer Meinung nach darauf vorbereiten und welche Themen müssen im Unternehmen angegangen und berücksichtigt werden, um „compliant“ zu sein?
Viele Elemente von DORA sind bereits heute sowohl in den Leitlinien der EBA als auch in der BAIT der BaFin formuliert.
DORA hat bereits operationale Resilienz im Namen. Daher ist es sicher empfehlenswert, das risikobasierte Testprogramm zu stärken und sich auch mit Rahmenwerken wie TIBE-DE / TIBER-EU intensiv auseinanderzusetzen.
Wo sehen Sie die größten Herausforderungen für IBM als Cloud-Anbieter, bzw. Ihre Kunden aus dem FS Sektor?
Die IBM direkt betreffende Änderung wird sicherlich der geplante Aufsichtsrahmen für kritische IKT-Drittdienstleister sein.”
Dort ist ja vorgesehen, das der Dienstleister direkt durch eine der europäischen Aufsichtsbehörden (EBA/ESMA/EIOPA) beaufsichtigt wird. Spannend wird hierbei noch, wer die dadurch entstehenden Kosten tragen wird. Darüber hinaus werden, je näher die Einführung von DORA kommt, sicher auch intensive Gespräche mit unseren Kunden über Anpassungsbedarfe in den vertraglichen Regelungen zu leisten sein.
Ich gehe mal davon aus, dass IBM seine Kunden bei den DORA-Anforderungen unterstützen wird?
Unbedingt! Um auch weiterhin noch mehr Vertrauen und Synergieeffekte für den Finanzdienstleistungssektor zu schaffen, hat IBM als erster Cloud-Anbieter 2019 eine branchenspezifische Cloud für Finanzdienstleistungen entwickelt. Die IBM Cloud for Financial Services wurde initial in Zusammenarbeit mit der Bank of America entwickelt, um die besonderen Anforderungen der Branche in Bezug auf Cybersecurity und Einhaltung gesetzlicher Vorschriften zu erfüllen sowie gleichzeitig die Vorteile und Flexibilität einer öffentlichen Cloud in einer sicheren Umgebung zu bieten.
Das Herzstück ist das Cloud for FS Control Framework, das es Finanzinstituten ermöglicht, ihre Verpflichtungen zur Einhaltung von Vorschriften und zum Risikomanagement mit einem umfassenden Satz vorkonfigurierter und branchenspezifischer Kontrollpunkte zu erfüllen. Bis zum Inkrafttreten des Digital Operational Resilience Act wird das Framewerk überprüft und bei Bedarf aktualisiert, so dass alle Finanzinstitute, Softwarehersteller und FinTechs ihre Anwendungen und Workloads weiterhin in einer vertrauenswürdigen Cloud-Umgebung betreiben können.
Finanzinstitute unterliegen ja bereits heute heftigen regulatorischen Anforderungen. Was wird sich mit DORA primär ändern?
Wie bereits weiter oben schon skizziert: Die wesentlichen Neuerungen sehe ich in den ausgeweiteten Meldepflichten für IKT-Vorfälle, den strengeren Anforderungen an das Testen der eigenen, digitalen Resilienz, auch unter Einbeziehung der Drittanbieter, sowie ein konsequentes IKT-Drittparteienmanagement.
Damit Banken Innovationsprojekte angehen, wird häufiger aus Vorstandskreisen gefordert, dass der ROI innerhalb von 6 Monaten zustande kommen muss. Ist das mit DORA überhaupt noch realistisch?
Das geht, aber dazu müssen diese innovativen Projekte eben auch entsprechend geschnitten und aufgesetzt werden.
Die Kunst dabei ist es, in einem Projekt zum Beispiel ein neues Bankprodukt umzusetzen – das natürlich differenzierend und wertschöpfend sein sollte – in Wochen und nicht wie in der Vergangenheit in Monaten zu realisieren.”
Und genau dazu brauchte es flexible und resiliente Cloud Plattformen.
Und abschließend: Was fehlt Deutschland oder Europa Ihrer Meinung nach, um die Cloud-Technologie im Finanz-Sektor weiter voranzutreiben?
Es ist wichtig, dass wir alle Möglichkeiten ausschöpfen, um die digitale Transformation in Deutschland und Europa voranzutreiben. Europa braucht einen wettbewerbsorientierten Markt, der Innovationen unterstützt, die Bindung an bestimmte Anbieter verhindert und die Datenübertragbarkeit fördert.
Da europäische Unternehmen zunehmend Cloud-Technologien einsetzen, müssen sie sich darüber im Klaren sein, dass eine übermäßige Abhängigkeit von Cloud-Services eines einzigen Anbieters und dessen Rechenzentren ein unangemessenes Risiko darstellen kann.”
IBM engagiert sich seit langem für Open-Source-Innovationen und spricht sich gegen eine Anbieterbindung und für eine Strategie mit mehreren Anbietern aus. Die Strategie von IBM hat stets Wahlfreiheit und Flexibilität unterstützt, die beide für den Erfolg der Kunden entscheidend sind.
Herr Lang, vielen herzlichen Dank für das Interview.aj
Sie finden diesen Artikel im Internet auf der Website:
https://itfm.link/143620
Schreiben Sie einen Kommentar