DORA kommt – und nun?

HMDATA Datenschutz-Newsletter 02/2022, Autor: Dipl.-Ing. (FH) Harald Müller-Delius, MBA, ©HMD 2024

Verpflichtende Anforderungen an ITK-Systeme im Finanzdienstleistungssektor

Wie soll man es sagen, ist der Versicherungsvermittler doch Leid gewohnt und nimmt administrative regulatorische Anforderungen mit stoischer Gelassenheit hin oder reagiert mit cholerischem Trotz. Und überlegt sich im Anschluss nüchtern, was denn nun praxisrelevant auch wirklich umzusetzen sei, wobei vieles dann auch einfach mal unter den Tisch fällt.
Aber jetzt kommt DORA, der „Digital Operational Resilience Act“, der die Betriebsstabilität im Finanzsektor EU-weit nicht nur vereinheitlicht, sondern auch ein gewisses Mindestmaß an technologischer Ausstattung einfordert um Störungsfreiheit und Sicherheit in der gesamten „IT-Lieferkette“ vom Kunden bis zum Versicherer zu garantieren.
Angesichts der aktuellen Bedrohungslage und von momentan rapide zunehmenden Cyber-Angriffen im Vergleich zur vorherrschenden stagnierenden Ausstattung an IT-Sicherheit auch ein höchst notwendiger Schritt – auch ganz ohne DORA. Trifft die derzeitige vorhandene kriminelle Energie doch auf weitgehend ungeschützte Systeme: nach meiner Umfrage unter 513 Versicherungsmaklern haben ca. 40% vor den IT-Anforderungen auf Grund von Komplexität kapituliert und 30% finden kein Know-How zur Umsetzung oder wollen nicht investieren.
Konnte man bisher flexibel diese Umstände aussitzen und arbeitete nach dem Prinzip Hoffnung, so wird DORA ein strenges Regiment einführen: Nachweispflicht für IT-Cyber-Prävention, Reporting- und Meldewesen, Schadenabwehr-Strategien, Wiederherstellung, Betriebsstabilität und Verfügbarkeit, Notfall- und Risikomanagement. Damit dürften die oben genannten ca. 70% überfordert sein.
Das Problem ist aber, dass diesmal nicht in Eigenverpflichtung die Leichen im Keller verborgen werden können, sondern dass die gesamte Lieferkette in die Pflicht genommen wird: also müssen auch Pools, Versicherer, Cloud-Anbieter dafür geradestehen, dass der Vermittler und der Makler die Vorgaben einhält. Das heißt aus Compliance-Sicht: wer nicht mitspielt, ist draußen.
Es ist also nicht nur das Bußgeld, das bei Nichteinhaltung droht, sondern auch der latente zwangsweise Ausschluss aus der Lieferkette.

Was nun?

Nach Art. 2 Abs. 1 DORA sind Versicherungsvermittler eine explizit genannte Gruppe im Anwendungsbereich. Es wird aktuell noch um den Begriff „Kleinstunternehmen“ gerungen, worauf aber keine Ausfluchtshoffnung gesetzt werden sollte.
Und nun mal Tacheles: nicht der Zwang, sondern der Nutzen sollte doch zur Einsicht führen. Ein unzureichendes IT-System zu betreiben ist aus meiner Sicht mehr als nur grobe Fahrlässigkeit. Es ist unverständlich, warum beim Auto Sicherheitsgurt, Airbag, Assistenzsysteme, Knautschzone und ABS als unverzichtbar angesehen werden und im – nach Größenordnung – gleichen Investitionsvolumen bei der IT nicht in Firewall, Monitoring, Backup, Verschlüsselung und Notfall-Prävention investiert wird. Zudem betrifft DORA nicht nur das eigene Unternehmen, sondern der Versicherungsvermittler hat auch zu gewährleisten, dass die ausgewählten Produktpartner und Dienstleister nach DORA arbeiten, was aber wohl das kleinere Problem darstellen dürfte.

Ein paar Facts zu DORA

Grund der Einführung ist auf Grund der starken Vernetzung die Schaffung von einheitlichen Vorschriften und Regularien zur Stärkung der IKT-Sicherheit hinsichtlich der digitalen Betriebsstabilität im Finanzdienstleistungswesen.
Betroffen sind alle Unternehmen, die im IT-Prozess bei der Vermittlung von Finanz- und Versicherungsprodukten mitwirken. Also Banken, Versicherungen, Wertpapierfirmen, Vermögensberater, Versicherungsvermittler, Pools, branchennahe und branchenfremde iTK-Drittanbieter wie Tarfivergleicher und Cloud- und Zahlungs-Dienstleister.
Umzusetzen wären aus praktischer Sicht die Herstellung einer IT-Sicherheit nach Stand-der-Technik, Maßnahmen zur Stabilität und Wiederherstellung, Überwachung des Gefahrenpotenzials, Meldewesen und Notfallmanagement.
Inkrafttreten würde der Rechtsakt spätestens 2025, vermutlich aber eher schon in 2023. Also die Panik lieber nicht auf DORA verschwenden, sondern auf das möglicherweise noch unsichere eigene IT-System.
Überwachung erfolgt durch die Finanzaufsichtsbehörden. Es ist bei Verletzung der Vorschriften ein Bußgeld bis zu einer Höhe von 1% des Jahresumsatzes vorgesehen.

Fazit

DORA kommt, wer aber schon heute die „ganz normalen“ IT-Sicherheits- und Betriebsanforderungen nach Stand-der-Technik aus Eigennutz erfüllt, wird keine Schwierigkeiten haben. Und für alle anderen: der Countdown bis zum schwerwiegenden Cyber-Angriff tickt, unabhängig von DORA.
DORA wird Auswirkungen auf das „Miteinander“ in IT-Prozessen der Lieferkette vom Kunden bis zum Produktgeber haben. Sich heute schon darauf vorzubereiten spart Hektik, Ressourcen und zeugt das gewisse Maß an Professionalität.
Das beste zukünftige Asset des Versicherungsmaklers ist Vertrauen – hart erarbeitet aber völlig leichtfertig mit mangelhafter IT auf’s Spiel gesetzt.