Die Uhr tickt: in drei Monaten, am 19. Januar 2025, wird der Digital Operations Resilience Act (DORA) rechtskräftig. Ab diesem Tag können Versicherungen abgestraft werden, wenn sie die Mindestanforderungen der EU-Verordnung an die digitale Resilienz ihrer kritischen Funktionen nicht erfüllen können.
Was bedeutet das für Versicherungen? Wir bieten einen Überblick.
Was ist DORA?
Der Digital Operations Resilience Act DORA ist eine EU-Verordnung, die sicherstellen soll, dass europäische Finanzdienstleister – inklusive Versicherungen – eine resiliente Infrastruktur haben, sodass keine kritische Funktion ausfallgefährdet ist. Dabei geht es sowohl um das Vermeiden von Pannen im Betrieb als auch um die Widerstandsfähigkeit gegen Cyberangriffe.
Kritische Funktionen nach DORA
Eine kritische Funktion liegt nach der DORA-Definition vor, wenn der Ausfall dieser Funktion eine erhebliche Beeinträchtigung …
- der finanziellen Leistungsfähigkeit,
- der Geschäftsfortführung oder
- regulatorischer Art
darstellen würde.
Was bedeutet DORA in der praktischen Umsetzung?
Es ist wichtig zu beachten, dass DORA die gesamte Infrastruktur des Unternehmens betrachtet. Es geht über die reine IT der Versicherung hinaus und betrachtet auch die Mitarbeitenden sowie jegliche involvierte Drittparteien, bspw. Dienstleister, die den Betrieb von Software übernehmen, o. Ä.
Die Anforderungen von DORA decken das IKT-Risikomanagement, das Management des Drittparteienrisikos sowie eine Standardisierung der Meldung von IKT-Vorfällen ab. Neben der technischen Umsetzung von bspw. Fraud Prevention, Identity- und Accessmanagement, einer umfassenden IT-Governance oder des ordnungsgemäßen IT-Outsourcings geht es auch um die Awareness der Mitarbeitenden. Das bedeutet, dass Mitarbeitende einschließlich Geschäftsleitung geschult werden müssen. Vorgesehen ist etwa ein jährliches Aufsichtsgespräch, bei dem der Vorstand in der Lage sein muss, Auskunft zu geben.
Welche Strafen drohen bei Nichtbeachtung von DORA?
Wenn Versicherungen die Anforderungen nicht erfüllen, sieht DORA Strafen vor. Die Behörden können Bußgelder in Höhe von bis zu 10 Milliarden EUR oder 5 % des weltweiten Vorjahresumsatzes verhängen.
Wie groß ist der Umsetzungsaufwand von DORA?
Wie lange die DORA-Umsetzungszeit dauert, hängt von der Ausgangslage sowie der Größe des Unternehmens ab. Nach unseren Erfahrungen liegt der Mindestaufwand bei 300 Personentagen (PT). Bei größeren Häusern mit veralteter und/oder ineffizienter Infrastruktur, die noch keine Änderungen angestoßen haben, kann das Projekt aber auch 800 PT überschreiten.
Das Aufsetzen des Projektes inklusive Gap Analyse, Zielbilddefinition, Benchmarking, Playbook und Roadmap zur Umsetzung kann innerhalb von zehn Wochen erfolgen.
Nicht zu unterschätzen ist insbesondere das Management des Drittparteienrisikos, das in unserer Erfahrung einen erheblichen Umsetzungsaufwand bedeutet hat.
DORA kommt, aber noch ist Zeit zum Handeln!
Der Stichtag für DORA ist der 19. Januar 2025. Das ist nicht mehr lange hin. Zu spät, ein DORA-Projekt anzustoßen, ist es aber nicht. Gerade kleinere Häuser können ihre Infrastruktur innerhalb der gegebenen Zeit noch rechtzeitig resilient transformieren. Für Größere wird die Zeit knapp. Hier gilt: nicht mehr lange zögern! Wir stellen unsere Projekterfahrungen aus zwei Jahren DORA-Umsetzungsprojekten gerne zur Verfügung. Kontaktieren Sie uns über unsere Landingpage.
