Neue Herausforderungen der DORA-Verordnung: Auswirkungen auf das Business Continuity Management und die Lieferkette
Mit dem Inkrafttreten des Digital Operational Resilience Act (DORA) der Europäischen Union ab Januar 2025 wird die Finanzbranche vor neue Herausforderungen gestellt. Ziel dieser Verordnung ist es, die digitale Resilienz von Banken, Versicherungen und anderen Finanzdienstleistern zu stärken.
Aus der Perspektive des Business Continuity Managements (BCM) gewinnt die Einhaltung der DORA-Vorgaben, insbesondere im Hinblick auf die IKT-Lieferkette, eine zentrale Bedeutung. Diese neuen Anforderungen zielen darauf ab, die Widerstandsfähigkeit der gesamten Wertschöpfungskette zu verbessern und die Risiken durch externe Dienstleister zu minimieren.
Fokus auf die Lieferkette: Neue Anforderungen
Die DORA-Verordnung legt besonderes Augenmerk auf die Verwaltung von IKT-Drittanbietern und kritischen IKT-Lieferanten, da viele Finanzinstitute zunehmend auf externe IT-Dienstleister wie Cloud-Provider, Datenzentren und spezialisierte Softwareanbieter angewiesen sind. Keine neue Erkenntnis ist daher, dass die Resilienz der Finanzinstitute stark von der Stabilität und Zuverlässigkeit ihrer Lieferanten abhängt.
Ein neuer, zentraler Aspekt der Verordnung ist die Verpflichtung, Risiken entlang der gesamten Lieferkette systematisch zu überwachen und zu bewerten. Unternehmen müssen sicherstellen, dass auch ihre kritischen IKT-Dienstleister den Anforderungen an digitale Resilienz gerecht werden. Neben der umfassende Bewertung der Risiken, die von ihren Dienstleistern ausgehen, fordert DORA, dass regelmäßige Risikoanalysen und Überwachungen durchgeführt werden, um sicherzustellen, dass Lieferanten ebenfalls in der Lage sind, auch in Krisenzeiten betriebsfähig zu bleiben. Dies sol vor allem durch erweiterte Stresstests und Krisensimulationen erreicht werden. Die Verordnung verlangt die Durchführung von Stresstests und Simulationen, die nicht nur die internen Systeme, sondern auch die Kernsysteme der IKT-Lieferanten umfassen. Ziel ist es, die Reaktionsfähigkeit der gesamten Lieferkette auf Cyberangriffe oder IT-Ausfälle zu testen und sicherzustellen, dass keine Schwachstellen bestehen, die den Geschäftsbetrieb gefährden könnten.
Zwangsläufig ergibt sich daraus das Erfordernis für strengere vertragliche Vereinbarungen zwischen Auftraggeber und IKT-Dienstleister. Im Rahmen von BCM müssen Banken nun sicherstellen, dass ihre Verträge mit Dienstleistern klar definierte Anforderungen an die digitale Resilienz und Notfallpläne enthalten. Das bedeutet, dass insbesondere die Service-Level-Agreements (SLAs) und Vereinbraungen zu Prüfrechten angepasst werden müssen, um die Einhaltung der DORA-Vorgaben zu gewährleisten.
Empfohlen von LinkedIn
Herausforderungen für das BCM
Die neuen Anforderungen von DORA bedeuten eine erhebliche Ausweitung des BCM in Bezug auf die Lieferkettenüberwachung. Dazu zählen:
Die erhöhte Komplexität bei der Überwachung, denn das BCM muss nun nicht nur die eigenen Systeme und Prozesse absichern, sondern auch die Resilienz der externen Partner kontinuierlich überwachen, testen und bewerten. Das hat unmittelbare Auswirkungen auf die erweiterten Berichts- und Dokumentationspflichten, denn DORA verlangt detaillierte Berichte über die Resilienz der Lieferanten. Diese Berichte müssen den Aufsichtsbehörden wie der Europäischen Zentralbank (EZB), BaFin oder zum Beispiel der Autorité de Contrôle Prudentiel et de Résolution (ACPR) vorgelegt werden.
Entscheidenen Aufgabenzuwachs und Ressourcenbedarf bedeutet aber die wesentlich engere Zusammenarbeit mit Lieferanten. Banken müssen sich enger mit ihren Dienstleistern kooperieren, um gemeinsame Krisenübungen und Notfallpläne zu entwickeln. Dies bedeutet, dass BCM-Teams stärker in die Lieferantenbeziehungen eingebunden werden müssen, um sicherzustellen, dass alle Beteiligten auf Störungen vorbereitet sind. Besonders im Kontext des Business Continuity Managements (BCM) spielt die Abstimmung von Notfallplänen eine entscheidende Rolle, um die Auswirkungen potenzieller Störungen auf den Geschäftsbetrieb zu minimieren. Die Verordnung verlangt nicht nur eine Überwachung der eigenen Systeme, sondern auch die Einbindung von kritischen IKT-Drittanbietern in die eigene Krisenvorsorge. DORA schreibt vor, dass Banken und ihre Dienstleister gemeinsame Notfallpläne entwickeln und diese regelmäßig auf ihre Wirksamkeit hin überprüfen. Diese Pläne müssen klar definierte Eskalationsprozesse enthalten, um im Ernstfall eine schnelle Reaktion zu ermöglichen. Eine enge Abstimmung zwischen den BCM-Teams der Banken und den entsprechenden Abteilungen bei den Dienstleistern ist daher unerlässlich.