DORA praktisch umsetzen: Auf diese Prioritäten kommt es an
Die Versicherungsbranche soll Resilienz gegen alle Arten von IKT-Bedrohungen entwickeln und auch bei Vorfällen weiter handlungsfähig bleiben. Diese zentrale Forderungen der neuen DORA-Verordnung stellt viele Beteiligte vor große Herausforderungen. Wir sich das bewältigen lässt, beschreibt Jan-Paul Neder von der Unternehmensberatung PPI AG.
Zu spät geschlossene Sicherheitslücken, organisierte Banden, staatliche Akteure oder schlicht der Bagger und das Kabel: Es gibt viele Bedrohungen für die IT-Systeme. Und weil digitale Prozesse und Technologien bei einem Großteil aller Aufgaben zum Einsatz kommen, spielt die (IT-)Betriebsresilienz eine zentrale Rolle für Unternehmen aller Art – und ganz besonders für Versicherungen. Denn hier geht es nicht nur um „eigene“ Werte, die Branche trägt Verantwortung für Millionen Kunden. Es ist also kein Wunder, dass die regulatorischen Vorgaben gerade die Finanzinstitute in ihren Fokus rücken. Meist heißt das vorrangige Ziel der Aufsichtsbehörden, die Versicherten und ihre Gelder zu schützen.
DORA als umfassendes Rahmenwerk
Ganz besonders deutlich wird diese Absicht bei DORA (Digital Operational Resilience Act). Zum ersten Mal schafft die EU einen umfassenden Rahmen für das Management von Risiken, die von Informations- und Kommunikationstechnologien (IKT) ausgehen. Vier Hauptziele sollen damit erreicht werden: Erstens geht es um die Harmonisierung der existierenden Vorgaben durch ein einheitliches Regelwerk, zweitens soll ein hohes Sicherheitsniveau das Vertrauen von Verbrauchern und Marktteilnehmern stärken, drittens geht es um Rechtssicherheit, insbesondere für international tätige Institute und Unternehmen und viertens um Stabilität sowie Integrität der Finanzmärkte. Kernelemente von DORA sind die Verbesserung der Cyber-Security, der Schutz vor externen Angriffen sowie die Verhinderung nicht böswillig verursachter, schwerwiegender IT-Probleme. Durch eine angemessene digitale operationale Resilienz sollen Finanzinstitute ihre digitalen, operationellen Prozesse auch während und nach einem Störungsfall aufrechterhalten können.
Basierend auf erprobten Standards
Die Inhalte von DORA sind nicht neu. Fast alle regulatorischen Vorgaben – seien sie etwa von BaFin (Bundesanstalt für Finanzdienstleistungsaufsicht) oder EIOPA (European Insurance and Occupational Pensions Authority) initiiert – referenzieren auf bekannte Frameworks, wie etwa in diesem Fall auf die Standards der US-Normierungsbehörde NIST (National Institute of Standards and Technology). Und selbstverständlich halten diese Standards mit den Entwicklungen der IKT sowie mit den Bedrohungsszenarien Schritt. Aufgrund dieser Dynamik reicht es nicht aus, IT-Compliance im Allgemeinen und insbesondere DORA als eine einmalige Umsetzung zu betrachten. Es geht immer stärker um einen umfassenden Lebenszyklus. Es braucht einen Regelzyklus, der beispielsweise Organisation, Software, Hardware und Prozesse laufend an sich ändernde Vorgaben und Rahmenbedingungen anpasst.
DORA strategisch in Angriff nehmen
Die Einführung von DORA wirft erneut ein Schlaglicht auf einige zentrale Herausforderungen, mit denen die Versicherungsbranche im Bereich der Regulatorik konfrontiert ist. So zeigen die neuen Regeln den existierenden Nachholbedarf bei der IT-Compliance auf und sie lenken den Blick auf die Schwierigkeiten bei der Umsetzung aufgrund noch immer bestehender Silos. Doch wo auch immer es hakt, unserer Erfahrung nach braucht es stets eine individuelle Gap-Analyse, um die konkreten Ansatzpunkte im Unternehmen zu identifizieren und nach ihrer Dringlichkeit zu priorisieren. Deshalb gilt: Wer die Umsetzung von DORA in Angriff nimmt, sollte zunächst ein umfassendes Verständnis der neuen Regeln erwerben und untersuchen, welche Auslegung im eigenen Unternehmen Sinn ergibt. So sollten die Verantwortlichen beispielsweise herausfinden, wie sich die Vorgaben konkret in den eigenen Leitlinien, Richtlinien, Prozessen und schlussendlich technisch in Systemen repräsentieren und wie sie sich in eine operierbare IT-Sicherheit übertragen lassen.
Die aufsichtsrechtlichen Vorgaben sind sehr umfangreich und detailliert. Es ist daher wichtig, ein kosteneffizientes Vorgehen zu planen und das Thema Compliance strategisch zu interpretieren. Erst auf Grundlage einer solchen Vorarbeit lassen sich die Vorgaben konkret umsetzen. Denn letztlich muss jedes Unternehmen die vor ihm liegenden Aufgaben sehr weit herunterbrechen: Was muss jeder (IT-)Mitarbeiter im Einzelnen tun? Wie auch immer die Antworten darauf aussehen, es braucht einen roten Faden von der übergeordneten Leitlinie bis hin zur technischen Implementierung. So zeigt die bisherige Erfahrung von PPI aus diversen DORA-Projekten, dass die Strategie lieber ausreichend kurz, knapp und zusammenhängend gestaltet werden sollte, anstatt einen seitenlangen Papiertiger zu schaffen, der fortan in der Schublade verstaubt. Vor dem Beginn der Umsetzung von DORA sollten die Verantwortlichen daher erst die strategischen Grundlagen schaffen und die Frage beantworten, wo sich ihre besonders schützenswerten Kronjuwelen befinden.
Risiken differenzieren und entsprechend melden
Grundlage für diese Empfehlung bilden die Definitionen aus DORA. Demnach muss vor allem die Resilienz kritischer oder wichtiger Funktionen gewährleistet sein, die beispielsweise Datenverlust zur Folge haben oder deren Ausfall eine erhebliche Beeinträchtigung der finanziellen Leistungsfähigkeit, der Geschäftsfortführung oder regulatorischer Art darstellen würde. Hier reicht bereits die Erfüllung von zwei dieser Kriterien für eine Klassifizierung als „schwerwiegend“ und damit als meldepflichtig. Zur Konkretisierung wurden bereits Wesentlichkeitsschwellen sowie dazugehörige Erläuterungen veröffentlicht. Ein Beispiel: Es kommt zu Störungen bei der Kunden-App in Deutschland und Österreich, die von 20 Prozent der Kunden genutzt wird. Bereits dieser Zwischenfall gilt laut DORA als schwerwiegend, weil mehr als 10 Prozent aller Kunden den betroffenen Dienst nutzen und der Vorfall in mindestens zwei Mitgliedstaaten auftritt.
Ist ein solcher Anlass gegeben, muss ein Meldeprozess an die Aufsicht in Gang gesetzt werden. Dieses sogenannte Incident Management bei DORA kann sich an der Aufbau- und Ablauforganisation der Meldungen in Bezug auf PSD2 oder BSI/KRITIS orientieren. Allerdings kommt eine Reihe von Herausforderungen hinzu. So sind sehr unterschiedliche Trigger denkbar, es muss eine 24/7-Verfügbarkeit der Mitarbeiter in der Leitwarte gewährleistet sein, es braucht eine Abwägung von Grenzfällen und klare Verantwortlichkeiten für die Erstellung und Abgabe der Reports. Die Frist für die initiale Meldung beträgt lediglich vier Stunden ab dem Zeitpunkt der Klassifizierung als schwerwiegend, zwei weitere Reports müssen folgen. Ein geregelter (interner) Reportingprozess ist übrigens auch bei nicht schwerwiegenden Vorfällen vorgeschrieben. All das erfordert in der Regel den Aufbau zusätzlicher Kapazitäten und von Know-how für Klassifizierung und Meldung und deren Verankerung im Tagesgeschäft.
Der Prüfungsdruck nimmt zu
Eine starke Zunahme der Cyberattacken und die offensichtlichen Probleme im Bereich der IT-Compliance haben bereits zu Konsequenzen seitens der Aufsicht geführt. So wurden einige Versicherer zu Kapitalaufschlägen verpflichtet und die BaFin hat ihre Unzufriedenheit bei der Umsetzung der VAIT (Versicherungsaufsichtliche Anforderungen an die IT) zum Anlass genommen, die Gangart zu verschärfen und tiefergehend zu prüfen. Diese Praxis dürfte sich mit Einführung von DORA weiter verstärken, auch wenn Marc Branson weniger Komplexität und mehr Proportionalität für die Regulierung in Aussicht gestellt hat. Zu erwarten sind noch umfassendere Prüfungen beim Versicherer, bis hin zur Detailprüfung beim IKT-Dienstleister. Das Personal dazu ist vorhanden, so stehen immer weniger Versicherern immer mehr Prüfer gegenüber. Wichtig zu wissen: Die Erkenntnisse aus der Prüfung von Versicherung A werden bei Versicherung B angewendet. Zudem nimmt die BaFin eine unzureichende Mängelbeseitigung zum Anlass, die Dringlichkeit der jeweiligen Feststellung hochzustufen und den Druck weiter zu erhöhen. Die Branche steht daher mehr denn je vor der Aufgabe, Schwachstellen nachhaltig zu beseitigen.
Dienstleister im Fokus
Doch DORA beschränkt sich nicht nur auf die Compliance interner Prozesse, in Zukunft gelten für IKT-Drittanbieter vergleichbare, regulatorische Anforderungen wie bisher schon für Finanzdienstleister. Daraus ergibt sich eine Konkretisierung von Mindestinhalten bei Verträgen. Es braucht daher Metriken auf Basis der 19 Servicekategorien der Aufsicht, mit deren Hilfe sich Dienstleister klassifizieren und ihre IKT-Relevanz identifizieren lassen. Zudem braucht es die Führung eines Informationsregisters mit allen vertraglichen Vereinbarungen. Und um die Meldefähigkeit des Informationsregisters gestalten zu können, ist ein entsprechender Überprüfungsaufwand erforderlich – welches sind überhaupt die IKT-Dienstleister zur Unterstützung der kritischen oder wichtigen Funktionen und welche Regelungen gelten im Detail für die Durchführung der Beurteilung sowie deren Überprüfung? Diese Anforderung wird sich nur durch die Etablierung eines Test- bzw. Prüfrahmens für IKT-Drittanbieter durchführen lassen. Zudem braucht es ein Review und eine Neuverhandlung der Verträge mit diesen Anbietern, um die vertraglichen Mindestanforderungen zu erfüllen. Daraus folgt ebenfalls die Notwendigkeit einer Exit-Strategie bei kritischen und wichtigen Funktionen (analog zur Wesentlichkeit bei VAIT). Dies gilt vor allem für den Fall nicht behebbarer Mängel mit nicht akzeptablen Risiken. Diese umfangreichen Vorgaben bringen zusätzliche Herausforderungen für die Dienstleistersteuerung mit sich. Versicherer müssen beispielsweise Verantwortlichkeiten für Genehmigung und Verwaltung von Drittanbieterbeziehungen stringenter leben und das entsprechende Know-how in der eigenen Organisation aufbauen. Nötig ist also eine Spezifizierung aller Prozesse im Lebenszyklus.
Letztlich kommt es auf die Menschen an
Weil DORA einen Fokus auf das Thema Governance legt, spielen die handelnden Personen eine zentrale Rolle bei der Erfüllung der Aufgaben. So muss der Vorstand auskunftsfähig sein und Mitarbeiter sowie Lieferanten benötigen ein nachweisbares Wissen zur digitalen, operationellen Resilienz. Zudem müssen Aufgaben in (Arbeits-)Prozesse gegossen werden und Techniker dürfen nicht losgelöst von den Vorgaben der IT-Compliance arbeiten. Zwischen allen Ebenen und Bereichen braucht es eine enge Abstimmung. Die Erfahrung zeigt, dass die Versicherungsbranche häufig noch manuelle Abläufe für die Compliance nutzt und wo Tools zu Governance, Risk und Compliance vorhanden sind, befinden sich diese nicht immer auf dem aktuellen Stand oder werden nicht zielgerichtet verwendet. So kommt es schon bei der Umsetzung der „alten Regulatorik“ häufig zu Problemen. DORA bietet in diesen Fällen die große Chance, Synergien zu nutzen. Denn häufig lassen sich vorhandene Baustellen und Projekte mit der Implementierung der neuen, regulatorischen Vorgaben verzahnen.
Fazit
Die Umsetzung von DORA bildet eine Herausforderung für viele Versicherer, gerade weil die Zeit drängt. Allerdings zeigen unsere Erfahrungen, dass sich die anstehenden Aufgaben durch ein gezieltes Herangehen durchaus umsetzen lassen. Allerdings braucht es dazu ein unbedingtes Bekenntnis der Unternehmensleitung und die entsprechenden Ressourcen im Unternehmen. So sehen wir, dass der Gesamtaufwand für eine Umsetzung der DORA-Anforderungen in unserem Basis-Szenario für ein Haus mittlerer Größe (unter 1.000 Mitarbeiter) mit mindestens 500 Personentagen zu Buche schlagen wird. Dazu empfehlen wir die Projektorganisation mit einer klaren Ausrichtung an der inhaltlichen Struktur von DORA und die enge Verzahnung mit den operativen Abteilungen. Selbstverständlich muss diese Projektplanung komplexe Abhängigkeiten berücksichtigen. Deshalb stellt DORA hohe Anforderungen an die Praxisorientierung von Umsetzungsstrategie, internen Beteiligten und Beratern.
Autor: Jan-Paul Neder ist für den Bereich Informationssicherheit zuständig sowie Regulatorik-Experte bei der Unternehmensberatung PPI AG und Spezialist für das Thema DORA