DORA in der Versicherungspraxis – Erkenntnisse vor der ersten Prüfungssaison

Kommentar hinterlassen

Foto: Mohamed Hassan/ Pixabay

Gut acht Monate nach vollständiger DORA-Wirksamkeit zum 17. Januar 2025 finden aktuell bereits IT-Prüfungshandlungen in Versicherungsunternehmen statt, häufig vorgelagert zur eigentlichen Jahresabschlussprüfung. Parallel hierzu befindet sich jedoch der IDW-Standard EPS 528 mit Stand August 2025 erst in Konsultation (1). Im Gleichklang wurde die PrüfV zwecks Konkretisierung der Berichtspflichten zu den Prüfungspflichten aus DORA-, Taxonomie- und Offenlegungsverordnung zum 23. Juli zur Beratung gestellt (2). Für die beaufsichtigten Versicherungsunternehmen und ihre Prüfer ergibt sich daraus eine deutlich erkennbare Spannweite hinsichtlich regulatorischer Anforderungen und aktuellem Prüfungsrahmen: Eine Analyse mit konkreten Handlungskonsequenzen liefert Markus Priller in einem Gastbeitrag.

Insbesondere sind folgende Aspekte zu berücksichtigen:

  • Mögliche Ambiguität zwischen Anforderungs- und Prüfungsumfang je nach Unternehmen, daraus resultierende Unsicherheiten hinsichtlich Ergebnisinterpretationsrahmen
  • deutlich spürbarer „Zeitversatz“ im Prüfungsverlauf bedingt u.a. durch Wartezeiten auf aktualisierte Verordnung und personelle Knappheiten, was die Allokation interner Expertinnen und Experten in Versicherungsunternehmen wiederum schwierig macht
  • Wahrnehmung eines potenziellen GAPs zwischen aufsichtlichen Anforderungen einerseits und Auslegungen des Abschlussprüfers andererseits, die ggf. in den Folgejahresprüfungen schlagend wirkt

Der IDW-Standard und die angepasste PrüfV umfassen im Wesentlichen folgende drei zentrale methodische Punkte:

  1. Der Fokus der Betrachtung liegt auf IKT-Organisation, -Systemen und -Prozessen, die „wesentliche Geschäftsprozesse“, d.h. in der DORA-VO benannte kritische und wichtige Geschäftsfunktionen, unterstützen
  2. Für diese genannten Prozesse sind zur Sicherheit der VIVA-Kriterien Vertraulichkeit, Integrität, Verfügbarkeit und Authentizität entsprechend organisatorische, personelle wie technische Voraussetzungen zu treffen
  3. Für das unter 1. und 2. subsummierte Untersuchungsfeld werden neben der Angemessenheit – ob organisatorische Vorgaben angemessen in Prozesse, Regelungen und Verfahren umgesetzt sind, insbesondere in der schriftlich fixierten Ordnung (sfO) – auch die Wirksamkeit untersucht – also Effektivität in der Umsetzung der regulatorischen Anforderungen.

Inhaltlich regelt der IDW-Standard EPS 528, was der Prüfungsinhalt umfasst –

„Bei der Prüfung des Jahresabschlusses hat der Prüfer festzustellen, ob das Versicherungsunternehmen folgende Anzeigepflichten und Anforderungen erfüllt hat: die Vorgaben nach den Artikeln 5 bis 14, 16 bis 19, 23 bis 25, 28 bis 30 und 45 Abs. 3 DORA, auch i.V.m. einer Delegierten Verordnung nach den Artikeln 15, 16, 20, 28 oder Artikel 30 DORA.“

Konkret sind mindestens zu betrachten:

  1. das IKT-Risikomanagement gemäß Art. 5 – 14 und 16 – darunter fallen Liefergegenstände wie die Leitlinie zum Risikomanagement-Rahmen inkl. Zielen, Maßnahmen und KPIs und eine Richtlinie zu Rollen und Verantwortlichkeiten
  2. die Dokumentation des IKT-Risikomanagement-Rahmens gemäß Art. 6 / Art. 16 – umfassend bspw. Prozess- und Organisationsdokumentation für den Risikomanagement-Lebenszyklus und die Operationalisierung des 3-Linien-Modells
  3. die IKT-Geschäftsfortführungsleitlinie nach Art. 11 – dies beinhaltet etwa die allgemeine Geschäftsfortführungsleitlinie ebenso wie die Geschäftsfortführungspläne (GFPs) und Reaktions- und Wiederherstellungspläne (RWPs)
  4. die Behandlung, Klassifizierung und Berichterstattung IKT-bezogener Vorfälle gemäß Art. 17-19 einschließlich insbesondere der Richtlinien für die Behandlung IKT-bezogener Vorfälle, entsprechender Kriterienkataloge und ihrer Prozesse und Operationalisierung
  5. das Testen der digitalen operationalen Resilienz gemäß Art. 24 und Art. 25 – hierbei sind besonders das Testprogramm und Leitlinien und Verfahren zur Priorisierung, Klassifizierung und Behebung von im Test identifizierten Problemen zu nennen
  6. das Management des IKT-Drittparteienrisikos gemäß Art. 28 – 30 – hier sind vielfältige Liefergegenstände zu berücksichtigen, die wichtigsten sind beispielsweise die IKT-Dienstleister-Risikostrategie, eine überarbeitete und aktualisierte Ausgliederungsrichtlinie, konkrete Ausstiegspläne („Exit-Strategien“) und eine dezidierte
  7. Risikoanalyse mit Inventar aller kritischen Prozesse und Funktionen, die von IKT-Drittdienstleistern abhängen
  8. die Einhaltung der Meldepflicht in Bezug auf Vereinbarungen über den Austausch von Informationen gemäß Art. 45 einschließlich beispielsweise eines Kriterienkataloges und Erkennungsmechanismus für anomale Aktivitäten und Klassifizierung schwerwiegender Vorfälle.

Die hierfür genutzten Informationsquellen und Dokumentarten sind hierbei in A30 des IDW-Entwurfsdokumentes referenziert. Beispielhaft seien hier nur die DOR-Strategie, IKT-Aufbau- und Ablauforganisation, Übersicht der kritischen und wichtigen Funktionen und wesentlicher Richtlinien, Leitlinien und Handbücher als Teil der schriftlich fixierten Ordnung (sfO) sowie eine Vielzahl weiterer Dokumente genannt, die zur Angemessenheit betrachtet werden.

Zusätzlich finden im Rahmen der Wirksamkeitsbetrachtung zunächst Befragungen von Mitarbeitern der Leitungsebene sowie Führungs- und Fachmitarbeitern auf weiteren organisatorischen Ebenen statt, insbesondere, so Bezug zu den kritischen und wichtigen Unternehmensfunktionen genommen wird. Die benannten Verantwortlichen des Versicherungsunternehmens tragen überdies die volle Verantwortung für die strategische Resilienz, den IKT-Risikomanagementrahmen und seine Ausprägung in Bezug auf Risikoappetit und -toleranz ebenso wie die ausreichende Ausstattung mit fachlichen, finanziellen und organisatorischen Ressourcen im Einklang mit dem 3-Lines-Modells (3).

Diese deutlich stärkere Verantwortungsbetrachtung im Kontext der DORA-Verordnung im Vergleich zur Vorgängerregulierung wird nicht zuletzt durch die aktualisierten Bestellungs-Rahmenbedingungen KWG in 2025 verdeutlicht.

Darüber hinaus sieht die DORA-Prüfungsverordnung explizit die Möglichkeit der „eskalierten Klassifizierung von Beanstandungen“ vor, also die Hochstufung nicht behobener Feststellungen nach angemessener Frist, üblicherweise im Folgejahr. War die implizit bereits in der „Verordnung über die Prüfung der Jahresabschlüsse der Kreditinstitute und Finanzdienstleistungsinstitute sowie über die darüber zu erstellenden Berichte“ vorgesehen, wird diese Möglichkeit nun für den DORA-Umfang explizit dargestellt.

Auf der Positivseite sind hingegen Erleichterungen bei der ersten Prüfungsdurchführung seitens des IDW formuliert (4). Diese umfassen den Verzicht auf die Berichterstattung von vollständig abgestellten Mängeln einerseits und die Prüfung von xAIT, sofern sie in DORA enthalten sind, im vom Kalenderjahr abweichenden Geschäftsjahr.

Das prüfende Unternehmen bleibt dennoch verpflichtet, bei gravierenden Mängeln und Kenntnis schwerwiegender Sachverhalte die Aufsicht unmittelbar zu informieren.

Welche konkreten Handlungskonsequenzen ergeben sich daraus für Versicherungsunternehmen?

  1. Schnellstmöglich Transparenz über verbliebene regulatorische Aufgaben und aufsichtliche Feststellungen in den Vorjahren zu erlangen, falls noch nicht geschehen
  2. Entwicklung einer ambitionierten und zugleich zeitlich realistischen Roadmap nach Risikogesichtspunkten zur Schließung der identifizierten Findings – dabei sind besonders bekannt umsetzungsintensive Themenfelder wie Identity & Access Management, Informationsverbund und CMDB/IKT-Asset Management zu berücksichtigen. Gegebenenfalls ist hierfür die Einbindung eines externen Partners zur Validierung und Priorisierung empfehlenswert.
  3. Identifizierung notwendiger Ressourcen- und Finanzausstattung, um entsprechende Themen im Linienbetrieb regulatorisch sicher betreiben zu können – Einholung nötiger Genehmigungen, Start des internen / externen Recruitings mit entsprechendem Vorlauf
  4. Kurzfristiger Beginn der Umsetzungsarbeiten, proaktive Kommunikation an das prüfende Unternehmen und ggf. Aufsicht, sofern bereits entsprechende Feststellungen formuliert wurden, über den Zeitrahmen, Umfang und Voraussetzungen für die Behebung

Regulierung für Resilienz und IKT-Risikomanagement für Versicherungsunternehmen ist „gekommen um zu bleiben“. DORA stellt hierbei inhaltlich umfassendere Anforderungen an Versicherungsunternehmen als die IT-Vorgängerregulierungen. Auch wenn aktuell noch eine gewisse Ambiguität zwischen DORA und den entsprechenden Prüfungsrahmenbedingungen besteht, wird sich dies erkennbar in den kommenden Monaten aufzulösen – daher ist die prioritätsorientierte Abarbeitung von regulatorischen Aufgaben dringend geboten, um einerseits operative Risiken nachhaltig zu reduzieren und andererseits in eine gute Ausgangsposition für bevorstehende Prüfungen zu gelangen.

(1) Entwurf eines IDW Prüfungsstandards: Aufsichtliche Prüfung der Einhaltung von Anforderungen der Verordnung (EU) 2022/2554 über

(2)
https://www.bafin.de/SharedDocs/Veroeffentlichungen/DE/Meldung/2025/meldung_25_07_23_Konsultation_Pr%C3%BCfungsberichteverordnung.html

(3) https://www.bafin.de/SharedDocs/Bilder/DE/BaFinPerspektiven/bp_1_18_beitrag_gampe_abb1.html
und https://www.bis.org/fsi/fsipapers11.pdf (Bank of International Settlements)

(4) https://www.idw.de/idw/idw-aktuell/dora-erleichterungen-bei-der-erstmaligen-pruefung.html und https://www.idw.de/IDW/IDW-Aktuell/Download-2025/BaFin-DORA-Erstpruefung-Antwort-an-IDW-250811.pdf

Autor: Markus Priller ist Director im Bereich Regulatory & Legal Support bei Deloitte und Autor der 2. Auflage „DORA in Versicherungsunternehmen“ https://is.gd/EyTGzs

Auch interessant
Schlagwörter:

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

2 × 2 =