Ab Januar 2025 müssen Banken den Digital Operational Resilience Act (DORA) umgesetzt haben. Was dies bedeutet und wie dies gelingen kann, erläutern Vaike Metzger (KPMG), Pranjal Kothari (Sparkasse Bremen) und Kai Lenz (ServiceNow).
Die digitale Transformation hat die Art und Weise, wie Unternehmen operieren, revolutioniert. Der Finanzsektor ist dabei keine Ausnahme. Cyber-Kriminalität ist die Kehrseite der Digitalisierungs-Medaille. Mit zunehmender Abhängigkeit von digitalen Technologien steigt auch die Notwendigkeit, die Widerstandsfähigkeit gegenüber Cyberbedrohungen und Betriebsstörungen zu stärken.
Spätestens die Corona-Pandemie hat die Bedeutung der digitalen Betriebsresilienz unterstrichen, da viele Institute aufgrund von Lockdowns und sozialer Distanzierung vermehrt auf digitale Kanäle angewiesen waren.
Es ist für Banken daher notwendiger denn je, IT- und Sicherheitsrisiken umfassend zu managen. Digitale Resilienz ist jedoch nicht nur eine technologische Frage ist, sondern umfasst auch organisatorische und governancebezogene Aspekte.
Finanzinstitute sind bevorzugtes Ziel von Cyber-Kriminellen
Banken und andere Finanzdienstleister werden nicht nur immer digitaler – sie sind auch ein bevorzugtes Angriffsziel von Cyber-Kriminellen, die auf der Suche nach Geld und Daten sind.
Dies hat auch der Regulator erkannt. Aktuell warnt die Bankenaufsicht davor, dass Angreifer immer professioneller werden. Sie erhält täglich Meldungen über Cyberattacken auf Banken. Insbesondere warnt sie davor, dass ein groß angelegter Angriff bevorstehen könnte. Das absolute Horrorszenario sei ein Cyberangriff, mit dem Hacker alle Konten einer großen deutschen Bank oder Sparkasse leer räumen.
Die Bafin verstärkt deshalb ihre Aktivitäten bei der Überwachung von IT-Risiken. Ihr Fokus liegt dabei auf dem Risikomanagement der Banken.
Mehr digitale Resilienz durch DORA
Hier kommt der Digital Operational Resilience Act (DORA) ins Spiel. Das Hauptziel der Richtlinie besteht darin, die Widerstandsfähigkeit der Finanzinstitute gegenüber digitalen Risiken zu stärken. Dazu gehört nicht nur der Schutz vor Cyberangriffen, sondern auch die Fähigkeit, auf Betriebsstörungen angemessen zu reagieren und den Geschäftsbetrieb aufrechtzuerhalten.
Ab dem 17. Januar 2025 muss DORA von allen Finanzdienstleistern in der EU umgesetzt werden.
Bank Blog TV zu DORA
Doch welche Maßnahmen sind erforderlich, um die Sicherheit und Widerstandsfähigkeit zu gewährleisten und eine digitale Resilienz gemäß DORA zu erreichen? Darüber habe ich mich in einem digitalen Live Event des Bank Blogs mit drei Experten unterhalten:
Vaike Metzger ist Diplom-Wirtschaftsmathematikerin und Partnerin bei KPMG und berät Finanzinstitute zu Themenstellungen im Bereich IT Compliance und Cyber Security. Dabei unterstützt sie ihre Kunden, deren IT bei der digitalen Transformation compliant, sicher und zukunftsorientiert zu gestalten.
Pranjal Kothari ist Mitglied des Vorstandes und Chief Digital Officer der Sparkasse Bremen. Er ist Betriebswirt (MBA) und war zuvor in verschiedensten Funktionen in der Finanzwirtschaft tätig, u.a. als Mitgründer der Deutsche Fintech Solutions, COO und CFO der PlanetHome Group und als Managing Director in der UniCredit, um nur einige Stationen herauszugreifen.
Kai Lenz ist Head of Financial Services Industry EMEA bei ServiceNow. Der Diplom Informatiker und MBA war zuvor in verschiedenen Positionen u.a. für Pegasystems, Microsoft, Credit Suisse und IBM tätig.
Die drei Experten beantworten u.a. folgende Fragen:
- Welches sind die Ziele, Inhalte und aktueller Stand von DORA?
- Wo liegt die Verantwortung für die Umsetzung von DORA?
- Wo stehen Finanzinstitute bei DORA?
- Welches sind die Herausforderungen bei der Umsetzung
- Wie sehen die konkreten weiteren Schritte für Finanzinstitute aus?
- Wie kann eine wirkungsvolle externe Unterstützung aussehen?