Während einige Banken und Versicherer noch mit der Mängelbeseitigung aus aufsichtlichen Prüfungen zu kämpfen haben, steht mit dem Digital Operational Resilience Act (DORA) bereits die nächste große Herausforderung vor der Tür.
Die Europäische Kommission hat es sich zum Ziel gesetzt, ein einheitliches Regelwerk für ein umfassendes Management von Cybersicherheitsrisiken und Risiken aus der Informations- und Kommunikationstechnologie (IKT) auf den Finanzmärkten zu schaffen. Da einige der neuen Vorgaben bereits in kurzer Zeit in Kraft treten werden, sind Institute gut beraten, schnellstmöglich mit der Umsetzung zu starten.
Mit den „Bankaufsichtlichen Anforderungen an die IT“ (BAIT) regulierte die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) 2017 erstmals ihre Vorgaben hinsichtlich der Informationstechnologie (IT) von Kreditinstituten. Knapp 1,5 Jahre später folgten mit den „Versicherungsaufsichtlichen Anforderungen an die IT“ (VAIT) die Vorgaben für Versicherer. Seitdem treffen diese aufsichtlichen Erwartungen auf über Jahrzehnte gewachsene, komplexe und sehr heterogene IT-Strukturen und stellen die Institute, Versicherer sowie deren Dienstleister vor enorme Herausforderungen. In der Folge werden bei aufsichtlichen Prüfungen im IT-Bereich regelmäßig Feststellungen mit teils gravierenden Folgen für die betroffenen Unternehmen getroffen.
Mängel und ihre Folgen
Seit die BaFin den „Naming and Shaming“-Ansatz in ihre Verwaltungspraxis aufgenommen hat und bei entsprechend gravierenden Verstößen gegen die aufsichtsrechtlichen Vorgaben die Feststellungen und die abgeleiteten Konsequenzen mit Nennung des betroffenen Unternehmens veröffentlicht, findet sich eine weitergehende Berichterstattung darüber in den Medien. So wurden bei Routineprüfungen, aber auch bei Sonderprüfungen, beispielsweise bei mehreren großen Versicherern wegen schwerer festgestellter Mängel Kapitalaufschläge auf die Solvenzkapitalquote verhängt.
Auch im Bankensektor sah es nicht besser aus. Hier musste u. a. ein Haus wegen Mängeln im Bereich Informationssicherheit bis zu deren Beseitigung mehr Eigenmittel bereitstellen. Reputations-, Vertrauens- und – z. B. bei knapper Kapitaldecke – Wachstumsverluste können die Folge sein. Unabhängig von solch gravierenden Konsequenzen bindet die geforderte zügige Behebung der Feststellungen erhebliche Ressourcen in den Unternehmen. Insbesondere Feststellungen im Bereich der Auslagerung bzw. Ausgliederung von IT-Dienstleistungen oder des Berechtigungsmanagements führten in der Vergangenheit grundsätzlich zu einem hohen Schweregrad mit den o. g. Konsequenzen.
Prüfer nicht unter- und die eigene Position nicht überschätzen
Spätestens nach dem Wirecard-Skandal sind neben den Wirtschaftsprüfungsgesellschaften auch die Aufsichtsbehörden selbst in den öffentlichen Fokus gerückt. Die Folge: Geringere Toleranzschwellen und schwerere Einwertung von Feststellungen. Darüber hinaus steigt die aufsichtliche Erwartungshaltung Jahr für Jahr rasant und mit ihr die Qualifikation der Prüfer. Daher sind Institute gut beraten – insbesondere, wenn die letzte Prüfung schon Jahre zurück liegt – nicht unvorbereitet in (Sonder-)Prüfungen zu gehen, die eigene Organisation nicht zu über- und die neue – gut ausgebildete – Generation von Prüfern nicht zu unterschätzen.
Zur Prüfungsvorbereitung/-unterstützung bieten Berater, Wirtschaftsprüfer und einige Verbände Dienstleistungen an. Auch Fachveranstaltungen der Aufsicht zu den Erfahrungen aus durchgeführten Prüfungen können weiterhelfen. Am wichtigsten ist jedoch der kritische Blick nach innen und die interne vorbehaltslose Kommunikation erkannter Gaps. Werden offene Flanken erkannt, sollten die dringendsten Themen als erstes angegangen werden. Zudem muss damit gerechnet werden, dass die Messlatte der Prüfer eher höher als zu niedrig angesetzt wird. In Prüfungsgesprächen sollte man den Eindruck vermitteln, die Probleme und offenen Themen erkannt zu haben und sich der Bedeutung bewusst zu sein. Bei noch nicht umgesetzten bzw. in Umsetzung befindlichen Anforderungen muss der Status Quo der Umsetzung dargelegt werden können. Für den Schweregrad der Feststellung kann nämlich gewichtig sein, wie der Prüfer das Problembewusstsein und die Lösungsbereitschaft der Unternehmensleitung einschätzt.
Wer mit der regelkonformen Umsetzung der BAIT bzw. VAIT seine Hausaufgaben bereits gemacht hat, sollte einen soliden Grundstein für die nächste Herausforderung gelegt haben: DORA.
Nächste Herausforderung: DORA
Als Reaktion auf die stark steigende Anzahl von Cyberangriffen hat die Europäische Kommission sich zum Ziel gesetzt, mit einem einheitlichen Regelwerk gegenzusteuern. Sie möchte damit ein effektives und umfassendes Management von Cybersicherheits- und IKT-Risiken auf den Finanzmärkten in den EU-Mitgliedstaaten erreichen. Dieses Regelwerk wird ab dem 17. Januar 2025 bindend. Kernelemente sind die Harmonisierung des IKT-Risikomanagements durch IKT-Governance und ein IKT- Risikorahmenwerk.
Außerdem soll eine Vereinheitlichung und Ausweitung der Meldepflichten von schwerwiegenden IKT-Vorfällen aus dem gesamten Finanzsektor erreicht, sowie ein europäisches Oversight-Framework für kritische IKT-Dienstleister implementiert werden. Dabei ist der Anwendungsbereich von DORA weit gefasst: Neben Banken und Versicherern werden u. a. auch Wertpapierfirmen und Handelsplätze in die Pflicht genommen, die neuen Anforderungen umzusetzen. Zur Unterstützung haben die EU-Aufsichtsbehörden bereits jetzt umfassende aufsichtsrechtliche Konkretisierungen durch technische Regulierungs- oder Implementierungsstandards (RTS/ITS) veröffentlicht. Weitere sind angekündigt.
Bestmögliche Vorbereitung
Sofern noch nicht geschehen, ist eine schnelle Befassung mit DORA angeraten, da mit erheblichen Aufwänden in den Häusern zu rechnen ist. Ein erster Schritt wäre die Durchführung umfassender GAP-Analysen, um den eigenen Reifegrad in Bezug auf DORA zu bestimmen. Dies erleichtert die Identifizierung der Bereiche, die ggf. Investitionen bzw. Kapazitäten erfordern. Außerdem sollten zusätzliche Herausforderungen wie der Fachkräftemangel und das Thema Inflation Berücksichtigung finden. Bei einer Priorisierung wäre der Fokus auf die aufsichtliche Relevanz sowie die Kundenseite zu legen, d. h. die Themen zuerst angehen, die höhere Eigenkapitalbelastungen und mögliche Reputationsschäden verursachen können. Themenspezifisch sollte ein Augenmerk auf neue Herausforderungen wie Threat-Led-Penetration-Tests und Third Party Risk Management gelegt werden.
Mit der Umsetzung von DORA kommt sehr viel Arbeit auf die Finanzdienstleister zu. Aber eine starke Widerstandsfähigkeit des eigenen Instituts und seiner Dienstleister entscheidet im Ernstfall einer „echten“ Cyber-Attacke u. U. über den Forstbestand des Unternehmens. BAIT, VAIT und DORA setzt man nicht für die Aufsicht um, sondern für das eigene Unternehmen und seine Kunden.