Die Europäische Union hat mit dem Digital Operational Resilience Act (DORA) im Januar 2023 ein Regelwerk verabschiedet, das ab Januar 2025 von nahezu allen Finanzinstitutionen, einschließlich Versicherungen, umgesetzt werden muss. Ziel dieser Verordnung ist es, die IT-Sicherheit und Resilienz der Unternehmen zu stärken, um im Falle eines Cyberangriffs oder einer schweren Betriebsstörung stabil und funktionsfähig zu bleiben. Die Vorgaben betreffen nicht nur klassische Finanzunternehmen, sondern auch ihre IKT-Drittdienstleister wie Cloud-Anbieter und Rechenzentren. Unternehmen müssen umfassende Strategien zur Resilienz entwickeln, Sicherheitsrichtlinien dokumentieren und Notfallpläne für IKT-Systeme bereithalten. Diese Maßnahmen sollen sicherstellen, dass die Unternehmen sowohl vor externen Angriffen geschützt sind als auch interne IT-Probleme bewältigen können.
Strenge Meldepflichten und neue Herausforderungen durch Drittanbieter
DORA verlangt bei schwerwiegenden IKT-Vorfällen eine Meldung an die Aufsichtsbehörde innerhalb von 24 Stunden. Die Klassifizierungskriterien sind umfangreich und betreffen verschiedene Unternehmensbereiche, wie die potenzielle Anzahl betroffener Kunden und die finanziellen Auswirkungen. Der GDV weist darauf hin, dass die Umsetzung dieser Anforderungen erhebliche personelle und finanzielle Ressourcen erfordert. Ein besonderer Fokus liegt auf dem Management von Risiken durch Drittdienstleister. Finanzunternehmen müssen sicherstellen, dass ihre Service-Provider den strengen Anforderungen genügen. Die neuen Regelungen sehen auch Überprüfungen und Maßnahmen durch europäische Aufsichtsbehörden vor, insbesondere für systemrelevante oder funktionell abhängige IKT-Drittdienstleister.
Herausforderungen und knappe Fristen bei der Umsetzung
Die Einführung von DORA markiert einen bedeutenden Schritt in Richtung IT-Sicherheit und operative Widerstandsfähigkeit. Trotz bekannter Anforderungen aus bisherigen VAIT-Rundschreiben der BaFin bleibt der Aufwand für die Umsetzung hoch, insbesondere für kleinere und mittlere Versicherungsunternehmen. Die Proportionalität der Regelungen bietet theoretisch Flexibilität, doch die detaillierten Anforderungen lassen wenig Raum für angepasste Umsetzungen. Die Frist bis zum 17. Januar 2025 ist knapp bemessen, und weitere Detailvorgaben werden sukzessive ausgearbeitet. DORA und die NIS2-Richtlinie könnten zudem zu mehrfachen Meldepflichten für Versicherungsgruppen führen, da IT-Vorfälle sowohl an die BaFin als auch an das BSI gemeldet werden müssen, was zusätzlichen Aufwand bedeutet.
