SkazovD – Shutterstock.com
Ab heute am 17. Januar 2025 sind alle EU-Finanzinstitute verpflichtet, den Digital Operational Resilience Act (DORA) umzusetzen. Die EU-Richtlinie soll dazu beitragen, die Cybersicherheit in der Finanzbranche zu erhöhen. Studien zeigen jedoch, dass viele Unternehmen noch immer mit der Umsetzung kämpfen.
Eine Umfrage von metafinanz im November 2024 hat ergeben, dass der durchschnittliche Umsetzungsstand in mittelständischen Finanzunternehmen bei etwa 45 Prozent liegt. Keiner der befragten Organisationen rechnete damals damit, die Frist vollständig einhalten zu können.
Die größten Herausforderungen
Die Autoren der Studie führten dies auf die späte Veröffentlichung der technischen Standards mit den umfangreichen Detailregelungen zurück. Nach Angaben des Gesamtverbands der Versicherer (GDV) sind noch immer einige technische Details nicht geklärt. Ein Kernpunktist laut GVD das Management von Drittparteienrisiken. Finanzunternehmen müssen sowohl interne IKT-Risiken steuern als auch Gefahren durch Drittanbieter und deren Subunternehmer berücksichtigen. „Für das Vertragsmanagement mit Dienstleistern müssen die noch ausstehenden Vorgaben zur Unterauftragsvergabe zügig finalisiert werden“, so Jörg Asmussen, Hauptgeschäftsführer des GVD.
Auch Ron Kneffel, Vorstandsvorsitzender der CISO Alliance, bestätigte gegenüber CSO, dass viele Unternehmen noch nicht alle erforderlichen Maßnahmen vollständig abgeschlossen haben. „Die größten Hürden bestehen nach wie vor in der Nachverhandlung bestehender Verträge mit IT-Dienstleistern und Partnern sowie der Erstellung und Pflege detaillierter Informationsregister“, erklärt der Experte.
„Zudem stellt die Integration neuer regulatorischer Anforderungen in bestehende Prozesse eine große Herausforderung dar, insbesondere ohne den laufenden Geschäftsbetrieb zu beeinträchtigen“, fügt er hinzu. Die geschätzten Kosten für die Umsetzung würden dabei variieren. „Die Ausgaben sind abhängig von der Komplexität der Anforderungen, wobei diese sich im mittleren bis oberen Bereich bewegen werden.
Wie das Branchenmagazin Versicherungswirtschaft Heute berichtet, kann DORA richtig teuer werden, wenn man ab dem 17. Januar nicht halbwegs fertig ist mit der Umsetzung. Die Höhe des Bußgelds hänge vom Verhalten der Finanzaufsicht Bafin ab.
Trotz der Herausforderungen sieht Kneffel einen Lichtblick durch den verstärkten Einsatz von IT-gestützten Lösungen und das Outsourcing von IT-Sicherheitsdienstleistungen. „Es werden bereits spezialisierte Tools und Dienstleister genutzt, weiterhin werden aber auch die Möglichkeiten von künstlicher Intelligenz (KI) evaluiert. Diese Technologien bieten enormes Potenzial, um Compliance-Prozesse zu beschleunigen und zu optimieren, auch wenn ihre Implementierung zusätzliche Ressourcen erfordert.“
Die zentrale Aufgabe der CISOs sei es, nicht nur die regulatorischen Anforderungen zu erfüllen, sondern die digitale Resilienz der Organisation nachhaltig zu stärken, betont der Vorsitzende der CISO Alliance. „Die verbleibenden Aufgaben müssen priorisiert, eng zwischen den Abteilungen koordiniert und mit einem klaren Fokus auf langfristige Widerstandsfähigkeit abgeschlossen werden.“
Kneffel ergänzt: „Gleichzeitig müssen wir über den Stichtag hinausdenken. Die Anforderungen sollten kontinuierlich überprüft und angepasst werden, um die Sicherheit und Stabilität der IT-Sicherheit dauerhaft zu gewährleisten.
_Nils_Ackermann_Alamy.jpg?disable=upscale&width=1200&height=630&fit=crop&w=332&resize=332,0&ssl=1 "Using Behavioral Insights to Counter LLM-Enabled Hacking")
_Nils_Ackermann_Alamy.jpg?disable=upscale&width=1200&height=630&fit=crop&w=688&resize=688,387&ssl=1 "Using Behavioral Insights to Counter LLM-Enabled Hacking")
_marcos_alvarado_Alamy.jpg?disable=upscale&width=1200&height=630&fit=crop&w=332&resize=332,0&ssl=1 "Employees Enter Sensitive Data Into GenAI Prompts Too Often")
_marcos_alvarado_Alamy.jpg?disable=upscale&width=1200&height=630&fit=crop&w=688&resize=688,387&ssl=1 "Employees Enter Sensitive Data Into GenAI Prompts Too Often")
