Sie sind hier: Home » Fachartikel » Recht

Digitale Transformation im Finanzsektor


Wettbewerbsvorteil statt Compliance-Übung: Warum DORA mehr ist als ein Hürdenlauf
DORA ist mehr als nur ein weiteres Regelwerk – es ist ein umfassender Ansatz zur Stärkung der digitalen Resilienz



Dr. Alfons Jakoby
Dr. Alfons Jakoby DORA markiert einen Wendepunkt in der Regulierung digitaler Resilienz im Finanzsektor, Bild: Omada

Von Dr. Alfons Jakoby, Director und Advisory Practice Manager bei Omada

Die digitale Transformation im Finanzsektor schreitet unaufhaltsam voran – und mit ihr wachsen die Anforderungen an die IT-Sicherheit. Mit dem Digital Operational Resilience Act (DORA) hat die EU nun einen wegweisenden Regulierungsrahmen geschaffen, der die digitale Widerstandsfähigkeit von Finanzinstituten stärken soll. Die neue Verordnung betrifft nicht nur Banken und Versicherungen, sondern den gesamten Finanzsektor inklusive dessen kritischer IT-Dienstleister. Viele Unternehmen stehen jedoch noch vor erheblichen Herausforderungen bei der Umsetzung und betrachten die gesetzlichen Änderungen eher als Hindernis, weil die Anforderungen tief in bestehende Geschäftsprozesse eingreifen. Doch wer die Umsetzung richtig angeht, wird aus der Transformation gestärkt und widerstandsfähiger denn je hervorgehen.

Die Komplexität der DORA-Anforderungen
DORA ist mehr als nur ein weiteres Regelwerk – es ist ein umfassender Ansatz zur Stärkung der digitalen Resilienz. Im Kern hat DORA zum Ziel, dass Finanzinstitute ihre IT-Risiken systematisch managen, ihre digitale Infrastruktur regelmäßig auf den Prüfstand stellen und Vorfälle professionell handhaben. Besonders wichtig: Die Verordnung verlangt eine solide interne Governance und ein effektives Management auch von Drittanbieter-Risiken. Die Besonderheit liegt dabei in der Tiefe der Anforderungen – DORA geht deutlich über bisherige Regulierungen hinaus und fordert eine nachweisbare, kontinuierliche Überprüfung der digitalen Widerstandsfähigkeit entlang der Lieferkette.

Die Herausforderung liegt in der praktischen Umsetzung. Finanzinstitute müssen zunächst eine gründliche, ggf. wiederholte Bestandsaufnahme durchführen: Welche Systeme sind kritisch? Wo liegen potenzielle Schwachstellen? Wie robust sind die bestehenden Kontrollmechanismen? Dabei gilt es, das Verhältnismäßigkeitsprinzip zu beachten – die Maßnahmen müssen zur Größe und Komplexität des Unternehmens passen. Besonders kleinere Institute stehen hier vor der Herausforderung, mit begrenzten Ressourcen ein angemessenes Schutzniveau zu erreichen.

Identity Governance als Schlüssel zur DORA-Compliance
Ein zentraler Aspekt, der oft unterschätzt wird, ist das Management von Zugriffsrechten. Moderne IGA-Lösungen (Identity Governance and Administration) spielen hier eine Schlüsselrolle. Sie helfen Unternehmen dabei, den Zugriff auf kritische Systeme und Daten präzise zu kontrollieren und sicherzustellen, dass Berechtigungen mit definierten Rollen und regulatorischen Anforderungen übereinstimmen. Dies ist besonders wichtig, weil dazu ein robustes Identity und Access Management notwendig ist. In der Praxis bedeutet dies beispielsweise, dass Zugriffsrechte automatisch entzogen werden, wenn Mitarbeiter das Unternehmen verlassen oder ihre Rolle wechseln. Auch die regelmäßige Überprüfung bestehender Berechtigungen, auch von externen Dienstleistern, wird durch IGA-Systeme erheblich vereinfacht. Dies schafft nicht nur Sicherheit, sondern reduziert auch den administrativen Aufwand erheblich.

Die Rolle von Automatisierung und Integration
Die Komplexität der DORA-Anforderungen macht deutlich, dass manuelle Prozesse nicht ausreichen werden. Automatisierte IGA-Lösungen können hier einen entscheidenden Beitrag leisten: Sie ermöglichen eine kontinuierliche Überwachung von Zugriffsrechten, unterstützen bei der Dokumentation und erleichtern das Compliance-Reporting. Das ist wegen des von DORA geforderten Risikomanagements wesentlich. Integration in bestehende Systeme ist dabei von entscheidender Bedeutung. Nur wenn die verschiedenen Sicherheitslösungen nahtlos zusammenarbeiten, kann ein durchgängiges Schutzniveau erreicht werden.

Ein weiterer wichtiger Aspekt ist die Skalierbarkeit der implementierten Lösungen. Mit dem Wachstum des Unternehmens und der zunehmenden Digitalisierung steigt auch die Komplexität der IT-Landschaft. Automatisierte Prozesse helfen dabei, diese Komplexität beherrschbar zu halten und gleichzeitig die Compliance-Anforderungen zu erfüllen.

Praktische Schritte zur Umsetzung
Um aus den bisher skizzierten Herausforderungen klare Handlungsempfehlungen abzuleiten, sollten folgende Schlüsselelemente auf der To-Do-Liste ganz oben stehen, damit die Implementierung der DORA-Anforderungen gelingt:

>> Eine klare Governance-Struktur mit definierten Verantwortlichkeiten ist unerlässlich. Das Management muss die Initiative von Anfang an unterstützen und ausreichende Ressourcen bereitstellen. Dabei sollten auch klare Eskalationswege für IT-Sicherheitsvorfälle festgelegt werden.

>> Essenziell ist zudem die Erfassung aller kritischen Assets und Abhängigkeiten durch das IKT-Risikomanagement. Besonders wichtig ist dabei die Integration von Drittanbietern in das Risikomanagement-Framework. Gerade Schnittstellen zu externen Dienstleistern können oft kritische Schwachstellen darstellen.

>> Regelmäßige Tests der digitalen Betriebsstabilität sind unverzichtbar. Dazu gehören Schwachstellenanalysen ebenso wie bedrohungsorientierte Penetrationstests. Diese sollten nicht als lästige Pflicht, sondern als Chance zur kontinuierlichen Verbesserung verstanden werden.

>> Ein professionelles Vorfallmanagement (Incident Response), das schnelle Reaktionen und transparente Kommunikation gewährleistet, muss etabliert werden. Dabei ist es wichtig, aus Vorfällen zu lernen und die gewonnenen Erkenntnisse in die Verbesserung der Sicherheitsmaßnahmen einfließen zu lassen.

Die Chance in der Herausforderung
Obwohl die Umsetzung von DORA zunächst als zusätzliche regulatorische Last erscheinen mag, bietet sie Finanzinstituten die Chance, ihre digitale Resilienz nachhaltig zu stärken. Ein gut implementiertes IGA-System hilft nicht nur Compliance Anforderungen zu erfüllen, sondern steigert auch die operative Effizienz und reduziert Risiken. Investitionen in bessere Sicherheitssysteme zahlen sich langfristig aus – nicht nur durch vermiedene Schadensfälle, sondern auch durch effizientere Prozesse und ein höheres Vertrauen der Kunden. Besonders wichtig ist dabei der kulturelle Wandel: DORA sollte als Katalysator für eine umfassende Modernisierung der IT-Sicherheit verstanden werden. Dies erfordert nicht nur technische Lösungen, sondern auch ein Umdenken in der Organisation und die Erweiterung der Sichtweise von der Innenschau zur Außenschau mit der Integration der Dienstleiter. Sicherheit wird als integraler Bestandteil aller Geschäftsprozesse verstanden werden, nicht als nachträglicher Zusatz.

Fazit
DORA markiert einen Wendepunkt in der Regulierung digitaler Resilienz im Finanzsektor. Der Erfolg in der Umsetzung wird maßgeblich davon abhängen, wie gut es Unternehmen gelingt, technische, prozedurale Lösungen wie IGA mit organisatorischen Maßnahmen und einem Risikomanagement zu verbinden. Dabei sollten Finanzinstitute DORA nicht als bloße Compliance-Übung verstehen, sondern als Gelegenheit, ihre digitale Widerstandsfähigkeit zukunftssicher zu gestalten. Die Zeit drängt – je früher Unternehmen mit der systematischen Umsetzung beginnen, desto besser sind sie für die kommenden Herausforderungen gerüstet.

Die Erfahrung zeigt: Unternehmen, die DORA proaktiv angehen und dabei auf moderne IGA-Lösungen setzen, schaffen nicht nur die Grundlage für Compliance, sondern gewinnen auch einen Wettbewerbsvorteil durch höhere operative Effizienz und besseres Risikomanagement. In einer Zeit, in der Cybercrime massiv geschäftsschädigend werden kann, ist dies ein nicht zu unterschätzender Faktor für den langfristigen Geschäftserfolg. (Omada: ra)

eingetragen: 12.12.23

Omada Solutions: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Recht

  • Gendergerechte Bezeichnungen

    Schon seit 2006 gilt das Allgemeine Gleichbehandlungsgesetz (AGG), was insbesondere Arbeitgeber sehr vorsichtig gemacht hat. Etwa indem Stellenanzeigen alle inzwischen mindestens drei Geschlechter ausdrücklich mit "m/w/d" bezeichnen und auch keine Altersvorgaben mehr vorsehen, sowie geschlechtersensible - korrekt gegenderte - Sprache verwenden. Doch haben viele Berufsverbände noch gar nicht erkannt, dass sie gegenüber Mitgliedern und Bewerbern um Mitgliedschaft entsprechende Pflichten haben, und diese korrespondierend Rechte, analog wie bei Arbeitnehmern.

  • Cyberkrieg: Wenn der Verhandlungspartner fehlt

    Produzenten und Versorger in den Bereichen Energie, Wasser, Finanzwesen und Gesundheit sowie Industrieunternehmen geraten zunehmend ins Visier von Angreifern. Die Folge: millionenschwere Produktionsausfälle und Versorgungsengpässe, bis hin zur Gefährdung von Menschenleben. Jüngste Beispiele sind etwa Attacken auf die größte Pipeline der USA, die irische Gesundheitsbehörde oder ein Vorfall in einem kroatischen Umspannwerk, der Europa an den Rand eines Strom-Blackouts führte.

  • Nutzung von "Compliance-Storage"

    Auf dem Weg zur Digitalisierung von Akten müssen Unternehmen gesetzliche Vorgaben, Branchenanforderungen sowie Vorschriften für spezielle Akten oder Steuerunterlagen berücksichtigen. Das macht ihnen die Wahl einer geeigneten IT-Lösung nicht unbedingt leichter. Eine Orientierungshilfe bieten hier Zertifizierungen die den Nachweis für die Konformität der Archivierungsmaßnahmen mit gesetzlichen Vorschriften wie der GoBD oder der Schweizer GeBüV erbringen. In Zusammenarbeit mit Daniel Spichty, Partner beim Schweizer Kompetenzzentrum Records Management, gibt DMS-Spezialist Kendox einen Überblick über den Status Quo, die Anforderungen sowie Herausforderungen und fasst zusammen, worauf Unternehmen zukünftig bei der digitalen Archivierung achten müssen und warum die GeBüV als Benchmark für Compliance-Anforderungen gilt.

  • Umsetzung in nationales Recht: FATCA wird konkret

    Die iBS - Innovative Banking Solutions AG kommentiert das zwischen den USA und den fünf größten EU-Staaten getroffene zwischenstaatliche Musterabkommen zur Verbesserung der Steuerehrlichkeit und Umsetzung des Foreign Account Tax Compliance Act (FATCA). Vor dem Hintergrund der US-amerikanischen Bestrebungen, FATCA international durchzusetzen, haben sich die USA und die fünf großen europäischen Volkswirtschaften Deutschland, Frankreich, Großbritannien, Italien und Spanien auf ein Musterabkommen zur bilateralen Bekämpfung von Steuerhinterziehung verständigt. Die Zusammenarbeit hatten die Staaten im Februar 2012 angekündigt.

  • Compliance im Außenhandel

    Im Außenhandel spielen heute über die reine Einfuhr- und Ausfuhranmeldung hinaus zahlreiche steuerliche und rechtliche Aspekte eine Rolle. Sanktionsverordnungen und Präferenzkalkulation sind hierfür nur zwei Beispiele. Hinzu kommt, dass Einfuhren, Ausfuhren und alle weiteren zollrechtlich relevanten Vorgänge zukünftig ausschließlich elektronisch über das ATLAS-Verfahren abgewickelt werden sollen. Zoll und Außenhandel sind heute derart komplex, dass Unternehmen sie - ähnlich wie Steuerangelegenheiten - nur noch mit Hilfe erfahrener Experten und einer leistungsstarken Software effizient und konform mit den geltenden rechtlichen Bestimmungen abwickeln können.

IT-Sicherheit gesetzlich verordnet - Unternehmen i Papier und PDF-Dateien werden nicht anerkannt

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen