Mit einer Verlängerung geben die europäischen Aufsichtsbehörden den von DORA betroffenen Unternehmen ein paar Wochen mehr Zeit für die rechtssichere Inventur ihrer IKT-Dienstleister.
DORA
"Dora steht vor den Toren“, erinnerte Natasha Cazenave, Exekutivdirektorin der europäischen Wertpapieraufsicht, anlässlich eines Wien-Besuchs im Oktober an einen Stichtag, den Finanzunternehmen lange auf der Agenda haben. Mit Jänner 2025 müssen die in der EU Verordnung DORA (Digital Operational Resilience Act) formulierten Vorgaben umgesetzt sein. Ziel der Anstrengungen ist es, den Finanzsektor angesichts steigender Cyberrisiken krisenfester zu machen. Dieses Gerüstetsein für den Ernstfall muss nun nachgewiesen werden – bei den nationalen Aufsichtsbehörden.
In Österreich ist das die FMA, und die begleitet die betroffenen Unternehmen mit Informationen, Veranstaltungen und Probeläufen in der Umsetzung. Zwischen Mai und November wurde der österreichische Markt im Rahmen einer sogenannten FMA-DORA-GAP-Analyse bewertet, um den Handlungsbedarf zu bestimmen.
Für das IKT-Risikomanagement bedeutet das etwa, Berichtslinien zu erstellen, Monitoring für die technischen Dienstleister einzurichten, Routinen für die Aktualisierung oder Änderung von Dienstleisterverträgen zu entwickeln und natürlich für den Ernstfall Krisen und Kommunikationspläne zu haben. Krisenpläne in der Schublade zu haben, ist für viele Unternehmen mittlerweile eine Selbstverständlichkeit. Die über die Jahre gestiegene Zahl der Bedrohungen im Cyberbereich haben zu einem Umdenken geführt. Die Gefahr, selbst Opfer einer Attacke zu werden, haben Verantwortliche auf dem Schirm. In der im November veröffentlichten Umfrage zu Cybersecurity (Global Digital Trust Insights 2025) von PwC gaben österreichische Führungskräfte an, dass Cyberbedrohungen Nummer zwei auf ihrer Sorgenliste sind.
Angreifer sind hier bedauerlicherweise immer im Vorteil. Sie müssen nur ein Einfallstor finden und ausnützen, die Angegriffenen müssen danach trachten, ihre gesamte digitale Infrastruktur möglichst gut abzuschotten. Mit zunehmender Digitalisierung wird das immer aufweniger, und wie die Vorbereitungsarbeiten für DORA zeigen, ist allein die Inventarisierung der IKT-Assets ein Projekt, das gemeinhin unterschätzt wird: Die Inventarliste muss nicht nur Daten und Datenbanken umfassen, sondern auch komplette Konfigurationen und die gegenseitigen Abhängigkeiten. Des Weiteren sind Zertifikate zu erfassen, die natürlich laufend erneuert werden müssen. Der Aufwand hinter dieser Inventur – vor allem für das initiale Setup – hat doch einige überrascht: „Nicht alle Unternehmen verfügen über ein Inventarisierungstool, in dem all diese Informationen abbildbar und über automatisierte Schnittstellen aktualisierbar sind“, heißt es im FMA-Report.
FRIST VERLÄNGERT.
Aufgrund dieser Erkenntnis, gewonnen aus den europaweit durchgeführten Testläufen, den sogenannten Dry Runs, gaben die zuständigen Aufsichtsbehörden am 15. November bekannt, dass die Informationsregister nun doch erst bis 30. April 2025 abgegeben werden können. Für Robin Schmeisser, Geschäftsführer der Fabasoft Contracts, kommt dieser Aufschub nicht überraschend. Als ITDienstleister beschäftigt er sich mit seinen Teams seit Langem mit der technischen Umsetzung von DORA und hat die Komplexität früh erkannt – und dass diese Inventur mehr ist, als das Führen einer simplen Liste (siehe Interview).
Schmeisser und seine Teams haben aus dieser Erkenntnis eine eigene Lösung für die DORA-Umsetzung gebaut, die schnell zu implementieren ist und die Inventarisierung der IKT-Assets extrem vereinfacht, auch mit KI. Schmeisser: „Fabasoft DORA unterstützt an dieser Stelle mit einer KI-basierten Compliance-Analyse des Vertragsbestands. Das System identifiziert selbstständig Abweichungen hinsichtlich der DORARegulatorik und bereitet die Ergebnisse je Vertragsakte übersichtlich auf. Für jene Verträge, die Handlungsbedarf aufweisen, erzeugt das Tool anschließend basierend auf der Klauselbibliothek die richtigen Ergänzungsvereinbarungen automatisiert und startet optional die Genehmigungs- und Zeichnungsprozesse samt direkter Einbindung der externen Partner.“
DIE TABELLENKALKULATION STÖSST AN IHRE GRENZEN
ROBIN SCHMEISSER, Geschäftsführer Fabasoft Contracts, spricht über die unterschätzte Komplexität des Informationsregisters und die Option, Lieferanten einfach und bequem an die eigenen Reportingprozesse anzubinden.
ROBIN SCHMEISSER, Geschäftsführer Fabasoft Contracts GmbH, beschäftigt sich seit zwei Jahrzehnten mit der Digitalisierung von Geschäftsanwendungen und -prozessen. Seit 2021 bringt er seine Expertise bei der Fabasoft AG ein.
© FabasoftBis 17. Jänner 2025 sind es nur mehr ein paar Wochen. Finanzunternehmen sollten für die Umsetzung von DORA längst bereit sein. Wie schätzen Sie die Lage ein?
Besonders im Hinblick auf das Management der IKT-Dienstleister ist der administrative Aufwand für Finanzunternehmen beträchtlich. Insbesondere, da die Ressourcen im Betrieb meist knapp und bereits gebunden sind. So sehen wir in der Praxis speziell bei der Erstellung des Informationsregisters Herausforderungen aufgrund der fehlenden Zeit und des hohen Aufwands. Dies zeigte auch der Dry Run der Europäischen Aufsichtsbehörden (ESAs), der EU-weit stattfand. Bei der Generalprobe hatten Finanzentitäten die Gelegenheit, eine erste Version des Registers zu erstellen und an die Behörden zu übermitteln. Dabei stellten viele der teilnehmenden Betriebe fest, dass die Erzeugung dieses Outputformats sehr anspruchsvoll ist.
Was macht das Informationsregister so herausfordernd?
Das Informationsregister besteht aus fünfzehn Tabellen, die inhaltlich an verschiedenen Stellen ineinandergreifen. Bis dato setzten die meisten Unternehmen bei der Berichtserstellung auf herkömmliche Tabellenkalkulationsprogramme, die eine manuelle Befüllung voraussetzen. Ändert sich eine Information, müssen die Verantwortlichen diese an jeder Stelle einzeln ausbessern. Dies führt zu hohem Bearbeitungsaufwand und typischen Problemen wie Eingabe- bzw. Übertragungsfehlern und Inkonsistenzen.
Gibt es eine Alternative zu herkömmlichen Listen in Tabellenkalkulationsprogrammen?
Wir haben uns in den vergangenen Monaten intensiv mit dieser Thematik auseinandergesetzt und gemeinsam mit unseren Kunden aus dem Finanzsektor eine standardisierte Solution für das DORA-konforme Management von IKT-Dienstleistern entwickelt. Fabasoft DORA greift aus einer einheitlichen, digitalen Datenbasis auf alle relevanten Informationen zu und erstellt daraus die benötigten Prüfberichte wie das Informationsregister gemäß DORA automatisiert. Anders als bei Tabellenkalkulationsprogrammen gelangen mit Fabasoft DORA die Inhalte der Berichte automatisch aus den digitalen Akten in das fertige Register.
DORA legt im Rahmen des IKT-Drittanbietermanagements auch gewisse Mindestvertragsinhalte mit IKTDienstleistern fest. Sehen Sie darin auch eine Herausforderung?
Kontrolle und Anpassung der Auslagerungsverträge an die neuen Vorgaben der Regulatorik sehen wir neben dem Berichtswesen als einen zweiten wichtigen Handlungsschwerpunkt. Die DORAVerordnung fordert, in den vertraglichen Vereinbarungen mit IKT-Drittanbietern verschiedenste Aspekte zu berücksichtigen, unter anderem die aufsichtsrechtlichen Verpflichtungen der Finanzunternehmen und die Zusammenarbeit der Dienstleister mit den zuständigen Behörden. Zusätzlich konkretisiert die Regulatorik die Vorgaben in Artikel 8 der „Draft RTS to specify the policy on ICT services supporting critical or important functions“.
Das klingt kompliziert.
Die Verträge müssen beispielsweise Sicherheitsanforderungen, Incident Reportings, die Verarbeitung und Speicherung von Daten, die Nachweisbarkeit robuster Notfallund Wiederherstellungspläne sowie Beendigungs- und Übergangsregelungen enthalten. Für Finanzunternehmen bedeutet das, dass sie ihren gesamten Vertragsbestand mit IKT-Drittleistern auf die Compliance zu DORA überprüfen und bei Bedarf neue Ergänzungsvereinbarungen schließen müssen.
Die Partner müssen wohl enger in die Prozesse involviert werden?
Zum einen natürlich aufgrund des Effizienzaspekts. Zum anderen hat es auch wichtige Sicherheitsgründe. Der Austausch von sensiblen Informationen via Mail, u. a. in Form von Due-Diligence-Unterlagen und Cybersecurity- Fragebögen, stellt Angriffsvektoren bei Cyberattacken und somit ein erhebliches Sicherheitsrisiko dar. Daher empfiehlt es sich, die Vertragsverhandlungen sowie auch die Einholung aller von den Lieferanten benötigten Informationen in sicheren digitalen Räumen durchzuführen, ohne dass die Daten die geschützte Umgebung verlassen.
