Mit Trockenübungen bereitet sich die Finanzbranche auf neue Berichtspflichten vor und testet passende Werkzeuge für den Start von DORA.
DORA.
Strenge Auflagen zu erfüllen und vielfältigen Berichtspflichten nachzukommen, gehört in der Finanzbranche zum Tagesgeschäft. Neue Krisen und Bedrohungslagen machen forcierte Beobachtung nötig – und die EU hat mit der DORA-Verordnung eine weitere Sicherheitsmaßnahme beschlossen, um die Sicherheit dieser systemrelevanten Branche zu gewährleisten. Ab 17. Jänner kommenden Jahres müssen Unternehmen ihre digitale Widerstandsfähigkeit nachweisen und den Digital Operational Resilience Act (kurz DORA) erfüllen. Alle in- und ausländischen IKT-Dienstleister, die sie für die Erbringungen ihrer Dienstleistung nutzen, müssen erfasst und bewertet werden.
In Kraft getreten ist DORA bereits 2023, mit Jänner muss er umgesetzt sein, und seit Monaten üben in ganz Europa betroffene Unternehmen und die lokalen Aufsichtsbehörden das Prozedere. In Österreich ist ein Probelauf, der sogenannte Dry Run, Ende September zu Ende gegangen, und die zuständige Aufsichtsbehörde FMA wertet dieser Tage die Informationsregister aus, die abgegeben wurden: „160 Unternehmen haben beim Dry Run mitgemacht, und beim ersten Hinschauen sieht es gar nicht so schlecht aus“, gibt FMA-Sprecher Klaus Grubelnik eine erste Einschätzung ab.
AUFWENDIGER START.
Keine Frage, der Beginn der Berichtspflicht ist komplex. Sind alle Lieferanten aber erst einmal erfasst müssen Änderungen nur noch laufend angepasst, das sogenannte Informationsregister nur mehr gepflegt werden. Angesichts der Fülle an Berichtspflichten, die Unternehmen – nicht nur im Finanzsektor – mittlerweile zu erfüllen haben, erstaunt es aber doch, dass viele noch immer Werkzeuge dafür verwenden, die angesichts der Komplexität kaum mehr für solche Reportings geeignet sind. Gefragt sind Tools, die den Mehraufwand wieder einhegen.
Die Digitalisierungsspezialisten der Fabasoft AG haben ihre Vertragsmanagement- Lösung auf das DORA-Reporting hin optimiert. Robin Schmeisser, Geschäftsführer der Fabasoft Contracts GmbH, konnte Kunden beim Dry Run in Österreich begleiten und hat, wie bei Trockenübungen üblich, neue Erkenntnisse gewonnen: „Abgesehen von der Erstellung und Befüllung des Informationsregisters mit herkömmlichen Werkzeugen sehen wir am Markt eine der größten Herausforderungen in der Erhebung der benötigten Informationen von den Lieferanten“, so der Experte.
„Des Weiteren sind noch Detailfragen zu klären, was die inhaltliche Darstellung verschiedener Sachverhalte im Register angeht. Beispielsweise wird aktuell diskutiert, ob ein Lizenzvertrag alleine im Bericht anzuführen ist, wenn es ohnehin einen eigenen Softwarewartungsvertrag gibt, der den Betrieb der Software behandelt. Es braucht also noch diverse regulatorische Klarstellungen“.
Die DORA-Richtlinie ist jedenfalls weit mehr als eine neue Art der Lieferanteninventur. Die Unternehmen müssen Notfallpläne ausgearbeitet haben, mit denen sie im Ernstfall technisch und organisatorisch schnell wieder handelsfähig werden. Geprüft wird diese digitale Abwehrfähigkeit ab dem kommenden Jahr auch mit konkreten Angriffsversuchen durch sogenannte ethische Hacker. Die digitale Resilienz muss nicht nur am Papier nachgewiesen werden. Bedeutende Unternehmen – keine KMU – müssen im Zeitraum von drei Jahren Tests „aushalten“, die auf ihre Kern-ITSysteme abzielen. Durchgeführt werden diese Angriffe von einem Cyberteam der Öesterreichischen Nationalbank.
WEN TRIFFT DORA?
EU-VERORDNUNG.
Die DORA-Auflagen umsetzen müssen ab Jänner 2025 Banken, Versicherungen, Ratingagenturen, Asset Manager, aber auch Handelsplätze, Krypto-Dienstleister, Versicherungsmakler mit mehr als 250 Mitarbeitenden sowie Fintechs mit größerer Reichweite. Kleinunternehmen sind nicht betroffen. Viele unterstützende Informationen dazu auf fma.gv.at/dora-ikt-risiko-management.
„HABEN EIN PRODUKT FÜR DORAKONFORMES REPORTING ENTWICKELT“
Digitalisierungsexperte ROBIN SCHMEISSER weiß, wie die Dokumentationspflichten rund um DORA schnell und sicher umgesetzt werden können.
ROBIN SCHMEISSER, Geschäftsführer der Fabasoft Contracts GmbH, beschäftigt sich seit zwei Jahrzehnten mit der Digitalisierung von Geschäftsanwendungen und -prozessen. Seit 2021 bringt er seine Expertise bei der Fabasoft AG ein.
© NIK FLEISCHMANNDem Finanzsektor bleiben nur noch knapp drei Monate, bis DORA umgesetzt sein muss. Wie bereit sind die betroffenen Unternehmen?
Die meisten Finanzunternehmen haben das Thema mittlerweile ganz oben auf der Agenda. Dennoch ist bis zur vollständigen Umsetzung noch einiges zu tun. Was das IKT-Drittanbietermanagement angeht, haben beispielsweise zahlreiche Betriebe bei den freiwilligen Testläufen, den sogenannten Dry Runs, festgestellt, wie ressourcenintensiv die Erstellung des geforderten Informationsregisters ist.
Die Klagen über Regulierungen sind vielerorts zu hören: Wie aufwendig kann ein Register sein?
Offenbar aufwendiger als viele dachten. Tatsächlich besteht das Informationsregister aus fünfzehn unterschiedlichen Tabellen, die inhaltlich an verschiedenen Stellen ineinandergreifen. Wie sich zeigt, setzen viele noch immer auf herkömmliche Tabellenkalkulationsprogramme dafür – also Microsoft Excel – und füllen diese Tabellen manuell aus. Ändert sich eine bestimmte Information, muss diese einzeln bzw. isoliert ausgebessert werden. Das führt zu einem hohen Bearbeitungsaufwand und zu typischen Problemen wie Eingabe- bzw. Übertragungsfehlern und Inkonsistenzen.
Mit Excel umgehen zu können, reicht für DORA nicht?
Wenn Sie das Thema effizient und langfristig für sich lösen wollen, reicht das nicht. Aus diesem Grund haben wir uns in den vergangenen Monaten intensiv mit der Verordnung auseinandergesetzt und mit unseren Kunden aus dem Finanzsektor ein standardisiertes Produkt für DORA-konformes Reporting entwickelt.
Wie läuft das technisch ab?
Vereinfacht gesagt, geben wir unseren Kunden ein Werkzeug an die Hand, mit dem sie schneller und einfacher ans Ziel gelangen. Das Tool zieht die relevanten Informationen direkt aus einer einheitlichen Datenbasis heraus und erstellt automatisiertBerichte – wie das Informationsregister. Die Inhalte sind synchronisiert, aktuell und lassen sich einfach mit den Behörden teilen sowie im vorgegebenen Dateiformat exportieren. Dies ermöglicht Finanzunternehmen die revisionssichere und DORA-konforme Dokumentation sämtlicher Informationen zu ihren IKT-Auslagerungen.
Die Verordnung schreibt ab 2025 auch vor, dass gezielte Angriffe – Penetration-Tests – auf die Systeme durchgeführt und die Sicherheit damit nachgewiesen werden muss.
Solche Sicherheitstests haben einige Unternehmen bereits in der Vergangenheit durchgeführt, mit DORA werden sie nun zur Pflicht. Um den Auflagen zu genügen, dürfen diese Pen-Tests (TLPTs) aber nicht „nur“ auf isolierten Testsystemen simuliert werden, sondern müssen gegen produktive Systeme erfolgen. Die Durchführung ist übrigens einer der Mindestvertragsinhalte, die die Regulatorik für Vereinbarungen mit IKT-Drittdienstleistern vorgibt. Finanzunternehmen sind daher gefordert, ihren gesamten Vertragsbestand auf die Compliance zu jenen DORAVorgaben akribisch zu prüfen. Fabasoft DORA unterstützt an dieser Stelle mit einer KI-basierten Vertragsanalyse und der automatisierten Erstellung der notwendigen Ergänzungsvereinbarungen.
Nachdem Ihre Software für die Informationsgewinnung auch externe Partner nahtlos in Workflows integriert, die Frage: Wie sorgen Sie eigentlich für Sicherheit?
Der Austausch von sensiblen Informationen via Mail, u. a. in Form von Due-Diligence-Unterlagen und Cybersecurity-Fragebögen, stellt natürlich Angriffsvektoren für Cyberattacken und ein Sicherheitsrisiko dar. Unsere Solution holt die benötigten Informationen von externen Lieferanten aber in einem sicheren, digitalen Raum ein, ohne dass die Daten die geschützte Umgebung verlassen. Weiters sind wir als IT-Dienstleister nach den höchsten Sicherheitskriterien in Europa zertifiziert.
Wie lange dauert die Einführung von Fabasoft DORA?
Einer unserer Kunden hat unsere Software erst zwei Wochen vor Abgabefrist des Dry Runs eingeführt und konnte das Informationsregister damit erfolgreich einreichen. Wir bieten verschiedene standardisierte Möglichkeiten, rasch Migrationen durchzuführen. Sind die Daten einmal im System, lassen sich Register und Berichte sofort erzeugen. Insofern ist es noch nicht zu spät, vor der Deadline aktiv zu werden.
