Im Rahmen der neuesten Ausgabe unserer Umfrageserie e-fundresearch.com #Nachgefragt baten wir führende Vertreter der Fondsindustrie um ihre Einschätzung zur Digital Operational Resilience Act (DORA).
Die Verordnung, die ab Januar 2025 in Kraft tritt, wurde von der Europäischen Union verabschiedet, um die digitale Widerstandsfähigkeit des europäischen Finanzsektors umfassend zu stärken. Angesichts zunehmender Cyberrisiken und steigender Abhängigkeit von digitalen Systemen verpflichtet DORA Finanzinstitute zu weitreichenden Maßnahmen im Bereich IT-Risikomanagement und Betriebskontinuität. Dazu gehören strikte Vorgaben zur Risikokontrolle, umfassende Resilienztests und eine strengere Überwachung von Drittanbietern. Die Verordnung soll dazu beitragen, den Finanzsektor besser vor Cyberangriffen und technologischen Störungen zu schützen und so die Stabilität des Marktes und den Schutz der Verbraucher zu gewährleisten.
Notwendiges Übel zur Stärkung der Widerstandsfähigkeit?
Andreas Dörfler, Head of Org IT, Erste Asset Management, sieht in DORA eine bedeutende Maßnahme zur Stärkung der digitalen Widerstandsfähigkeit von Finanzinstituten und hält die strengen Anforderungen an das IT-Risikomanagement für ein notwendiges Übel:
„Die Digital Operational Resilience Act (DORA), die Ende 2022 von der Europäischen Union verabschiedet wurde, hat weitreichende Auswirkungen auf Finanzinstitute, einschließlich Asset Manager. DORA ist ein notwendiges Übel: DORA zielt darauf ab, die digitale Widerstandsfähigkeit von Finanzinstituten zu stärken, indem strenge Anforderungen an das Management von IT-Risiken gestellt werden. Aus Sicht des Asset Managers ist dies insbesondere in einer zunehmend digitalisierten Finanzwelt von großer Bedeutung.“
Fokus auf Erholungsfähigkeit
Linda Gibson, Head of Regulatory Change EMEA, BNY Pershing, betont, dass DORA den Fokus auf schnelle Erholung nach Störungen legt und so die bestehenden Anforderungen ergänzt: „DORA soll die Messlatte für Cybersicherheit, IKT-Risikomanagement und Betriebskontinuität im gesamten europäischen Finanzsektor höher legen. Die neuen DORA-Regeln ersetzen jedoch nicht die bestehenden Anforderungen an das Management operationeller Risiken oder die Notfallplanung von Unternehmen. DORA legt neue Anforderungen fest, um die Widerstandsfähigkeit von Unternehmen zu verbessern. Anstatt sich auf die Wahrscheinlichkeit eines Risikoeintritts und dessen Auswirkungen zu konzentrieren, basieren die neuen Anforderungen auf dem Szenario einer sich abzeichnenden Störung und der Frage, wie schnell sich das Unternehmen von einer solchen Störung erholen kann.“
Neue Anforderungen an Überprüfungen und Tests
Um die Resilienz zu stärken, verlangt DORA regelmäßige Prüfungen und klare Störfallpläne, so Gibson: „Unternehmen müssen ihre wichtigen Geschäftsdienstleistungen mindestens einmal jährlich oder bei wichtigen Entwicklungen im eigenen Haus überprüfen. Außerdem müssen sie Grenzwerte für tolerierbare Störungen und Kommunikationspläne festlegen, Übungen zur Auswertung der gewonnenen Erkenntnisse durchführen und ihre Fähigkeit testen, innerhalb der Toleranzgrenzen für das Ausmaß der Auswirkungen zu bleiben. Diese Tests werden auch Fälle umfassen, in denen das Unternehmen auf Dritte angewiesen ist, um eine wichtige Geschäftsdienstleistung zu erbringen.“
Abschließend betont Dörfler, dass DORA nicht nur zur Compliance dient, sondern entscheidend für das Vertrauen der Anleger und die Stabilität des Betriebs ist: „Die Notwendigkeit, Cyberangriffe, Systemausfälle und andere IT-bezogene Risiken zu minimieren, liegt im Interesse der Branche, um das Vertrauen von Anlegern zu sichern und operative Kontinuität zu gewährleisten.“
Dazu passend:
