Wie ein globaler Versicherer seine operationelle Resilienz für die DORA-Frist – und darüber hinaus – gestärkt hat
- Compliance, Risiko & Resilienz
Erfüllung der komplexen Anforderungen der DORA-Verordnung
Angesichts des stetig wachsenden Risikos von Cyberangriffen hat die EU mit der Einführung des Digital Operational Resilience Act (DORA) die IT-Sicherheit von Finanzinstituten wie Banken, Versicherungen und Investmentgesellschaften gestärkt.
Die Verordnung zielt darauf ab, die Resilienz von Finanzdienstleistungsunternehmen zu erhöhen, damit sie in der Lage sind, Störungen der Informations- und Kommunikationstechnologie (IKT) zu widerstehen, darauf zu reagieren und sich davon zu erholen. Zur Vorbereitung auf die DORA-Konformitätsfrist im Januar 2025 stand unser Kunde – die Sparte für Sach- und Spezialrisiken eines globalen Versicherungsunternehmens – vor einer Vielzahl von Herausforderungen.
Das Cybersecurity- sowie das Legal & Regulatory-Team, das das Remediation-Programm leitete, musste sich in einem komplexen und sich schnell entwickelnden regulatorischen Umfeld zurechtfinden, umfangreiche Maßnahmen zur Behebung von Mängeln umsetzen und die bereichsübergreifende Zusammenarbeit über mehrere Domänen hinweg fördern.
Weitere Herausforderungen waren die Komplexität des Drittparteien-Risikomanagements, die Überwachung vertraglicher Remediationsmaßnahmen, die Entwicklung effektiver Reaktionspläne für Vorfälle, die Sicherstellung von Datenschutz und Datensicherheit, das Testen der digitalen Betriebsresilienz sowie die Etablierung robuster Notfallpläne für die Geschäftskontinuität.
Angesichts der zunehmenden Komplexität der DORA-Compliance und der potenziellen Risiken bei Nichteinhaltung erkannte unser Kunde, dass ihm die Expertise zur Steuerung dieses groß angelegten Programms sowie ausreichende Kenntnisse der regulatorischen Landschaft fehlten, um die BAU-Teams bei der Einhaltung von DORA zu unterstützen.
Trotz der Neuheit der Verordnung war tiefgehendes Wissen im Bereich der operationellen Resilienz und der regulatorischen Compliance erforderlich, um einen risikobasierten Ansatz zu verfolgen, der die Einhaltung der regulatorischen Anforderungen sicherstellt und gleichzeitig bestehende Ressourcen- und Budgetbeschränkungen berücksichtigt.
Ein bereichsübergreifender, integrierter Ansatz zur Einhaltung von Vorschriften
Die DORA-Verordnung stellt strenge Anforderungen an die Identifizierung, Bewertung, Steuerung und Minderung operationeller Risiken.
Um diese Bereiche abzudecken, plante der Kunde mit Unterstützung von Wavestone ein 24-monatiges Remediationsprogramm, das mit einer Bewertung des aktuellen Reifegrads (durch eine erste Gap-Analyse) begann und anschließend die Entwicklung einer Roadmap zur Remediation vorsah, um die Betriebsabläufe gemäß den Anforderungen zu verbessern.
Die wichtigsten Phasen waren:
Analyse der Konformität mit den DORA-Anforderungen im Vergleich zum aktuellen Stand der operationellen Resilienz; Identifikation von Lücken und zu erreichenden Zielen.
Definition und Steuerung komplexer DORA-Programme über mehrere Geschäftseinheiten hinweg (25+ Projekte), einschließlich der Stärkung der ersten und zweiten Verteidigungslinie durch operative Kontrollen und die Verbesserung des Sicherheitsrahmens.
Gezielte Unterstützung zur Erfüllung zentraler technischer Anforderungen, insbesondere im Bereich Threat-led Penetration Testing, Drittparteien-Risikomanagement und IT-Asset-Management.
Implementierung neuer Prozesse und Integration von Verbesserungen in den Regelbetrieb, mit robuster Überwachung auf Führungsebene und bereichsübergreifenden Reporting-Schnittstellen.
Ein entscheidender Erfolgsfaktor des Programms war die Nutzung des Fachwissens von SMEs (Subject Matter Experts) sowie die Integration von Expertise aus den Bereichen Cybersicherheit und Technologieberatung. Dadurch konnten die Lücken in Bezug auf die DORA-Bereitschaft wirksam geschlossen werden.
Auch die bereichsübergreifende Zusammenarbeit war von zentraler Bedeutung. Diese wurde durch die Organisation spezieller Arbeitsgruppensitzungen und Risikomanagement-Meetings gefördert, um Engpässe während der Remediationsphase zu beseitigen.
Abschließend ermöglichten starke Beziehungen zu den Rechts- und Compliance-Teams eine nahtlose Zusammenarbeit bei der Überprüfung und Behebung von Compliance-Lücken.
Zentrale Herausforderungen im Projekt
Da DORA eine neue Verordnung ist, war ein zentrales Element des Programms die anfängliche Interpretation des Regelungstextes. Dies erforderte Diskussionen mit internen Stakeholdern, um die Position der Organisation abzustimmen und zentrale Annahmen zur Auslegung des Textes zu dokumentieren.
Aufgrund der Natur der Verordnung umfasste dieses Programm die Steuerung zahlreicher Abhängigkeiten – sowohl intern zwischen funktionsübergreifenden Teams als auch mit der übergeordneten Governance-Einheit –, da operationelle Resilienz und Compliance alle Geschäftsbereiche betrafen (IT, Sicherheit, operationelle Resilienz, Recht und Beschaffung in allen Geschäftseinheiten). Der Fokus auf Drittparteien führte zudem zu steigenden Abhängigkeiten von externen Subunternehmern und machte strengere vertragliche Regelungen erforderlich.
Es war entscheidend zu verstehen, wie sich die Ausrichtung an der DORA-Verordnung auf operative Prozesse auswirkt – mit Fokus nicht nur auf Dokumentation und Theorie, sondern auch auf praktische betriebliche Implikationen. Darüber hinaus wurde die Struktur des Managementausschusses bzw. der Governance auf Führungsebene erweitert, um eine kontinuierliche Überwachung im Regelbetrieb (BAU) über die betroffenen Rechtseinheiten hinweg sicherzustellen.
Ein zentrales Prinzip des Programms war die Gewährleistung eines pragmatischen, risikobasierten Ansatzes, um gegenüber Aufsichtsbehörden eine vertretbare Ausgangsposition („Day 1“) zu demonstrieren und gleichzeitig einen umsetzbaren Plan („Day 2“) für Nachhaltigkeit und Reifegradsteigerung zu etablieren. Die Herausforderung bestand darin, das richtige Gleichgewicht zwischen regulatorischer Ausrichtung und internen Zielen zu finden, um sicherzustellen, dass die Ergebnisse sowohl konform als auch realisierbar bleiben.
Bereitstellung eines Resilienzrahmens für die Zukunft
Der Kunde betrachtete die Stärkung seiner Resilienz als zentrale Priorität und investierte über einen Zeitraum von zwei Jahren erheblich, um die DORA-Bereitschaft sicherzustellen. Das Programm erzielte die gewünschten Ergebnisse: Alle identifizierten Lücken zur Erfüllung der regulatorischen Anforderungen wurden erfolgreich geschlossen, wobei für verbleibende Lücken taktische Lösungen implementiert wurden.
Darüber hinaus trug das DORA-Remediationsprogramm zur bereichsübergreifenden Zusammenarbeit bei, was zu einer erhöhten organisatorischen Resilienz im gesamten Unternehmen führte.
Als weiteres Ergebnis des Programms wurden proaktive Maßnahmen eingeführt, um eine kontinuierliche Überwachung der BAU-Aktivitäten sowie eine zeitnahe Behebung neu auftretender Risiken im Zusammenhang mit der DORA-Compliance sicherzustellen (z. B. DORA Executive Dashboard).
Zudem etablierte das Programm einen robusten Rahmen für zukünftige Skalierbarkeit, der es der Organisation ermöglicht, sich nahtlos an sich wandelnde regulatorische und operative Herausforderungen anzupassen.
Vorbereitung auf zukünftige Compliance-Probleme
Wie kürzlich von der CBI anerkannt wurde, wird nicht erwartet, dass die Maßnahmen zur Behebung von DORA-Mängeln bis Januar 2025 in allen Aspekten perfektioniert sind. Es wird anerkannt, dass diese Arbeiten sich über mehrere Jahre erstrecken können und Verbesserungen sicherlich in den kommenden Jahren erreicht werden können.
Vor diesem Hintergrund wird der Kunde weiterhin daran arbeiten, bereichsübergreifende Abläufe zu optimieren, um die für 2025–26 geplanten Maßnahmen umzusetzen und damit die organisatorische Reife insgesamt zu steigern. Dies wird nicht nur den regulatorischen Anforderungen von DORA gerecht, sondern bereitet die Organisation auch auf zukünftige Compliance-Anforderungen vor.