Lesedauer: ca. 03:40 MinSeit dem 17. Januar 2025 muss die Dora-Verordnung (Digital Operational Resilience Act) der Europäischen Union umgesetzt sein. Das Ziel: die Cybersicherheit im Finanzsektor europaweit zu stärken und dessen digitale Widerstandsfähigkeit nachhaltig zu verbessern.
Zwei Jahre hatten die betroffenen Unternehmen Zeit, die neuen für alle gleichermaßen geltenden Anforderungen zu implementieren – eine Frist, die von Beginn an kritisch hinterfragt wurde und noch heute zu hinterfragen ist.
Bereits seit der Verabschiedung von Dora im November 2022 gab es erhebliche Bedenken seitens der Branche. Die Regulierung verpflichtet alle Finanzinstitute in der EU, darunter Banken, Versicherer, Investmentgesellschaften und Zahlungsdienstleister, robuste Mechanismen zur Identifikation, Überwachung und Bewältigung digitaler Risiken einzuführen.
Schnell wurde deutlich, dass die straffen Fristen und die weitreichenden Anforderungen viele Unternehmen vor große Herausforderungen stellen würden. Auch jetzt reißt die Kritik nicht ab: Noch immer fehlten entscheidende Detailvorgaben, was die Umsetzung zusätzlich erschwere, moniert die Branche.
Zu viel Regulierung?
Die Kritik an Dora ist nicht unbegründet. Die Verordnung stellte und stellt hohe Anforderungen innerhalb vergleichsweise kurzer Zeit. Der notwendige Aufwand ist immens. Kaum ein Unternehmen erfüllt Dora heute in Gänze. Ganz im Gegenteil: Einige Unternehmen werden ihre Umsetzungsprojekte erst in zwei oder drei Jahren abschließen können. Überraschend ist das nicht. Bereits vor einigen Wochen hatten die nationalen und europäischen Aufsichtsbehörden signalisiert, nicht mit einer vollständigen Umsetzung durch alle Unternehmen zu rechnen.
Mehr zum Thema
Bafin sieht weiter sechs Hauptrisiken – und hat eins gestrichen
Wie Firmen ihr IT-Drittparteienrisiko nach Dora managen sollten
Bafin sieht weiter sechs Hauptrisiken – und hat eins gestrichen
Wie Firmen ihr IT-Drittparteienrisiko nach Dora managen sollten
Besonders kleinere und mittlere Unternehmen stehen vor großen Herausforderungen. Häufig fehlen ihnen schlicht die personellen Ressourcen, um Dora fristgerecht umzusetzen. Zwar beinhaltet die Verordnung einen Proportionalitätsansatz, doch dieser reicht nicht aus, um den Aufwand für kleinere Akteure entscheidend zu reduzieren. Auch größere Unternehmen, die über umfangreichere Kapazitäten verfügen, sind stark gefordert – hier liegt die Herausforderung vielmehr in der enormen Komplexität der Umsetzung.
Stufenweiser Ansatz wäre besser
Eine schrittweise Einführung von Dora hätte die Umsetzung erleichtert. Statt sämtliche Anforderungen auf einmal verbindlich zu machen, wäre es sinnvoll gewesen, zunächst zentrale Bereiche wie das Provider-Management zu priorisieren und weitere Komponenten sukzessive zu ergänzen. Ein solches Vorgehen hätte die Belastung gleichmäßiger verteilt und die Effizienz möglicherweise gesteigert.
Der Deutschen Finanzmarktauficht Bafin muss man zugutehalten, dass im Rahmen einer eigenen Website sowie FAQ alles getan wurde, um zu informieren. Zudem hatte man in Deutschland Rundschreiben wie die BAIT oder die VAIT, welche bereits große Teile der Dora abdeckten, ja sogar mehr als die Dora regelten. Andere europäische Mitgliedstaaten hatten derartige aufsichtsrechtliche Regulierungsstandards nicht.
Seite 2: Welches wichtige Anliegen Dora wirklich anspricht
finanziell sorgenfrei im ruhestand
lebe dein bestes leben der countdown zur rente
„der längste urlaub unseres lebens“ kommentare
0 Kommentare
- anmelden
- registrieren
kommentieren