Lesedauer: ca. 03:40 MinDoch nicht nur der Regulator scheint die Tragweite von Dora unterschätzt zu haben – auch viele Unternehmen haben das Regelwerk erst spät ernst genommen. Bereits mit den ersten Entwürfen vor vier Jahren war erkennbar, dass Dora tiefgreifende Veränderungen mit sich bringen würde. Dennoch haben sich viele Unternehmen erst spät mit der Umsetzung befasst. Einige begannen sogar erst 2024 mit einer Gap-Analyse, manche tatsächlichen Umsetzungsprojekte starten sogar erst in diesem Jahr.
Nun setzen viele Unternehmen auf eine Minimalstrategie: Sie konzentrieren sich auf die unbedingt erforderlichen Maßnahmen, um den regulatorischen Anforderungen gerade so zu genügen. In der Praxis bedeutet dies, dass sie erst auf eine Prüfung warten, bevor weitergehende Anpassungen vorgenommen werden. Diese Strategie birgt jedoch Risiken. Bislang ist unklar, wie die Prüfer – und damit auch die Aufsicht – die Umsetzung letztlich bewerten werden.
Cybersicherheit war und bleibt ein zentrales Thema – auch ohne Dora
Unbestritten adressiert Dora ein wichtiges Anliegen: Cybersicherheit ist essenziell für die Zukunftsfähigkeit des Finanzsektors. Doch ob die Verordnung tatsächlich einen nachhaltigen Sicherheitsgewinn bringt, bleibt fraglich. Zwar will die Verordnung einheitliche europäische Standards schaffen, aber Cybersicherheit ist längst ein etabliertes Thema, in das Unternehmen bereits erhebliche investiert haben. Verschlüsselungskonzepte sowie Rollen- und Berechtigungsmodelle gehören vielerorts zum Standard.
Dora zwingt Unternehmen nun, bestehende Maßnahmen noch weiter beziehungsweise detaillierter auszubauen – mit der Gefahr, dass der zusätzliche Aufwand nicht in gleichem Maße zu erhöhter Sicherheit führt. Es wäre möglicherweise effizienter gewesen, in gewissen Bereichen stärker auf Marktmechanismen zu vertrauen, statt eine derartige umfassende Regulierung zu schaffen, die teilweise als Überregulierung empfunden wird.
An einem Punkt erfüllt Dora die eigenen Ziele jedoch sehr gut: beim sogenannten IKT-Drittparteienrisiko. Hier wird ein klarer Bedarf adressiert. Künftig werden externe IT-Dienstleister, die für den Finanzsektor essenziell sind, stärker beaufsichtigt und bewertet, sowohl national als auch europäisch. Dies trägt dazu bei, potenzielle Risiken frühzeitig zu erkennen und Dienstleister zu identifizieren, die kritisch sind, da sie beispielsweise für sehr viele Unternehmen tätig sind.
Der Vorfall um Crowdstrike, bei dem ein fehlerhaftes Update weltweit zu IT-Ausfällen führte, hat eindrücklich gezeigt, wie verletzlich gesamte Branchen gegenüber Ausfällen zentraler Anbieter sein können. In diesem Bereich setzt Dora zweifellos an der richtigen Stelle an.
Der regulatorische Druck steigt weiter
Dora ist nun Realität – und wird es bleiben. Die kommenden Monate werden zeigen, wo Anpassungen erforderlich sind und welche Aspekte möglicherweise präzisiert werden müssen. Unternehmen sollten sich jedoch nicht darauf verlassen, dass weitere Verzögerungen gewährt werden. Vielmehr gilt es, die Umsetzung entschlossen voranzutreiben, denn die nächste große regulatorische Herausforderung zeichnet sich bereits ab: Fida (Financial Data Access) wird mit umfangreichen technischen Anforderungen neue Maßstäbe setzen. Der regulatorische Druck wächst – und mit ihm die Notwendigkeit, frühzeitig vorbereitet zu sein.
Über den Autor
Christian Brockhausen, MBA, ist Associate Partner bei Wavestone Germany in München und verantwortet den Bereich Compliance Audit & Regulatory (CAR). Zudem ist er zertifizierter Anti Financial Crime Officer, Compliance Auditor sowie Datenschutzbeauftragter. Er hält seit Jahren Seminare, tritt als Redner auf und publiziert regelmäßig Fachbeiträge und fungiert zudem als Interims Manager (Compliance und Datenschutz).
finanziell sorgenfrei im ruhestand
lebe dein bestes leben der countdown zur rente
„der längste urlaub unseres lebens“ 
kommentare
0 Kommentare
- anmelden
- registrieren
kommentieren