Die Implementierung des Digital Operational Resilience Act (DORA) stellt die Versicherungsbranche nicht nur vor strategische Herausforderungen und umfangreichen Anpassungsbedarf, sondern erfordert auch die Bewältigung zahlreicher ressourcenintensiver Arbeitspakete. Besonders hervorzuheben sind dabei:
IT-Governance
Im Bereich der IT-Governance verlangt DORA von Versicherungsunternehmen, ihre Strukturen und Prozesse so zu gestalten, dass eine effektive Steuerung und Überwachung der IT-Risiken gewährleistet ist. Dies umfasst die Etablierung klarer Aufbauorganisationen und Verantwortlichkeiten, die Implementierung des Three-Lines-of-Defence-Modells zur Risikoüberwachung, die Sicherstellung der IT-Compliance mit geltenden Gesetzen und Vorschriften, die Ausübung einer fachkundigen Aufsicht über IT-Prozesse sowie die Entwicklung von Policies und die Einrichtung von Gremien für IT-Entscheidungen.
Die Herausforderung hierbei liegt in der Schaffung einer Governance-Struktur, die nicht nur den Anforderungen von DORA genügt, sondern auch die Agilität und Innovation fördert, die für den Erfolg notwendig sind. Versicherer müssen daher eine Balance finden zwischen strenger Regelkonformität und der Flexibilität, sich an neue Technologien und Marktbedingungen anzupassen.
Informationsverbund für das integrierte Risikomanagement (IRM)
DORA verlangt von den Versicherungsunternehmen im integrierten Risikomanagement, einen ganzheitlichen Ansatz zur Risikoerfassung und -steuerung zu verfolgen. Ein zentraler Aspekt ist die Schaffung eines Informationsverbunds, der alle relevanten Risikoinformationen zusammenführt und analysiert. Dazu gehört die Durchführung von Schutzbedarfsanalysen, die Entwicklung eines Sollmaßnahmenkatalogs, der Soll-Ist-Vergleich zur Identifikation von Sicherheitslücken und die Implementierung eines durchgängigen Risikomanagement-Prozesses.
Die Implementierung dieser Elemente erfordert eine enge Zusammenarbeit zwischen IT, Risikomanagement und Geschäftseinheiten, um sicherzustellen, dass Risiken präzise identifiziert, bewertet und gesteuert werden. Das Ziel ist es, eine Kultur der Risikobewusstheit zu fördern und Mechanismen zu etablieren, die eine schnelle Reaktion auf identifizierte Risiken ermöglichen.
Business Impact Analyse für das Notfallmanagement
Ein weiteres kritisches Arbeitspaket ist die Durchführung von Business Impact Analysen (BIA) für das Notfallmanagement. Diese Analysen sind essenziell, um zu verstehen, welche Geschäftsprozesse und -systeme kritisch sind und welche Auswirkungen deren Ausfall haben könnte. Hierzu gehört die Bewertung potenzieller Risiken und die Entwicklung von Strategien zur Aufrechterhaltung oder schnellen Wiederherstellung der Betriebsfähigkeit nach einem Vorfall. Die Komplexität und der damit verbundene Ressourcenbedarf resultieren aus der Notwendigkeit, detaillierte Einsichten in alle Aspekte des Unternehmensbetriebs zu erlangen und präventive sowie reaktive Maßnahmen zu planen.
Vertragsmanagement im Bereich der Auslagerungen
Die Überprüfung und Anpassung von Verträgen mit externen Dienstleistern und Partnern gemäß den DORA-Anforderungen bildet das dritte bedeutende Arbeitspaket. Dies erfordert eine detaillierte Analyse bestehender Verträge hinsichtlich DORA-Konformität, insbesondere im Hinblick auf Sicherheitsstandards, Datenmanagement und Notfallpläne. Versicherer müssen möglicherweise Verhandlungen neu aufnehmen, um die Einhaltung der DORA-Vorschriften sicherzustellen. Der hohe Ressourcenbedarf ergibt sich aus der Komplexität der Vertragslandschaft und der Notwendigkeit, Änderungen in einer Weise durchzusetzen, die die Geschäftsbeziehungen nicht beeinträchtigt.
Zusammenfassung
Die Umsetzung von DORA stellt Versicherungsunternehmen vor die Aufgabe, mehrere ressourcenintensive Arbeitspakete zu managen und abzuarbeiten. Die erfolgreiche Bewältigung dieser Herausforderungen erfordert sorgfältige Planung, die Zuweisung angemessener Ressourcen und eine enge Zusammenarbeit zwischen verschiedenen Abteilungen und externen Partnern. Letztendlich bieten diese Bemühungen jedoch auch die Chance, die operative Resilienz zu stärken und die Grundlage für einen nachhaltigen Geschäftserfolg zu legen. Zusätzlich sehen wir in diesen Herausforderungen vier spezifische Handlungsfelder, in denen wir unterstützen können. Unsere Expertise und Erfahrung in diesen Bereichen ermöglichen es uns, Versicherungsunternehmen effektiv zu unterstützen und so einen reibungslosen Übergang zu den DORA-Standards zu gewährleisten.
Wenn Sie Fragen zu den Herausforderungen von DORA haben oder an einem Austausch interessiert sind, freut sich Andreas Fensterer über eine Kontaktaufnahme.