THINK Blog DACH

Während sich der Finanzdienstleistungssektor auf das Jahr 2023 vorbereitet, sind die operative und digitale Resilienz die wichtigsten politischen Ziele, auf die sich Unternehmen im Rahmen der internationalen Regulierungen vorbereiten müssen (siehe Abbildung 1). Während diese Prioritäten bereits vor Covid-19 auf der Tagesordnung standen, sind die Minderung des operationellen Risikos und die Erhöhung der Resilienz der Finanzdienstleister gegen Störungen in den letzten zwei Jahren noch wichtiger geworden. Infolgedessen werden zunehmend neue Rahmenregelungen eingeführt, die dazu beitragen sollen, diese Ziele zu erreichen und das Risiko zu verringern, wie z. B. DORA in der Europäischen Union (EU).

In der EU wurde der Digital Operational Resilience Act im Dezember 2022 verabschiedet. Die Verordnung soll ein zentraler Treiber der ebenfalls im letzten Jahr formulierten „Digital Finance Strategie“ für Europa werden. Die beiden wichtigsten Ziele von DORA sind, einerseits die Widerstandsfähigkeit der Finanzunternehmen gegen IT-bezogene Risiken zu erhöhen und andererseits die dafür nötigen Anforderungen in der EU zu harmonisieren. Letzteres betrifft sowohl die Regeln für die Prüfung der digitalen operativen Belastbarkeit als auch das Reporting und die Klassifizierung von IT-Vorfällen und die Regeln für das IT-Risikomanagement.

Abbildung 1 - Breiter Vergleich der Leitlinien für die operationelle Resilienz (Quelle: https://www.bis.org/fsi/fsibriefs17.pdf)

Die DORA-Rahmenvereinbarung konzentriert sich auf bestimmte Aspekte des Finanzökosystems und zielt auf spezifische Ergebnisse in Bezug auf die Resilienz des Finanzdienstleistungssektors gegenüber Vorfällen im Kontext der Nutzung der Informations- und Kommunikationstechnologie (IKT) ab [1] DORA und der globale politische Trend hin zu einer größeren operationellen Widerstandsfähigkeit im Finanzdienstleistungssektor werden letztlich den Kunden zugutekommen, indem sie die Zuverlässigkeit der Dienstleistungen zu einer kodifizierten Verpflichtung machen. Wie jedes Vorhaben, das darauf abzielt, transformative Veränderungen schnell und in großem Umfang herbeizuführen, erfordert die Umsetzung von DORA eine konsequente Fokussierung und Engagement, insbesondere auf Vorstands- und Geschäftsführungsebene.

Um dieses regulatorische Ergebnis zu erreichen, bedarf es einer starken Führung, unternehmerischer Klarheit, einer klaren Ausrichtung und einer disziplinierten Ausführung in den Unternehmen.

D steht für das Doppel aus Digital und Daten

Die digitale Transformation in Finanzdienstleistungsunternehmen kann nicht länger ein Nebenschauplatz sein, der als "Innovation" bezeichnet wird, während der Kern der Organisation seine traditionellen Arbeitsweisen beibehält.

Die digitale Transformation kann jedoch nur dann zur Erzielung strategischer Ergebnisse beitragen, wenn die Unternehmensführung die Herausforderung ganzheitlich annimmt und in ein langfristiges Konzept investiert. Das bedeutet, dass man den Mut haben muss, die vielen organisatorischen, prozess- und datenhygienischen Probleme und die IT-technische Aufstellung des Unternehmens anzugehen.

Der Umfang und die Struktur von DORA, die angestrebten Ergebnisse und die damit verbundenen Überwachungsmechanismen bedeuten, dass jeder Teil der Organisation auf Technologie angewiesen ist, um geschäftskritischen Wert zu liefern. DORA ist nicht nur ein IT- oder Cybersicherheitsthema - es kann nicht isoliert in einer abgeschotteten Ecke der Risikofunktion angesiedelt werden. Die Realität ist, dass DORA eine unternehmensweite Initiative sein muss, die widerspiegelt, was die digitale Transformation ausmacht.

Der regulatorische Druck, der von DORA ausgeht, ist eine Chance für Unternehmen, sich Klarheit über die digitalen Technologien und Dienstleistungen – einschließlich der Cloud –  zu verschaffen, die den Wirtschaftsmotor ihres Unternehmens antreiben, die Prioritäten neu festzulegen und die Ausrichtung im gesamten Unternehmen zu schaffen, um die digitale Widerstandsfähigkeit im Namen eines nachhaltigen Geschäftserfolgs zu fördern.

Abbildung 2 - DORA ist eine Gelegenheit, isolierte digitale Initiativen in eine ausfallsichere Transformation zu überführen

O steht für Operations (Betrieb) und Orchestrierung

"DORA verschiebt die Achse der Verantwortung so, dass das Leitungsorgan und das Unternehmen eine aktivere Rolle übernehmen, wenn es darum geht, die Organisation auf das Ziel einer größeren, digitalen Widerstandsfähigkeit hin zu entwickeln."

Die Herausforderung ist dabei mit absoluter Klarheit zu verstehen, welche digitalen betrieblichen Fähigkeiten am wichtigsten sind, indem der Wert ermittelt wird, der dem Unternehmen, den Kunden und dem Finanzsystem im weiteren Sinne zukommt, wenn die Dinge gut laufen, und die Auswirkungen, wenn der normale Betriebsablauf gestört wird.

Nur wenige Organisationen sind heute schon gut aufgestellt, wenn es um die visuelle Darstellung ihrer Unternehmensarchitektur und insbesondere der darin verborgenen Risiken geht. Es ist aber eine immens wertvolle, grundlegende Investition, weil darin die operativen und strategischen Abhängigkeiten erkennbar werden.

Auch wenn DORA eine Herausforderung für alle ist, muss die Verantwortlichkeit für das Ergebnis klar sein, und das bedeutet, dass die Unternehmensleitung einem bestimmten Team ein Mandat erteilt, das die Aufgabe hat, die Dinge in die Tat umzusetzen.

R steht für "Die Resilienz als herausfordernde Notwendigkeit annehmen”

Um der Nachfrage der Kunden nach Finanzdienstleistungen über digitale Kanäle gerecht zu werden, setzen Finanzinstitute auf Technologien wie Automatisierung, Hybrid-Cloud und KI, um die Digitalisierung interner Geschäftseinheiten und ihres Ökosystems externer Partner voranzutreiben.

Diese zunehmende Nutzung digitalen Technologien und die damit verbundene, hohe Abhängigkeit von externen Dienstleistern bei der Bereitstellung von Geschäftsfunktionen, die direkt und indirekt für das Finanzsystem und für die Kunden wichtig sind, ist genau der Grund, warum DORA notwendig ist.

Wenn es gut gemacht wird, können digitale Finanzdienstleistungen die Kunden begeistern. Branchenführer sollten DORA nicht als regulatorische Belastung betrachten, sondern als einen wichtigen Faktor für die Widerstandsfähigkeit und Verlässlichkeit, der die Kundenzufriedenheit und -loyalität fördern und die Nachhaltigkeit ihrer künftigen Geschäftsmodelle untermauern.

"Die führenden Unternehmen der Branche sollten DORA nicht als regulatorische Belastung betrachten, sondern als eine wichtige Voraussetzung für die Widerstandsfähigkeit und Zuverlässigkeit, die die Kundenzufriedenheit und -loyalität fördern und die Nachhaltigkeit ihrer künftigen Geschäftsmodelle untermauern.“

A steht für „Act“ – Handle jetzt!”

Die Anforderungen von DORA sind umfassend und betreffen das gesamte Unternehmen. Angesichts einer Herausforderung dieses Ausmaßes sind Führung, Denkweise und Kultur der Schlüssel zu funktionsübergreifender Zusammenarbeit und Engagement über organisatorische Grenzen hinweg.

Einige Unternehmen mögen der Versuchung nachgeben, sich auf die Einhaltung der Mindestanforderungen zu beschränken, doch ist dies eine verpasste Chance. Wer sich auf den Geist und die Absicht von DORA einlässt, bringt die Strategie, das Betriebsmodell, die Unternehmensführung, die Risikobereitschaft und -toleranz, die Planung und die Qualitätssicherung in Einklang mit den Erwartungen der Aufsichtsbehörden und der Kunden sowie mit dem neuen digitalen "Normalzustand".

Aus diesem Grund muss jedes DORA-Programm mit Nachdruck von Führungsteam mit einer überzeugenden Vision in der Organisation aufgesetzt und begleitet werden.

Der Blick nach vorn

Richtiggemacht kann DORA Unternehmen dem Finanzdienstleistungssektor dabei helfen, digital widerstandsfähiger zu werden. Es ist eine Chance für die Branche, isolierte digitale Initiativen in eine kohärente Transformationsbewegung zu überführen, die das künftige Geschäft strategisch unterstützt (siehe Abbildung 2). Wenn es jemals eine Gelegenheit gab, mit einer politischen Initiative aus Brüssel die Digitalisierung in der Finanzindustrie voranzutreiben und strategische Geschäftsvorteile auf der Ebene der Unternehmen zu realisieren dann im Kontext der DORA Einführung.

Dieser Text erschien zuerst von Anne Leslie, Cloud Risk & Controls Leader, IBM Europe, und Gabriela Doina, Government and Regulatory Affairs, IBM Europe, auf Englisch.

[1] Die digitale operationelle Widerstandsfähigkeit bezieht sich auf die Fähigkeit eines Finanzunternehmens, seine betriebliche Integrität und Zuverlässigkeit aufzubauen, zu gewährleisten und zu überprüfen, indem es entweder direkt oder indirekt durch die Nutzung der Dienste von IKT-Drittanbietern das gesamte Spektrum der IKT-bezogenen Fähigkeiten sicherstellt, die für die Sicherheit der von einem Finanzunternehmen genutzten Netz- und Informationssysteme erforderlich sind und die die fortlaufende Erbringung von Finanzdienstleistungen und deren Qualität bei Störungen unterstützen.