DORA-Deadline läuft ab: Versicherer kritisieren fehlende Vorgaben
Was Sie erfahren werden:
Aktueller Stand der DORA-Umsetzung in der Versicherungsbranche
Kritik des GDV zu fehlenden technischen Details und offenen Vorgaben
Bedeutung des Managements von Drittparteirisiken für Versicherer
Die EU-Verordnung DORA (Digital Operational Resilience Act) sollte ursprünglich bereits seit dem 17. Januar 2025 von allen betroffenen Versicherern vollständig umgesetzt werden. Allerdings wurde die Frist für die Abgabe des geforderten Informationsregisters bei von der BaFin regulierten Versicherungsunternehmen auf den 28. April 2025 verschoben. Selbst nach Ablauf dieser Frist erhielten Versicherer noch eine letzte Gnadenfrist bis zum 23. Mai 2025, um eventuelle Fehler zu korrigieren und aktualisierte Versionen ihres Registers hochzuladen. Seit dem 23. Mai gilt DORA demnach formal vollumfänglich – zumindest auf dem Papier.
Kritik an fehlenden technischen Vorgaben und Detailregelungen
Der Gesamtverband der Deutschen Versicherungswirtschaft (GDV) übt deutliche Kritik an der noch immer unvollständigen Vorgabenlage. Trotz der umfangreichen Anpassungen der Versicherer an die Verordnung innerhalb der letzten zwei Jahre bleibe der Umsetzungsprozess erschwert, weil wichtige technische Details weiterhin ausstehen. So wurden etwa erst sehr spät finale Vorgaben zum Informationsregister erarbeitet. Noch immer offen sind laut GDV essentielle Regelungen, insbesondere zu den Vorgaben für Unterauftragsvergaben.
„Bei einer ohnehin knapp bemessenen Umsetzungsfrist von nur zwei Jahren wurden wichtige Detailregelungen erst spät finalisiert, beispielsweise die Vorgaben zum Informationsregister. Andere sind sogar noch offen, etwa die wichtigen Vorgaben zur Unterauftragsvergabe. Das bringt Unternehmen in eine herausfordernde Lage, denn ohne rechtzeitige und klare Vorgaben ist eine ordnungsgemäße Umsetzung schwer zu realisieren", sagt ein GDV-Sprecher auf Nachfrage von procontra.
Fokus auf Drittparteienrisiken und Überwachung kritischer Dienstleister
Ein zentraler Punkt der DORA-Verordnung ist das umfassende Management von Drittparteirisiken. Finanzunternehmen sind verpflichtet, sowohl eigene IKT-Risiken zu steuern als auch Gefahren, die durch Dienstleister und deren Subunternehmer entstehen, zu berücksichtigen. Besonders kritisch ist hierbei das Vertragsmanagement mit Dienstleistern, wo der GDV eine zügige Finalisierung der noch ausstehenden Vorgaben fordert.
Darüber hinaus wird die Überwachung sogenannter kritischer IKT-Dienstleister künftig noch intensiver: Neben der Verantwortung der Finanzunternehmen sollen auch europäische Aufsichtsbehörden erweiterte Informations-, Kontroll- und Prüfrechte erhalten. Der GDV schlägt vor, die Ergebnisse dieser behördlichen Überwachung den betroffenen Versicherern zugänglich zu machen, um Transparenz und Effizienz zu erhöhen.
Pro und Contra der aktuellen DORA-Situation
-
Stärkung der digitalen Resilienz von Versicherern
-
Klare Regeln für das Management von Drittparteirisiken
-
Verbesserte IT-Sicherheitsstandards langfristig erwartet
-
Fehlende technische Details erschweren Umsetzung
-
Transparenz zu behördlichen Überwachungsergebnissen fehlt
-
Zusätzlicher finanzieller und zeitlicher Aufwand für Unternehmen und Makler
Mit DORA, der Verordnung (EU) 2022/2554 über die digitale operationale Resilienz im Finanzsektor (Digital Operational Resilience Act), hat die Europäische Union eine finanzsektorweite Regulierung für die Themen Cybersicherheit, IKT-Risiken und digitale operationale Resilienz geschaffen. Diese Verordnung soll wesentlich dazu beitragen, den europäischen Finanzmarkt gegenüber Cyberrisiken und Vorfällen der Informations- und Kommunikationstechnologie (IKT) zu stärken.