DORA im Anmarsch: Versicherer und Makler im digitalen Stresstest
Ab Freitag, dem 17.01.2025, findet die EU-Verordnung über die digitale operationale Resilienz im Finanzsektor (Digital Operational Resilience Act, DORA) Anwendung für die Versicherungsunternehmen in Deutschland. Und diese Neuregelung bezüglich der IT-Infrastruktur der Versicherer hat es in sich. Der GDV bezeichnet den Aufwand für die Umsetzung auf Nachfrage von procontra als vergleichbar mit der Einführung des Regelwerks Solvency II.
Auch die kurze Umsetzungszeit habe die betroffenen Unternehmen vor eine Aufgabe gestellt. Der GDV habe keine Kostenerhebung durchgeführt, gehe aber davon aus, dass die Kosten wie auch der zeitliche Aufwand der Implementierung der DORA-Anforderungen erheblich seien, auch wenn deutsche Versicherungsunternehmen aufgrund der nationalen Anforderungen der BaFin schon gut vorbereitet gewesen wären.
procontra sprach im Interview mit Rüdiger Giebichenstein, Partner Financial Services - Insurance, Technology & Process Risk bei PwC über die Knackpunkte von DORA und wie sich das Regelwerk auf den Versicherungsvertrieb auswirkt.
procontra:
Was sind die zentralen Zielsetzungen von DORA und welche Notwendigkeit bestand für die Einführung neuer regulatorischer Vorgaben? Man könnte ja meinen, es gäbe bereits genug – vor allem in der Versicherungsbranche.
Rüdiger Giebichenstein:
Zunächst hört sich die Zielsetzung von DORA vielleicht einfach an: Das Ziel der Digital Operational Resilience Act (DORA) ist es, die digitale operationelle Resilienz von Finanzdienstleistern, einschließlich Versicherungsunternehmen, zu stärken. Im Kern soll DORA sicherstellen, dass diese Unternehmen in der Lage sind, ihre wesentlichen Dienstleistungen auch unter widrigen Umständen, wie etwa bei Cyberangriffen, IT-Ausfällen oder anderen technologischen Störungen, zuverlässig und sicher aufrechtzuerhalten. Es geht nicht nur um die Widerstandsfähigkeit einzelner Unternehmen, sondern auch die Stabilität und Stärkung des gesamten europäischen Finanzsystems. Und ein ganz wichtiger Punkt: Die DORA-Anforderungen greifen auch in die Beziehungen zu IT-Dienstleistern ein – also Drittanbietern wie zum Beispiel Cloud-Dienstleister.
Giebichenstein:
Nein – DORA betrifft das gesamte Unternehmen – beispielsweise das Risikomanagement, Vertragsmanagement, die Betriebsorganisation bis zu den Fachbereichen. Es sind also viel mehr Mitarbeitende im Unternehmen davon betroffen als nur der IT-Bereich.
procontra:
Vielleicht auch deshalb hat sich DORA für viele Versicherer als herausforderndes Projekt erwiesen und gerade der Punkt Third-Party-Risk-Managements (TPRM), den Sie bereits ansprachen, war keine einfache Aufgabe. Woran liegt das?
Giebichenstein:
Versicherer arbeiten mit unterschiedlichen zum Teil großen IT-Dienstleistern zusammen. Viele Daten liegen bei Cloud-Anbietern wie Google, Microsoft oder Amazon, die zudem nicht in der EU sitzen. Und sie haben in diesen Kontext auch verschiedenste Vertragsverhältnisse müssen zudem Lösungen mit den Anbietern finden. Es geht dabei um den Gedanken einer „digitalen Lieferkette“, die insgesamt DORA-konform sein muss.
procontra:
Welche Herausforderungen sind bei DORA besonders schwierig umzusetzen und werden auch in Zukunft noch eine Aufgabe für die Versicherer darstellen?
Giebichenstein:
Resilienztests: Die Pflicht zur regelmäßigen Durchführung von Tests der digitalen Betriebsstabilität, auch in Zusammenarbeit mit externen Dienstleistern, bleibt eine zentrale Herausforderung, die die Versicherer auch noch im Jahr 2025 beschäftigen wird. Verträge und Risikoüberwachung: Versicherer müssen sicherstellen, dass Verträge mit Drittanbietern spezifische Anforderungen an Resilienz und Berichtspflichten erfüllen, während sie gleichzeitig die Risiken durch Abhängigkeiten aktiv managen – eine Aufgabe, die auch 2025 noch von großer Bedeutung sein wird.
procontra:
DORA ist eine europäische Verordnung, das heißt bislang haben die einzelnen Länder ihre eigenen Regelungen gehabt. Warum reicht das nicht aus?
Giebichenstein:
Wenn ich das auf einer oberen Ebene zusammenfasse, geht es um Standardisierung und Harmonisierung und somit um die Reduzierung von „digitalen Risiken“. Die bisherigen nationalen Regelungen reichen nicht aus, da sie uneinheitliche Standards schaffen und grenzüberschreitende Risiken im vernetzten europäischen Finanzsystem unzureichend adressieren. Angesichts steigender Cyberbedrohungen, der Abhängigkeit von Drittanbietern wie Cloud-Diensten und fehlender einheitlicher Meldepflichten für Cybervorfälle ist eine koordinierte Regulierung erforderlich. Die logische Konsequenz ist, dass die in Deutschland bisher gültigen Versicherungsaufsichtlichen Anforderungen an die IT (VAIT) zum 17. Januar entfallen und im Prinzip durch DORA ersetzt werden.
Giebichenstein:
Es kommt darauf an. Die Versicherer waren bereits über die VAIT reguliert – seit 2018. Wer seine Hausaufgaben vorher also schon gemacht hat, steht jetzt besser da. Allerdings hat die BaFin in den vergangenen Jahren Prüfungen durchgeführt, um die Einhaltung der VAIT zu überprüfen. Die Ergebnisse dieser Prüfungen haben wiederholt schwerwiegende Mängel bei der Umsetzung offengelegt. Infolgedessen wurden auch Sanktionen verhängt, darunter Maßnahmen wie Kapitalaufschläge. Das Bild ist sehr differenziert. Im Großen und Ganzen ist DORA aber deutlich besser angegangen worden als die VAIT.
Giebichenstein:
Wenn ein Versicherer die DORA-Vorgaben bis zum 17. Januar nicht umsetzt, drohen Sanktionen wie Geldstrafen, Kapitalaufschläge oder Einschränkungen der Geschäftstätigkeit. Zudem erhöht sich das Risiko für IT-Störungen und Cyberangriffe, was zu operativen und reputativen Schäden führen kann. Es gibt allerdings eine gravierende Veränderung im Vergleich zur VAIT: Das Finanzmarktdigitalisierungsgesetz (FinDigiG) trat Ende letzten Jahres in Kraft, wobei die DORA-relevanten Regelungen am 30. Dezember 2024 wirksam werden. Jahresabschlussprüfer müssen jetzt die Einhaltung der DORA ab 2025 prüfen.
Giebichenstein:
Generell gilt es festzuhalten, dass Versicherungsvermittler auch unter die die DORA-Verordnung fallen, wenn sie mindestens 250 Mitarbeiter, einen Jahresumsatz von über 50 Millionen Euro und/oder eine Bilanzsumme von mehr als 43 Millionen Euro haben. Das sind vor allem die großen Vermittler, die bisher nicht von IT-Regulierung betroffen waren.
Giebichenstein:
Es sind auf jeden Fall andere Herausforderungen als bei den großen Versicherungskonzernen. Da geht es eher um Kapazitäten, vor allem auch um personelle Kapazitäten und das entsprechende Know-how und die Frage: Kann mein aktueller IT-Dienstleister das überhaupt leisten? In Zeiten von Fachkräftemangel kann das ein echtes Problem sein. Aber es ist für kleinere und große Unternehmen eine Chance, der Digitalisierung insgesamt Schub zu verleihen.