Kolumne
Die EU-Verordnung DORA (Digital Operational Resilience Act) ist zum 17. Januar in Kraft getreten und soll die Betriebsstabilität im Finanzsektor stärken. Sie betrifft nahezu alle Marktakteure dieser Branche, nicht nur Banken- und Zahlungsdienstleister, sondern auch Versicherungen – Unternehmen, die mit hochsensiblen Kundendaten arbeiten und oft auf eine Vielzahl von IT-Dienstleistern angewiesen sind. Deswegen fordert DORA auch hohe Standards in Bezug auf Cybersecurity und IKT-Risikomanagement.
Ein Kernstück der DORA-Verordnung ist das Informationsregister: eine detaillierte Dokumentation aller IKT-Dienstleistungen, die das Unternehmen von Drittanbietern bezieht. Mit der verlängerten Einreichfrist des Informationsregisters, welche die Europäischen Aufsichtsbehörden (ESAs) auf 30.04.2025 gelegt haben, bleibt den Betrieben noch ein kleines Zeitfenster, um ihre Berichte zu finalisieren. Und hier liegt die Herausforderung. Gebundene Ressourcen, fehlende Standards, veraltete Prozesse und hohe regulatorische Anforderungen erschweren vielen Versicherern die rechtzeitige Umsetzung.
Das Informationsregister umfasst 15 unterschiedliche Tabellen, die inhaltlich an zahlreichen Stellen ineinandergreifen. Bestandteile sind u. a. umfangreiche Angaben zu Lieferanten und IT-Services, sämtliche Auslagerungsverträge und Prüfungen wie Due Diligence, Risikobewertungen und Exit-Strategien. Bis dato nutzen viele Firmen bei der Berichterstellung herkömmliche Tabellenkalkulationsprogramme, die eine manuelle Befüllung der Datenfelder erfordern. Ändert sich ein bestimmtes Detail, müssen die Verantwortlichen dieses an jeder Stelle einzeln ausbessern. Das Resultat: massiver Bearbeitungsaufwand, Übertragungsfehler und Inkonsistenzen.
Der „Dry Run“ der ESAs zeigte den hohen Bearbeitungsaufwand des Informationsregisters in der Praxis. Bei dem Testlauf hatten Finanzunternehmen die Gelegenheit, eine erste Version des Informationsregisters zu erstellen und an die Behörden zu übermitteln. Eine wertvolle Chance, sich den aktuellen Status der eigenen Prozesse und die damit einhergehenden Aufgaben zu vergegenwärtigen. Das ernüchternde Ergebnis: Nur 6,5 Prozent der mehr als 1.000 eingereichten Informationsregister haben alle Datenqualitätschecks bestanden. Ergo sind 9 von 10 Berichten in mindestens einem der Tests durchgefallen, sei es aufgrund von fehlenden, inkorrekten oder falsch aufbereiteten Daten.
Ohne eine effiziente Digitalisierung der Daten ist die Erstellung und Wartung des Informationsregisters kaum zu bewerkstelligen. Sind alle relevanten Informationen von Beginn an digital erfasst, ermöglicht dies die Automatisierung des gesamten Outsourcing-Prozesses eines Lieferanten sowie sämtlicher nachfolgenden Aktivitäten. So lässt sich mit einer smarten, auf DORA spezialisierten Software beispielsweise das geforderte Informationsregister auf Knopfdruck generieren. Dafür gelangen die Daten automatisch aus den digitalen Akten in den fertigen Bericht. Grundlage dafür sind zum Großteil Informationen aus den bestehenden Verträgen mit den IKT-Dienstleistern. Etwa sämtliche relevanten Angaben zum Lieferanten, zur festgelegten Leistung, zu involvierten Subunternehmen u. v. m. Außerdem berechnet das System selbstständig Inhalte aus bereits bekannten Daten. Das Ergebnis ist ein stets synchronisiertes, digitales Informationsregister, das sich im vorgegebenen Datenformat exportieren und einfach mit den Behörden teilen lässt. Dies spart wertvolle Ressourcen, erhöht die Transparenz, minimiert Risiken und sorgt für eine jederzeitige Auskunftsfähigkeit gegenüber den Behörden.
Der Versicherungsbranche bleiben nur mehr wenige Wochen, um ihre Informationsregister an die nationalen Behörden zu übermitteln. Für jene Unternehmen, die ihre Berichte noch nicht finalisiert haben, bleibt mit den richtigen Tools immer noch Zeit, vollständig bis zur Deadline zu reporten. Wichtig für eine schnelle Umsetzung sind standardisierte Möglichkeiten zur raschen Datenmigration. Sind alle Daten einmal im System, lassen sich Register und Berichte sofort erzeugen.
Die Finanzaufsicht BaFin informiert am 6. März 2025 in einem Online-Workshop über die Anforderungen an Informationsregister gemäß DORA. Dabei zeigt sie auf, wie Finanzunternehmen die Register mit Hilfe einer Excel-Vorlage einreichen können.
Der kostenfreie Online-Workshop findet von 09:30 bis 11:30 Uhr statt. Eine vorherige Anmeldung ist nicht erforderlich.