Die EU plant mit dem Digital Operational Resilience Act (DORA) ein neues Regelwerk für das Management und die Minderung von IT-Risiken. Die Compliance-Verantwortlichen müssen jetzt aktiv werden. Frühzeitiges Handeln ist deshalb ratsam, weil einige der neuen Regeln schon bald in Kraft treten.

Unter Digital Operational Resilience versteht man die Fähigkeit eines Unternehmens, sich schnell von Serverausfällen zu erholen und Unterbrechungen im Customer Service weitgehend zu vermeiden. Der Digital Operational Resilience Act (DORA) betrifft alle auf EU-Ebene regulierten Finanzunternehmen. Die EU-Kommission schätzt die durch operative Vorfälle verursachten Kosten im EU-Finanzsektor auf bis zu 27 Milliarden Euro pro Jahr.

Im Zuge der fortschreitenden Digitalisierung wird in naher Zukunft praktisch jeder Geschäftsvorgang auf IT basieren. Eine durchgängig funktionierende IT ist deshalb überlebenswichtig. Die EU sah vor diesem Hintergrund Handlungsbedarf, auch um die unterschiedlichen Regelungen innerhalb der EU zu harmonisieren. DORA hilft den Finanzunternehmen, ihre Widerstandsfähigkeit gegen Cyberangriffe einheitlich zu bewerten.

Digital Operational Resilience ist wichtiger denn je – Jetzt Report herunterladen!

Herausforderungen durch DORA

Eine stabile Compliance-Kultur ist angesichts der steigenden Zahl an Regularien eine notwendige Basis für ein erfolgreiches Unternehmen. Allerdings genügt es nicht, sich auf das operative Tagesgeschäft zu konzentrieren. Unternehmen müssen bereits im Vorfeld die notwendigen Vorkehrungen treffen. Dazu gehört etwa, die digitalen Business-Prozesse auf die zukünftigen Anforderungen hin zu optimieren.

DORA wird voraussichtlich Anfang 2024 in Kraft treten. Das klingt fern, aber tatsächlich ist es bereits heute angeraten, den kommenden Veränderungen ins Auge zu sehen und zu handeln. Unternehmen drohen empfindliche Bußgelder sollten sie die EU-Bestimmungen nicht ernst nehmen und ihre Strategien nicht rechtzeitig anpassen. Im Gespräch sind tägliche Geldstrafen in Höhe von 1 Prozent des durchschnittlichen Tagesumsatzes.

Motivation für Ausfallsicherheit

Unternehmen können wegen Systemausfällen ihre Seriosität und sogar Kunden verlieren (Bildquelle: Unsplash / Elisa Ventur).

Es gibt zwei primäre Motivationen für Veränderungen im Bereich der betrieblichen Ausfallsicherheit. Zum einen können Verstöße gegen DORA schnell teuer werden. Zum anderen ist die Notwendigkeit einer 24/7-Erreichbarkeit der Systeme geschäftsrelevant, sowohl für alle Mitarbeiter als auch für die Kunden.

Systemausfälle sind immer ein schwarzer Fleck in der Bilanz eines Unternehmens und untergraben zudem die Glaubwürdigkeit und den Ruf beim Kunden. Mit DORA und anderen Vorschriften müssen die Unternehmen einen besonderen Schwerpunkt auf die Software und Systemqualität legen und das Thema Risikomanagement überarbeiten.

Wege zur betrieblichen Resilienz

In der laufenden Konsultationsphase steht bereits ein stabiler Rahmen über die bevorstehende DORA-Verordnung zur Verfügung. Dieser kann die Basis für eine präventive Compliance-Strategie schaffen. Ein besonderer Fokus liegt dabei auf Cloud Computing und systemrelevante Betriebsfunktionen. Ein erfahrender Partner wie Expleo kann hier hilfreich zur Seite stehen und den Unternehmen den Weg in dieses unbekannte Terrain ebnen. Auch wenn der genaue Gesetzestext noch nicht vorliegt, lassen sich bereits mehrere Aspekte angehen:

• Bei neuen Gesetzen und Regulierungen besteht immer eine Art Findungsphase, in der die genaue Richtung der Compliance-Strategien definiert wird. Als ersten Schritt sollten Unternehmen den Umfang der erforderlichen Arbeiten ermitteln und Ressourcen verteilen. Resilienz stellt nicht nur eine Herausforderung dar, sondern auch eine Chance.
• Es ist wichtig, dass die Mitarbeiter mit den Auswirkungen von DORA auf das Unternehmen vertraut sind und diese verstehen. Deshalb sollte ein entsprechendes Programm ins Leben gerufen werden, begleitet von Experten aus der Branche und von Regulierungs-Kennern.
• Ein Netzwerk von Dienstleistern in Anspruch zu nehmen, bringt sicherlich viele Vorteile mit sich. Es schränkt aber die Möglichkeiten eines Unternehmens ein, sein operatives Schicksal selbst zu kontrollieren. Deshalb besteht ein wichtiger Schritt darin, ein detailliertes Verzeichnis sämtlicher Drittanbieter zu erstellen.
• Es müssen nachvollziehbare Bewertungen der internen Teststrukturen und -prozesse erfolgen. Und schließlich gilt es festzulegen, welche Maßnahmen aus den Ergebnissen resultieren.
• Sobald ein konsequentes Test- und Prüfverfahren besteht, geht es daran, eine Dokumentation und ein Reporting einzurichten, um nachweislich die Vorschriften einhalten zu können.

Echte Resilienz muss bei der Unternehmensstrategie beginnen und sich durch das gesamte Unternehmen ziehen.

Bauen Sie Ihre Compliance-Kultur auf – Jetzt Whitepaper herunterladen!

Jetzt handeln

In vielen Unternehmen besteht noch eine große Lücke zwischen dem erreichbaren und dem tatsächlichen Resilienz-Niveau. Es erscheint ratsam, sich frühzeitig mit der neuen Verordnung zu beschäftigen, was etwa die Erfahrungen bei der Einführung der DSGVO gelehrt haben. Lange haben Unternehmen hier den Handlungsbedarf verdrängt und waren dann überfordert, als der Stichtag näher rückte. Ein Partner mit der entsprechenden Expertise kann die Unternehmen dabei unterstützen, die notwendigen Schritte in die Wege zu leiten.