Ab Januar 2025 läutet die neue EU-Verordnung DORA eine neue Ära der digitalen Sicherheit im Finanzsektor ein – und stellt Versicherer vor ein Dilemma. Einerseits sind sie noch damit beschäftigt die Versicherungsaufsichtlichen Anforderungen an die IT , die so genannten VAIT-Regularien, umzusetzen und ihre IT-Systeme und -Prozesse einer Generalüberholung zu unterziehen. Andererseits müssen sie die Risiken, die von internen/externen Dienstleistern und Partnerschaften ausgehen können, intelligent managen.
Denn eine Versicherung ist keine Unternehmensart, die allein sämtliche Leistungen für ihre Kunden erbringen kann, sondern mitunter ein regelrechter Orchestrator von verschiedensten Zulieferern und Geschäftspartnern – von der Vertragswerkstatt bis zum Clouddienstleister. Der Digital Operational Resilience Act verpflichtet die Versicherungsunternehmen nun, umfassende Risikoanalysen ihrer IKT-Dienstleister durchzuführen.
ies bedeutet, dass alle Drittanbieter regelmäßig auf ihre Resilienz und Sicherheitsmaßnahmen überprüft werden müssen. Eine Mammutaufgabe. Denn DORA legt besonderen Wert auf die Identifikation, Bewertung und Bewältigung von IKT-Risiken, die durch externe Dienstleister entstehen können. Außerdem muss eine detaillierte Berichterstattung über Risiken und Vorfälle sichergestellt werden.
Dienstleisterverträge auf Resilience prüfen
Im Zuge von DORA müssen sich Versicherungen also mit ihrer Widerstandsfähigkeit gegen betriebliche Störungen auf der IKT-Ebene auseinandersetzen und strengere Überwachungs- und Kontrollmechanismen für Drittanbieter etablieren. Die Implementierung eines entsprechenden Risikomanagementrahmens stellt zunächst einmal keine völlig neue Anforderung an Versicherungsunternehmen dar. Allerdings müssen die Versicherungen auch die Risiken, die durch IKT-Dienstleister entstehen können, bewerten und managen. Um dies zu bewerkstelligen und compliant zu bleiben, muss eine vollständige Analyse des gesamten Dienstleisterportfolios erfolgen.
Es gilt, zunächst alle relevanten Drittanbieter zu identifizieren und zu kategorisieren. Das bedeutet, das sämtliche Verträge auf mögliche Risiken geprüft und neu klassifiziert werden müssen. Damit geht einher, dass bestehende Prozesse zur Risikobewertung unter Umständen überarbeitet und an die DORA-Vorgaben angepasst werden müssen. Es muss sichergestellt werden, dass sämtliche Dritt- und auch Viertdienstleister den DORA-Anforderungen an digitale Resilienz und Informationssicherheit entsprechen.
Dies zieht unter Umständen auch neue Vertragsverhandlungen mit IKT-Dienstleistern nach sich. Versicherungen sind zudem verpflichtet, nach der ersten Risiko-Bewertung, ihre IKT-Drittdienstleister weiterhin regelmäßig zu überwachen und zu auditieren, um die künftige Einhaltung der DORA-Anforderungen sicherzustellen. Dementsprechend müssen neue Systeme zur kontinuierlichen Überwachung und Kontrolle von Drittanbietern implementiert werden.
Plattformlösungen zur Unterstützung der Umsetzung
Für diese extreme – und sehr individuelle – Herausforderung gibt es keine One-size-fits-all-Lösung oder „Dora-Applikation“. Im Moment zeichnen sich vielmehr Einzellösungen ab. Allerdings sollte ein effizienter Betrieb einer Logik folgen. Aus diesem Grund arbeiten bereits einige Unternehmen an Plattformlösungen, die den Versicherern dabei helfen, ihre digitale operationale Resilienz zu verbessern und die Einhaltung der DORA-Vorschriften effizienter zu gestalten.
Plattformlösungen bieten Versicherungen bei der Umsetzung der DORA-Anforderungen erhebliche Vorteile. Sie ermöglichen ein zentralisiertes Risikomanagement, automatisieren Compliance-Prozesse und verbessern das Störungsmanagement.
Durch eine effiziente Drittanbieter-Verwaltung und eine vereinfachte Berichterstattung können die Versicherungsunternehmen ihre operative Resilienz somit steigern und diese Aufgaben zukünftig mit geringerem Aufwand bewerkstelligen. Die Skalierbarkeit der Plattformlösungen und ihre Fähigkeit, bestehende Compliance-Frameworks und -lösungen zu integrieren, macht sie zudem zu einem wertvollen Instrument für eine effektive DORA-Implementierung aber auch für künftige regulatorische Umsetzungen.
Wappnen für die Zeit nach DORA
Insbesondere das Third Party Risk Management von DORA stellt Versicherer vor bedeutende Herausforderungen – und droht zu einer Achillesferse der Branche zu werden. Die Gesellschaften stehen vor der Aufgabe, ein engmaschiges Kontrollnetz zu spannen, ohne gleichzeitig Innovation aus dem Blick zu verlieren und Effizienz zu ersticken. Aber DORA bietet – richtig umgesetzt – die Chance, die digitale Resilienz langfristig nachhaltig zu stärken und das Risikomanagement zu verbessern. Denn wenn einmal eine konfektionierte Lösungsplattform geschaffen ist, lassen sich auch künftige Vorschriften kosteneffizient umsetzen – sprich das Risikomanagement gewissermaßen auf Basis der DORA-Architektur skalieren. Es wird Zeit für die Branche, den schmalen Grat zwischen digitaler Transformation und Risikominimierung neu zu definieren.
Letztlich wird DORA nicht die letzte Regulatorik für die Versicherer sein. Die Assekuranzen sollten sich daher fragen, wie viele Kosten habe ich pro Regulierung? Statt isolierter Lösungen für einzelne Vorschriften sollten Unternehmen einen ganzheitlichen Prozess anstreben, der Risiken zentral bewertet und steuert. Insellösungen sind auf Dauer unwirtschaftlich. Besser ist es, die Risikoberechnung zentral zu koordinieren und ganzheitlich zu betrachten. Durch die Implementierung eines streamlined Prozesses können Versicherungsunternehmen nicht nur die DORA-Anforderungen erfüllen, sondern sich auch für zukünftige regulatorische Herausforderungen wappnen. So können sie den Balanceakt zwischen digitaler Transformation und Risikominimierung erfolgreich meistern und ihre Position in einem zunehmend komplexen regulatorischen Umfeld stärken.
Ein Blick in die USA zeigt, dass dies für die künftige Wettbewerbsfähigkeit nicht nur ein nice-to-have ist, sondern unerlässlich werden könnte: In den USA geht die Regulatorik bereits einen Schritt weiter. Manche Finanzunternehmen dort müssen nicht nur selbst prüfen, ob Risiken bei ihren Drittanbietern vorhanden sind, sondern diese gegebenenfalls proaktiv darüber informieren und die beschleunigte Bearbeitung einfordern. Vorbereitungen auf eine effiziente Einhaltung neuer Compliance-Vorgaben sind daher besser jetzt als später zu treffen.
Die Autoren: Markus Heyen ist Geschäftsführer und Leiter Versicherungen D-A-C-H bei Accenture und Richard Hösl Leiter Accenture Security Versicherungen D-A-C-H.