Ab Januar 2025 bringt DORA komplexe Aufgaben für fast alle Banken der EU
Am 17. Januar 2025 ist es soweit. Ab dann gilt für fast alle in der EU operierenden Banken und Finanzinstitute der Digital Operational Resilience Act der EU, kurz DORA. Damit kommen auf die Finanzinstitute neue komplexe Aufgaben zu, die ohne Prozessunterstützung, Automatisierung und KI nicht zu bewältigen sind.
von Michael Baldauf, Sen. Director & Industry Principal Banking EMEA bei Pegasystems
Mit dem Digital Operational Resilience Act steht ein neues Regelwerk für den Finanzsektor unmittelbar vor der Tür. Die neue EU-Verordnung regelt die digitale operationale Resilienz im Finanzsektor. Das soll europäische Banken und den europäischen Finanzmarkt insgesamt besser vor Cyber-Attacken und ITK-Risiken zu schützen. Damit ist erstmals eine einheitliche Regelung geschaffen, die verschiedene existierende Anforderungen und Vorgaben an die operative Resilienz und das operative Risikomanagement von Banken zusammenführt. DORA schließt damit die Lücke zwischen den bislang separaten Regelungen in Sachen Risikomanagement und Outsourcing sowie den Vorgaben bezüglich Security und Compliance der Informations- und Kommunikationstechnologie (ITK).Regulierung auf allen Ebenen
Für Finanzinstitute bedeutet diese Regelung einen erheblichen Mehraufwand. Es ist daher abzusehen, dass die Kosten der Finanzinstitute für die Erfüllung von ITK-bezogenen Compliance-Vorgaben massiv steigen werden. Immerhin gilt es, die DORA-Regeln in fünf Geltungsblöcken umzusetzen:
- Risiko- und Governance-Management der ITK
- Management und Berichterstattung ITK-bezogener Vorfälle
- Testen der digitalen operationalen Resilienz einschließlich Threat-Led Penetration Testing (TLPT)
- Management des ITK-Drittparteienrisikos und der ITK-Dienstleister wie beispielsweise Onboarding, Supply Chains oder Vertragsgestaltung
- interner und externer Austausch von Informationen
Bei der Erfüllung dieser Aufgaben müssen verschiedenste Abteilungen unterhalb des Vorstands zusammenarbeiten, die aktuellen Verträge sichten, gegebenenfalls nachverhandeln und gemeinsam neue Prozesse schaffen. Das betrifft die IT-, Risk- und Compliance-Abteilungen ebenso wie die Rechtsabteilungen. Es ist zu erwarten, dass sich dafür eine neue Koordinations- und Leitungsfunktion im Sinne eines Operational Resilience Officer (ORO) als notwendig und sinnvoll herauskristallisieren wird. Besonderes Augenmerk gilt dabei den kritischen oder wichtigen Funktionen, deren Ausfall eine erhebliche Beeinträchtigung der finanziellen Leistungsfähigkeit, der Geschäftsfortführung oder regulatorischer Art darstellen würde.
Pegasystems (Website) liefert Software, mit der sich Arbeitsprozesse vereinfachen lassen sollen. Die Technologie nutze Echtzeit-KI und Automatisierung, weise eine skalierbare Architektur auf und bietet Low-Code als Plattform-Lösung.
Kein DORA ohne Automatisierung und KI
Angesichts der Aufgabenfülle und -komplexität ist jetzt schon klar, dass DORA ohne eine weitgehende Automatisierung von Prozessen nicht zu erfüllen sein wird. Aus der Umsetzung der KYC-Vorgaben (Know your Customer) können die Banken eine Menge aus den Erfahrungen mit komplexen Regelwerken, der Case-Automatisierung oder dem Auto-Routing mitnehmen. Als typische Einsatzbereiche sind unter anderem das automatisierte Erkennen, Behandeln und Melden von Intrusions-Versuchen, Echtzeit-Analysen und Reporting, die vorausschauende Risiko-Identifizierung, die Informationsbeschaffung und -qualifizierung, das Management von Testverfahren und -ergebnissen sowie das Berichtswesen denkbar. Dafür können unterstützend alle aktuellen Spielarten von KI (analytisch, prediktiv, generativ) genutzt werden.
Auch das Thema Schatten-IT erfährt durch DORA neue Brisanz. Damit rücken Low-Code-Plattformen verstärkt in den Fokus, da dort in den letzten Jahren entwickelte Fachbereichslösungen zum Risiko werden können. Der interne Softwareentwicklungs-Prozess selbst muss also ebenfalls DORA-konform aufgestellt werden, um mehr Anwender in die Entwicklung einbinden zu können.
DORA ist erst der Anfang
DORA ist aller Voraussicht nach nicht das Ende einer Entwicklung, sondern deren Anfang. Denn die Komplexität regulatorischer Anforderungen rund um das Thema OpResilience wird weiter steigen. Anpassungen und Erweiterungen sind damit vorprogrammiert. Gleichzeitig steht Banken und Finanzdienstleistern mit DORA endlich ein zentraler Katalog von Regularien zur Verfügung, mit dem sich das OpRisk-Management transparent messen und bewerten lässt, um objektiv zwischen Gutem und Schlechtem zu unterscheiden. Es ist daher sehr wahrscheinlich, dass die Qualität des Risikomanagements sich zu einem weitaus größeren, selbstständigen Faktor entwickelt und zukünftig auch bei der Bewertung, Einstufung und gegebenenfalls Sanktionierung von Banken eine wichtige Rolle spielen kann.Michael Baldauf, Pegasystems
Sie finden diesen Artikel im Internet auf der Website:
https://itfm.link/215418
Schreiben Sie einen Kommentar