Ziele von DORA (Stand 02/2024, Quelle: Präsentation DORA für IKT-Dienstleister der BaFin):

• Stärkung der Sicherheit und operationalen Resilienz des gesamten europäischen Finanzsektors
• Schaffung einheitlicher und konsistenter Anforderungen für den gesamten Finanzsektor
• Einführung proportionaler Anforderungen (Prinzip der Proportionalität)

Die BaFin hat durch die Definition von Mindestanforderungen an das Risikomanagement (MaRisk) auf der Basis des §25a Kreditwesengesetz (KWG) und vertiefend in der Bankaufsichtlichen Anforderung an die IT (BAIT) in den vergangen Jahren bereits eine ernstzunehmende und zusehends praxistaugliche Grundlage geschaffen. Die verstärkten Prüfungshandlungen der Kontrolleure der vergangenen Jahre mit Fokus auf das Auslagerungsmanagement der Finanzinstitute war bereits ein erster Ausblick auf die notwendigen Maßnahmen, die mit DORA einziehen werden.

Vergleicht man die bekannten Anforderungen aus der BAIT mit DORA sind nachfolgende fünf Kerninhalte identifizierbar:

1. Umfassenderer Anwendungsbereich von DORA:Während die MaRisk BAIT Novellierung hauptsächlich auf Banken und Finanzinstitute ausgerichtet war, erweitert DORA den Anwendungsbereich auf eine breitere Palette von Unternehmen, die von der Digitalisierung und Auslagerung profitieren können.
2. Flexiblere Compliance-Anforderungen:DORA setzt den Schwerpunkt auf eine flexiblere Gestaltung der Compliance-Anforderungen im Vergleich zu den Vorgaben der MaRisk BAIT Novellierung. Dies ermöglicht es Unternehmen, ihre Auslagerungspraktiken besser an ihre individuellen Bedürfnisse und die sich schnell ändernde digitale Landschaft anzupassen.
3. Stärkere Betonung der Risikomanagement-Aspekte:Im Vergleich legt DORA einen stärkeren Fokus auf die Integration von Risikomanagement-Praktiken in den gesamten Auslagerungsprozess. Dies umfasst eine gründlichere Risikobewertung, die Identifizierung und Überwachung von Risiken während des gesamten Lebenszyklus der Auslagerung sowie die Entwicklung von Maßnahmen zur Risikominderung und -kontrolle.
4. Berücksichtigung der internationalen Standards und Best Practices:DORA orientiert sich stärker an internationalen Standards und Best Practices im Bereich der Auslagerung und Digitalisierung, was zu einer erhöhten Vergleichbarkeit und Interoperabilität mit Unternehmen aus anderen Ländern führen kann.
5. Stärkere Einbeziehung der Aufsichtsbehörden:DORA sieht eine verstärkte Zusammenarbeit und Kommunikation zwischen Unternehmen und Aufsichtsbehörden vor, um eine effektive Überwachung und Durchsetzung der Auslagerungsregelungen sicherzustellen.

Im Rahmen von DORA werden sich finone und die notwendigen Prüfungssituationen mit bestehenden und zukünftigen Kunden / Anwendern der finstreet, fintus und finted Produkte insbesondere auf folgende drei Themen vertieft konzentrieren:

1. Risikomanagement und -bewertung in der Auslagerung:Eine detaillierte Analyse der Risiken im Zusammenhang mit der Auslagerung von Software und Dienstleistungen sowie die Entwicklung effektiver Maßnahmen zur Risikominderung und -kontrolle.
2. Compliance und Governance in der digitalen Transformation:Die Gestaltung und Implementierung von Compliance-Strategien und Governance-Mechanismen, um sicherzustellen, dass alle Auslagerungsaktivitäten den rechtlichen Anforderungen und Standards entsprechen.
3. Internationale Zusammenarbeit und Standardisierung:Die Integration von internationalen Standards und Best Practices in die Auslagerungspraktiken, um eine reibungslose Interoperabilität und Vergleichbarkeit mit Unternehmen aus verschiedenen Ländern zu gewährleisten.

Stand heute definiert sich finone selbst nicht als „Kritischer IKT-Dienstleister“ (Art. 31 Abs. 2 DORA) – hier legt DORA zur Zeit noch geringe Anforderungen als Maßstab als die BaFin via MaRisk Novellierung an. Die erweiterten Anforderungen an die Auslagerungsverträge (insbesondere Erfüllungsmessung der Dienstleistung, verpflichtende Beendigungsunterstützung und die wirksame Überwachung – siehe auch Art. 30 Abs. 3 DORA) sind für finone-Kunden bereits der Standard und werden voraussichtlich keine umfangreiche Überarbeitung notwendig machen. Kundenseitig erwarten wir in dem Kontext eine verstärkte Dokumentation im Auslagerungsmanagement, inklusive der Betrachtung von Szenarien zum Ausstieg nach einem kritischen Vorfall oder einer Kündigung.

Insgesamt bietet DORA erneut die Chance als Dienstleister und Anbieter im Finanzsektor zu brillieren. Die Aufsicht wird die Gangart gegenüber kleineren Anbietern zusehends verschärfen. Mit den bestehenden Zertifizierungen gemäß ISO 9001 (Qualitätsmanagement), ISO 27001 (Informationsmanagement), IASE 3402 (Internes Kontrollsystem) und den etablierten Prozessen zur Risikoüberwachung und Reduzierung sieht sich finone gut für die verschärften anstehenden Anforderungen vorbereitet. Durch die sorgfältige Analyse und Umsetzung der Anforderungen von DORA können Unternehmen einen Wettbewerbsvorteil erlangen und ihr langfristiges Wachstum unterstützen.