Neue EU-Verordnung verpflichtet Versicherer zu mehr IT-Sicherheit
Um IT-Risiken besser begegnen zu können, hat die EU mit dem Digital Operational Resilience Act (DORA) ein neues Regelwerk geschaffen. Der GDV erklärt die Hintergründe und neue Anforderungen für die Umsetzung Anfang 2025.
Digitale Technologien spielen eine zentrale Rolle für Versicherungen. Um die IT-Sicherheit in den Unternehmen zu stärken, hat die Europäische Union im November 2022 eine Verordnung zur digitalen operationalen Resilienz (DORA) verabschiedet, die ab Januar 2025 von nahezu allen Finanzinstitutionen angewendet werden muss. Der Fokus von DORA liegt auf geschäftsrelevanten Informations- und Kommunikationstechnologie (IKT)-Systemen, die beispielsweise den Abschluss von Versicherungsprodukten aufrechterhalten. DORA zielt darauf ab, dass im Falle eines Cyberangriffs oder einer anderen schwerwiegenden Betriebsstörung die Unternehmen stabil und funktionsfähig bleiben können.
Die Verordnung betrifft nicht nur klassische Finanzunternehmen wie Versicherungen und Banken, sondern mitunter auch deren IKT-Drittdienstleister, einschließlich Cloud-Dienstleister und Rechenzentren. Die europäischen Vorgaben gelten dabei unmittelbar und sind von den Unternehmen umzusetzen. Zusätzliche nationale Sonderregelungen, wie die jährliche Prüfpflicht der DORA-Einhaltung als Bestandteil der Jahresabschlussprüfung sollen im Finanzmarktdigitalisierungsgesetz (FinmadiG) verankert werden.
Umfassendes IKT-Risikomanagement erforderlich
Damit Finanzunternehmen ihre Funktionsfähigkeit gewährleisten können, müssen sie ihre IKT-Risiken effektiv steuern. Dazu sind die betroffenen Unternehmen aufgefordert, ein umfassendes IKT-Risikomanagementsystem einzuführen. Dazu gehört auch, dass neue Verantwortlichkeiten und Schnittstellen festgelegt werden müssen. Unternehmen sollen unter anderem eine Resilienzstrategie entwickeln, Richtlinien zur Informationssicherheit und Geschäftskontinuität dokumentieren sowie Pläne zur Reaktion und Wiederherstellung von IKT-Systemen vorhalten. Um Versicherungsunternehmen realistisch zu bewerten, sind in regelmäßigen Abständen Prüfungen und Tests durch interne und externe Experten gefordert. Die Unternehmen sollen sich nicht nur vor externen Angriffen schützen, sondern auch schwerwiegende IT-Probleme meistern, die nicht durch kriminelle Absichten verursacht werden.
Strenge Vorgaben für die Meldung von IKT-Vorfällen
Wenn sich ein IKT-Vorfall als schwerwiegend herausstellt, muss dies der Aufsichtsbehörde spätestens nach 24 Stunden und mit einer ausführlichen Beschreibung gemeldet werden. Dabei sind die vom Gesetzgeber festgelegten Klassifizierungskriterien umfangreich und betreffen unterschiedliche Unternehmensbereiche. Sie umfassen unter anderem die potenzielle Anzahl betroffener Kunden sowie die möglichen finanziellen Auswirkungen. Zusätzlich muss der Inhalt der Erst-, Zwischen- und Abschlussmeldungen unternehmensweit zusammengetragen und dokumentiert werden.
Risiken durch zunehmende Nutzung von Drittdienstleistern
Um alle Anforderungen regelkonform zu gewährleisten, sind große personelle und finanzielle Ressourcen erforderlich. Insbesondere im Bereich des Managements von Drittanbieterrisiken, etwa von Service-Providern, verlangt DORA den Unternehmen umfassende Anforderungen ab. Entsprechend dem Prinzip der Letztverantwortung müssen sich Finanzunternehmen noch stärker mit internen Risiken aber auch mit Risiken aus der Beauftragung von Drittanbietern und deren Unterbeauftragung befassen. Auch die IKT-Drittanbieter selbst werden durch den neu eingeführten Überwachungsrahmen stärker in den Fokus der regulatorischen Kontrolle genommen. Sie können als sogenannte kritische IKT-Drittdienstleister künftig Überprüfungen und Maßnahmen der Europäischen Aufsichtsbehörden unterliegen. Kriterien für solche Dienstleister sind zum Beispiel die systemische Relevanz oder die funktionelle Abhängigkeit der Finanzunternehmen vom IKT-Drittdienstleister.
Umsetzungsfrist ist knapp bemessen
Mit der Einführung von DORA wollen die europäischen Gesetzgeber eine neue Ära der IT-Sicherheit und operativen Widerstandsfähigkeit einleiten. Auch wenn viele der Anforderungen für deutsche Versicherungsunternehmen bereits aus dem bisherigen VAIT-Rundschreiben der BaFin bekannt sind, bleibt der Aufwand für die Umsetzung erheblich. Besonders kleinere und mittlere Versicherungsunternehmen mit begrenzten Personalressourcen stehen vor großen Herausforderungen. Zwar enthält DORA den Grundsatz der Proportionalität, doch lässt der Detailgrad der Anforderungen oft wenig Raum für eine angepasste Umsetzung. Seit der Verabschiedung im Jahr 2022 werden die Details sukzessive ausgearbeitet und kommuniziert. Die Frist zur Umsetzung bis zum 17. Januar 2025 ist daher knapp bemessen.