Mit der vollständigen Veröffentlichung der technischen Standards (RTS und ITS) zur EU-Verordnung DORA konkretisieren sich die Anforderungen an die digitale Resilienz von Versicherungsunternehmen. Für die Compliance-Funktion bedeutet dies eine klare strategische Ausrichtung: Die Umsetzung der DORA-Vorgaben wird zum zentralen Bestandteil regulatorischer Steuerung und Kontrolle.
IKT-Risikomanagement steht im Fokus
Im Fokus steht die Etablierung eines strukturierten IKT-Risikomanagements, das in die bestehende Governance eingebettet wird. Die Anforderungen an das Informationsregister, die Meldung schwerwiegender IKT-Vorfälle und die Durchführung von Threat-led Penetration Tests (TLPT) sind verbindlich und müssen organisatorisch sowie technisch umgesetzt werden. Dies erfordert eine klare Rollenverteilung, abgestimmte Prozesse und eine enge Zusammenarbeit mit den Fachbereichen.
Vertragsprüfung ist Pflicht
Ein weiterer Schwerpunkt liegt auf der vertraglichen Absicherung gegenüber IKT-Dienstleistern. Die neuen Vorgaben verlangen Transparenz über Subdienstleister, Kontrollrechte, Exit-Szenarien und eine revisionssichere Dokumentation. Bestehende Verträge müssen überprüft und angepasst werden, um regulatorische Risiken zu vermeiden.
Meldeprozesse müssen geplant werden
Die Meldeprozesse für IKT-Vorfälle sind auf die Anforderungen der BaFin auszurichten. Fristen, Inhalte und Kommunikationswege müssen klar definiert und regelmäßig getestet werden. Die Compliance-Funktion übernimmt hier eine koordinierende Rolle und stellt sicher, dass alle relevanten Einheiten eingebunden sind.
Compliance-Dashboard als Steuerungsinstrument
Zur strategischen Steuerung empfiehlt sich der Aufbau eines Compliance-Dashboards, das den Umsetzungsstand transparent macht und eine kontinuierliche Fortschrittskontrolle ermöglicht. Regelmäßige Gap-Analysen helfen, Schwachstellen frühzeitig zu erkennen und gezielt zu adressieren.
Die Umsetzung von DORA ist nicht nur eine regulatorische Pflicht, sondern ein wesentlicher Beitrag zur Stärkung der digitalen Widerstandsfähigkeit. Eine proaktive, strukturierte und risikoorientierte Compliance-Strategie ist dabei entscheidend für die erfolgreiche Implementierung und die nachhaltige Sicherstellung der Anforderungen.
