Stand der DORA-Umsetzung im Finanzsektor
Die Anforderungen der DORA müssen bis zum 17. Januar 2025 umgesetzt werden. Die Deadline rückt immer näher und doch scheint ein Großteil der Unternehmen, die diese Anforderungen umzusetzen haben, noch nicht bereit für die Umsetzung zu sein. Auf öffentlich zugängigen Projektseiten wie Etengo und Gulp, werden täglich neue Projekte zu DORA-Umsetzungen von verschiedensten Firmen eingestellt.
Es scheint, dass zahlreiche Unternehmen haben mit Verzögerungen zu kämpfen, sei es durch Ressourcenknappheit, unerwartete technische Hürden oder unklarer Richtlinien.
- Unklare Richtlinien: Manche Details sind noch nicht finalisiert, was die Planung und Umsetzung erschwert. Unter anderem die Standards der ESA sind noch nicht gänzlich finalisiert und es existieren lediglich
- Komplexität der Anforderungen: DORA verlangt eine umfassende Überprüfung und Anpassung bestehender IT-Systeme, Prozesse und Governance-Strukturen.
- Experten im Bereich DORA gibt es nicht viele. Die Verordnung ist neu und den meisten IT-Sicherheitsexperten fehlt es an konkreter Projekterfahrung mit DORA und vieles muss improvisiert werden
Trotz allem: Die Zeit drängt, und Unternehmen, die jetzt nicht handeln, riskieren Compliance-Verstöße und potenzielle Sanktionen.
Kleine und große Unternehmen: Unterschiede im Umsetzungsaufwand
Der Projektumfang für die Umsetzung der DORA variiert stark nach Größe des Unternehmens. Über allen Anforderungen der DORA schwebt der Proportionalitätsgrundsatz, der unter anderem durch den Erwägungsgrundsatz (43) der DORA ausgedrückt wird. Hier wird auch der vereinfachte Risikomanagementrahmen erwähnt. Die Umsetzung von DORA stellt sowohl kleine als auch große Finanzinstitute vor Herausforderungen, jedoch unterscheiden sich die Auswirkungen erheblich.
Großunternehmen:
Ressourcenverfügbarkeit: Sie verfügen meist über umfangreichere finanzielle Mittel und Personalressourcen.
Komplexe Strukturen: Die Vielzahl an Systemen und internationalen Niederlassungen erschwert die einheitliche Umsetzung.
Interne Prozesse: Bürokratische Hürden können die Entscheidungsfindung verlangsamen.
Kleinunternehmen:
Begrenzte Ressourcen: Weniger Personal und finanzielle Mittel machen die Umsetzung zu einer echten Herausforderung.
Flexibilität: Kleinere Strukturen ermöglichen oft schnellere Anpassungen und Entscheidungen.
Abhängigkeit von Drittanbietern: Sie sind häufiger auf externe Dienstleister angewiesen, was zusätzliche Koordination erfordert.
Es ist essenziell, dass Unternehmen unabhängig von ihrer Größe frühzeitig einen klaren Umsetzungsplan entwickeln und gegebenenfalls externe Expertise hinzuziehen.
Ausblick
Die Uhr tickt, und die Umsetzung von DORA ist eine Herausforderung, die alle Finanzinstitute betrifft. Jetzt ist der Zeitpunkt, proaktiv zu handeln, Strategien zu entwickeln und die notwendigen Ressourcen bereitzustellen.
In der nächsten Episode meines "IT-Security Diary" werde ich tiefer in die ITS und RTS eintauchen und euch eine verständliche Übersetzung sowie praktische Tipps für die Implementierung bieten.