Mit der EU-Verordnung über digitale operationale Resilienz (DORA) geraten IT-Drittdienstleister im Finanzsektor zunehmend unter Druck. Besonders kleine, hochspezialisierte Anbieter sehen sich mit enormen Umsetzungspflichten konfrontiert – und drohen sich aus dem Markt zurückzuziehen. Zwei Experten schildern die Risiken, benennen Herausforderungen und zeigen Wege zur Lösung.
Sie entwickeln Software für regionale Banken, stellen Rechenzentren für die Archivierung zur Verfügung, üSoftwareentwicklung für Banken, Analyse-Services, Archivierung oder Zahlungsabwicklung: Viele kleinere IT-Dienstleister übernehmen zentrale Aufgaben für Finanzinstitute. Mit dem Inkrafttreten der EU-Verordnung DORA (Digital Operational Resilience Act) geraten diese Akteure zunehmend unter Zugzwang – vor allem dann, wenn sie Leistungen erbringen, die als kritisch eingestuft werden. Die neuen Anforderungen gelten ab Januar 2025 verbindlich und setzen einen erweiterten Standard für die digitale Resilienz im Finanzsektor.
Hoher Aufwand für kleine Anbieter
Schätzungsweise hunderttausend kleinere IKT-Anbieter in Deutschland könnten laut Definition von Artikel 2 lit. u der Verordnung betroffen sein. Besonders problematisch: Die regulatorischen Anforderungen stellen kleinere, hochspezialisierte Dienstleister vor erhebliche Herausforderungen – sowohl organisatorisch als auch finanziell.
„Je höher die Spezialisierung, etwa eines kleineren Softwareanbieters, der eine maßgeschneiderte Anwendung für eine regionale Bank entwickelt hat, desto stärker wird die Abhängigkeit seines Kunden von ihm sein – und damit wahrscheinlicher, dass er oder seine Leistung im Sinne von DORA als kritisch eingestuft wird“, erklärt Bastian Krapf, Managing Director bei emagine Deutschland. „Nicht wenige Dienstleister setzen sich diesem Risiko – und den mit der DORA Compliance verbundenen Aufwand – aber gar nicht erst aus und signalisieren bereits, dass sie sich aus diesem Geschäft zurückziehen werden.”
Bereits heute müssen Banken ihre Verträge überarbeiten, Mindestinhalte für neue Geschäftsbeziehungen einführen und Risiken auch auf Ebene ihrer Dritt- und Subdienstleister absichern. Falls Partner die Anforderungen nicht erfüllen, drohen Zwangskündigungen durch die Aufsicht. Einige kleinere Anbieter ziehen daraus bereits Konsequenzen.
Neue Regeln für „kritische“ IKT-Partner
Die Verordnung geht deutlich über bisherige Vorgaben hinaus. Zu den Neuerungen zählen etwa eine stärkere Einbindung der Geschäftsführung in das IKT-Risikomanagement, eine verpflichtende Meldung schwerwiegender IKT-Vorfälle sowie verschärfte Anforderungen an das Management von Drittparteienrisiken.
„Dazu gehören eine noch stärkere Einbindung der Geschäftsführung in das IKT-Risikomanagement, die Etablierung verpflichtender Meldungen schwerwiegender IKT-Vorfälle oder die Umsetzung erweiterter Anforderungen an das IKT-Drittparteienrisikomanagement, einschließlich davon betroffener Vertragsstrukturen“, erklärt Dr. Julius Freiherr Grote, Managing Partner bei EQVITES Advisory.
Darüber hinaus müssen kritische Dienstleister künftig sogenannte Threat-led Penetration Tests (TLPT) unterstützen – aufwendige Sicherheitsüberprüfungen, die mindestens alle drei Jahre durch externe, zertifizierte Prüfer durchgeführt werden und realistische Angriffsszenarien simulieren.
Fachkräftemangel trifft auf Umsetzungsdruck
Unklar bleibt bislang, wie viele kleinere Anbieter letztlich vollständig unter die DORA-Verpflichtungen fallen. Ebenso wenig lässt sich abschätzen, wie viele den Aufwand tatsächlich schultern können. Grote warnt dennoch vor Folgen für die Versorgung mit spezialisierten IT-Leistungen: „Man darf sich durchaus die Frage stellen, ob alle betroffenen Anbieter in der Lage sind, die hohen Umsetzungsaufwände zu stemmen und volle DORA-Konformität sicherzustellen – zumal unter dem gegebenen Zeitdruck.“ Verstöße können für Dienstleister teuer werden: Die Verordnung sieht Strafen von bis zu fünf Millionen Euro vor.
Die Folge könnten Angebotslücken sein – besonders dort, wo bisherige Partner sich aus regulatorischen Gründen zurückziehen und kurzfristig keine Alternativen zur Verfügung stehen. Damit könnten Banken nicht nur bestehende Services verlieren, sondern auch selbst Schwierigkeiten bekommen, die eigenen DORA-Verpflichtungen zu erfüllen.
Globale Anbieter erschweren Compliance
Eine zusätzliche Herausforderung: Viele IT-Dienste, etwa Cloudlösungen oder Betriebssysteme, stammen von internationalen Konzernen außerhalb der EU. Diese unterliegen nicht automatisch den europäischen Anforderungen – und zeigen sich bislang wenig kooperativ.
„Dies kann zu Schwierigkeiten in Vertragsverhandlungen führen“, erklärt Grote, „und es für Finanzunternehmen oder ihre IKT-Dienstleister notwendig machen, alternative, DORA-konforme Anbieter zu identifizieren – falls es diese überhaupt gibt.“
Strategie statt Aktionismus
Um angesichts dieser Dynamik handlungsfähig zu bleiben, braucht es laut Krapf strategisches Risikomanagement auf Vorstandsebene. Manche Organisationen neigten dazu, auf die DORA-Anforderungen mit überzogenen Kontrollmechanismen gegenüber ihren Lieferanten zu reagieren.
„Die Umsetzung neuer Regularien wie DORA hängt stark davon ab, wie das Risiko auf Vorstandsebene wahrgenommen und gemanagt wird“, so Krapf.
Statt genereller Verschärfungen empfiehlt er eine individuelle Anpassung der Anforderungen an die jeweiligen Geschäftsmodelle. Für betroffene IKT-Dienstleister gebe es zudem konkrete Anknüpfungspunkte, um Erleichterungen zu nutzen: Wer nur über begrenzte Ressourcen verfügt, kann unter Umständen von Erleichterungen profitieren. Die DORA-Verordnung führt hier eigens Ausnahmen auf. Auch die Unterstützung durch spezialisierte Beratung könne helfen, die regulatorischen Anforderungen zu erfüllen – insbesondere dort, wo rechtliches oder personelles Know-how fehlt.
Mehr zur Umsetzung von DORA und zu Beratungsansätzen von emagine finden Sie hier.