Finanzwelt
Finanzwelt Logo

DORA-Umsetzung: Versicherer drängen auf Details zur

16.01.2025

Jörg Asmussen, Hauptgeschäftsführer des Gesamtverbandes der Deutschen Versicherungswirtschaft (GDV). Foto: © GDV

Ab dem 17. Januar 2025 müssen Finanzunternehmen die neuen Regeln des Digital Operational Resilience Act (DORA) anwenden, um ihre IKT-Systeme besser vor Cyberangriffen und Betriebsstörungen zu schützen. Die Versicherungswirtschaft sieht sich für die neuen EU-Vorgaben zur Cyberabwehr gerüstet, fordert aber zugleich noch mehr Informationen.

„Die deutschen Versicherer haben ihre Prozesse binnen kürzester Zeit an die bekannten Vorgaben angepasst. Für eine optimale Umsetzung des Regelwerks sind aber noch einige Fragen zu klären, etwa zur Vertragsgestaltung mit IT-Dienstleistern“, betont Jörg Asmussen, Hauptgeschäftsführer des Gesamtverbands der Deutschen Versicherungswirtschaft (GDV).

Fehlende Details zum Drittparteienrisiko

Mit DORA will die Europäische Union die digitale Widerstandsfähigkeit von Finanzdienstleistern und Versicherern gegen Cyberbedrohungen stärken. Dazu sieht die Verordnung umfangreiche Anforderungen vor, die die Informations- und Kommunikationstechnologien (IKT) der Unternehmen betreffen.

Ein Kernpunkt ist das Management von Drittparteienrisiken. Finanzunternehmen müssen sowohl interne IKT-Risiken steuern als auch Gefahren durch Drittanbieter und deren Subunternehmer berücksichtigen. „Für das Vertragsmanagement mit Dienstleistern müssen die noch ausstehenden Vorgaben zur Unterauftragsvergabe zügig finalisiert werden“, so Asmussen.

Mehr Transparenz bei Kontrolle großer IKT-Drittanbietern

Auch die Überwachung von sogenannten kritischen IKT-Dienstleistern, die eine besondere Relevanz für den Finanzsektor haben, kann nach Einschätzung des GDV effizienter gestaltet werden. Während in der Vergangenheit die Finanzunternehmen für deren Überwachung verantwortlich waren, sollen künftig auch die europäischen Aufsichtsbehörden Informations-, Kontroll- und Prüfrechte ausüben. „Um die Transparenz zu erhöhen, wäre es sinnvoll, die Ergebnisse der behördlichen Überwachung auch den betroffenen Finanzunternehmen zugänglich zu machen“, betont Asmussen.

Über DORA

Im November 2022 verabschiedete die Europäische Union die Verordnung zur digitalen operationellen Resilienz (DORA), die ab Januar 2025 für nahezu alle Finanzinstitute verbindlich wird. Um die Widerstandsfähigkeit vor Cyberangriffen zu gewährleisten, müssen Unternehmen ein IKT-Risikomanagement einführen, Resillienzstrategien entwickeln, Sicherheitsrichtlinien dokumentieren und Notfallpläne vorhalten. Regelmäßige Prüfungen sollen sicherstellen, dass sowohl externe Angriffe als auch interne IT-Probleme effektiv bewältigt werden können. (mho)

Mehr aus dieser Kategorie

ERGO Group AG zum dritten Mal „Top Employer Deutschland“

Das Versicherungsunternehmen ERGO Group AG erhält auch 2025 das begehrte Arbeitgeber-Siegel, das vom internationalen Beratungsinstitut „Top Employers Institute“ vergeben wird. Es b...

vers.diagnose auf Wachstumskurs

Die digitale Risikoprüfungsplattform für biometrische Risiken vers.diagnose GmbH hat 2024 ihre marktführende Position weiter ausgebaut. Mit einem deutlichen Wachstum, neuen Partner...

Andere ThemenGDV