Gedankensplitter von der BaFin-Konferenz, 05.12.2023

IT-Aufsicht im Finanzsektor: Was bedeutet DORA in der Praxis?

Die BaFin hat eingeladen und mit Gästen und eigenen Experten den Zielen und Instrumenten von DORA wieder ein wenig mehr Kontur verliehen. Die einhellige Meinung der Experten zu DORA schon für 2024: „Nicht warten – MACHEN!“

 

Gedankensplitter von der BaFin-Konferenz, 05.12.2023
IT-Aufsicht im Finanzsektor: Was bedeutet DORA in der Praxis?

Die BaFin hat eingeladen und mit Gästen und eigenen Experten den Zielen und Instrumenten von DORA wieder ein wenig mehr Kontur verliehen. Ein weiterer RTS (Regulatorisch Technischer Standard) steht zur Konsultation an, konnte wegen noch nicht abgeschlossener Abstimmungen aber leider noch nicht präsentiert werden. Allerdings zeigt DORA langsam auch Zähne, wenn BaFin-Präsident Mark Branson ankündigt: „DORA-Verfehlungen können mit Zwangsgeldern in der Dimension von Prozenten vom weltweiten Umsatz, ggf. auch mit Veröffentlichung der Summe, geahndet werden.“

Alle Experten waren der Meinung, die absehbaren Pflichten umgehend anzugehen, durch Self-Assessments den Blick zu schärfen, Strukturen, Tools und Rollen für 2025 in Position zu bringen und zu erproben und nicht auf letzte Klarheiten aus noch zu erwartenden RTS zu warten: „Ein RTS ist der Anfang, nicht das Ende!“

Lutz Bleyer (u.a. CISO der Finanz Informatik), weist auf erwartbare Zielkonflikte hin, wenn er empfiehlt, Reporting (an Aufsicht und Community) und Rettung (im eigenen Haus) in verschiedene Hände zu legen, um beiden Herausforderungen gerecht werden zu können. In einem Nebensatz merkt er an, dass er bei den Berichten gerne auch bei der Freiwilligkeit geblieben wäre.

Die Experten Dr. Ralf Schneider (Allianz) und Sven Schumann (HUK COBURG) berichteten im Panel, dass einige, große Player den Austausch zu IT-Risiken bereits ohne die BaFin institutionalisiert haben. Schneider konzedierte dann aber durchaus, dass große Pattern marktweit oder auch marktübergreifend erst auf Ebene der BaFin erkennbar werden könnten.

BaFin-Experte Michael Göddecke betonte in diesem und anderen Zusammenhängen, dass die Aufsicht eine Operative Resilienz (OpRes) von Instituten und Dienstleistern nicht nur aus der Distanz prüfen, sondern auch in den direkten Austausch treten wolle: „Wir telefonieren dann!“

Die einhellige Meinung der Experten zu DORA schon für 2024: „Nicht warten – MACHEN!“