DORA-Compliance verstehen: Wie Unternehmen Resilienz und Risikosichtbarkeit stärken

Das EU-Gesetz zur digitalen operationalen Resilienz (DORA) bewirkt einen tiefgreifenden Wandel für Organisationen, indem es die operative Resilienz und solide Compliance-Rahmenwerke in den Vordergrund rückt. Obwohl DORA primär an in der EU ansässige Finanzinstitute gerichtet ist, erstreckt sich seine Wirkung weit über Europa und betrifft insbesondere IKT-Unternehmen, die diese Institutionen unterstützen. Dabei ist es entscheidend zu verstehen, wie verlässliche Datensätze und technologiegestützte Lösungen die Einhaltung der Vorgaben fördern.

Verständnis von DORA und seiner globalen Bedeutung

Das Auftreten neuer Bedrohungen in der digitalen Welt, in der Finanzinstitute tätig sind, ist ein wesentlicher Grund für DORA. Ziel ist es, die Cybersicherheit und operative Resilienz von Finanzinstituten sowie deren wichtigen Technologieanbietern zu stärken. Beispielsweise stieg der Anteil der von Ransomware betroffenen Finanzinstitute in den letzten drei Jahren von 34 % im Jahr 2021 auf 65 % im Jahr 2024 – was auf eine nahezu doppelte Erhöhung der Gefährdung hinweist.¹

Da DORA nun in Kraft getreten ist, müssen Finanzinstitute, die innerhalb Europas tätig sind oder mit europäischen Partnern zusammenarbeiten, strenge Richtlinien einhalten, was weitreichende Auswirkungen hat. Selbst Unternehmen außerhalb Europas werden die Effekte von DORA zu spüren bekommen, was dazu führt, dass Compliance-Beauftragte und Risikomanager weltweit mehr Verantwortung übernehmen müssen, um sicherzustellen, dass ihre Maßnahmen zur operativen Resilienz den gesetzlichen Anforderungen gerecht werden.

Welche Herausforderungen können Organisationen erwarten?

• Erhöhte Kontrolle über Drittanbieter: DORA führt zu einer strengeren Kontrolle von IKT-Drittanbietern. Unternehmen müssen daher umfassende Due-Diligence-Prozesse einführen, um potenzielle Risiken bei ihren Anbietern frühzeitig zu identifizieren und zu überwachen.
• Komplexität im Datenmanagement: Die Compliance verlangt eine schnelle und präzise Berichterstattung über Cybervorfälle und Betriebsstörungen. Viele Organisationen kämpfen aktuell mit uneinheitlichen und veralteten Berichtsprozessen, die zu Schwierigkeiten bei der Einhaltung führen.
• Anforderungen an operative Resilienz: DORA erfordert umfassende Maßnahmen zur Vorfallreaktion und Wiederherstellungsplanung. Unternehmen, die nicht über eine robuste Technologieinfrastruktur oder zentralisierte Risikomanagementsysteme verfügen, setzen sich damit dem Risiko regulatorischer Verstöße und potenzieller Bußgelder aus.

Durch den Einsatz von Datenanalysen und moderner Technologien haben Finanzinstitute die Möglichkeit, DORA-Anforderungen in Chancen zur Neugestaltung ihrer Resilienz und ihres Risikomanagements zu verwandeln. 

MEHR DAZU: Risikomanagement und volatile Märkte: Strategien zum Umgang mit finanziellen Risiken

Nutzung glaubwürdiger Datensätze zur Verbesserung der Risikosichtbarkeit

Daten bilden das Herzstück einer wirkungsvollen operativen Resilienz. Unternehmen ziehen großen Nutzen aus Datensätzen, die durch das Screening negativer Medienberichte und weiterer Risikoindikatoren die Sichtbarkeit möglicher Risiken verbessern.

Verbessern Sie Risikobewertung, Due-Diligence-Prüfungen, Risikobeobachtung und Szenariotests durch erweiterte Daten, um:

• Sichtbarkeit zu verbessern: Organisationen decken proaktiv Risiken auf, die in komplexen Drittanbieter-Ökosystemen verborgen sind, und verhindern Betriebsstörungen, bevor sie auftreten.
• Erkennung zu beschleunigen: Die frühzeitige Identifizierung von Warnsignalen oder Schwachstellen ermöglicht ein schnelles Eingreifen und schützt Unternehmen vor langanhaltenden oder schwerwiegenden Störungen.
• Risiken vorherzusehen: Durch die Nutzung glaubwürdiger Datensätze, fortschrittlicher Analytik und prädiktiver Modellierung können Risiken effektiv antizipiert und die Einhaltung sowie Geschäftskontinuität sichergestellt werden.

Technologieeinsatz für operative Resilienz unter DORA

McKinsey stellt fest: „Bis zu 80 Prozent der Sanierungsprogramme scheitern, weil ihnen eine strategische Grundlage fehlt. Organisationen, die in innovative, technologiegestützte Compliance-Lösungen investieren, verzeichnen erhebliche Verbesserungen ihrer Compliance-Position und der Effektivität ihres Risikomanagements.“ ²

Welche Technologien machen den Unterschied?

• KI-gestützte Risikoanalytik: KI-Tools helfen Organisationen, große Mengen operativer Daten kontinuierlich zu überwachen und sofort Anomalien zu kennzeichnen, die auf potenzielle Störungen oder Verstöße hinweisen.
• Automatisierte Überwachungsplattformen: Die Einrichtung automatisierter Überwachung mit nahezu Echtzeit-Datenfeeds ermöglicht die proaktive Identifizierung und Berichterstattung von Cyberbedrohungen, erfüllt die strengen Berichtsvorgaben von DORA und reduziert menschliche Fehler.
• Integrierte Risikomanagement-Tools: Flexible, leicht zugängliche Technologien helfen Finanzinstituten, umfassende Risikoüberprüfungen durchzuführen und Due-Diligence-Prozesse bei Drittanbietern zu optimieren – für einen einheitlichen Ansatz im Risikomanagement.

Durch die Reduzierung manueller Bewertungszeiten und die Verbesserung der Risikosichtbarkeit können Finanzinstitute eine proaktive Risikominderung etablieren, die zur Aufrechterhaltung einer Compliance-orientierten Unternehmenskultur beiträgt.

MEHR DAZU: Kroll-Bericht: Drittparteien als Risikofaktor für Finanzkriminalität

Von der Vorbereitung zur Resilienz: Was kommt als Nächstes?

DORA stellt eine bahnbrechende regulatorische Entwicklung mit erheblicher globaler Reichweite dar und erfordert von Organisationen weltweit, ihre Strategien zur operativen Resilienz zu überdenken.

• Durchführung umfassender Technologieprüfungen: Regelmäßige Audits gemäß DORA-Standards decken Technologie- und Compliance-Lücken auf, bevor sie problematisch werden.
• Investition in validierte Datensätze: Verlässliche Daten sind die Grundlage jeder resilienten Organisation. Mit Nexis Data+ erhalten Unternehmen Zugriff auf strukturierte, geprüfte und kontinuierlich aktualisierte Datensätze, die Risikoanalysen, Marktüberwachung und Due-Diligence-Prozesse entscheidend verbessern.
• Einsatz integrierter Risikomanagement-Technologie: Durch den kombinierten Einsatz moderner Datenlösungen und Due-Diligence-Tools lassen sich Compliance-Prozesse vereinfachen, Resilienz stärken und regulatorische Exzellenz nachhaltig sichern. Lösungen wie Nexis Diligence+ unterstützen Compliance-Teams dabei, Partner, Lieferanten und Drittparteien systematisch zu prüfen, Risiken zu erkennen und regulatorische Anforderungen effizient zu erfüllen.

¹ Global financial ransomware attack rate 2024, statista.com, 10.07.2024
² Europe’s new resilience regime: The race to get ready for DORA, mckinsey.com, 28.06.2024