Autor: Michael Baldauf, Sen. Director & Industry Principal Banking EMEA bei Pegasystems
Am 17. Januar 2025 ist es soweit. Ab dann gilt für fast alle in der EU operierenden Banken und Finanzinstitute der Digital Operational Resilience Act der EU, kurz DORA. Damit kommen auf die Finanzinstitute neue komplexe Aufgaben zu, die ohne Prozessunterstützung, Automatisierung und KI nicht zu bewältigen sind.
Mit dem Digital Operational Resilience Act steht ein neues Regelwerk für den Finanzsektor unmittelbar vor der Tür. Die neue EU-Verordnung regelt die digitale operationale Resilienz im Finanzsektor, um europäische Banken und den europäischen Finanzmarkt insgesamt besser vor Cyber-Attacken und ITK-Risiken zu schützen. Damit ist erstmals eine einheitliche Regelung geschaffen, die verschiedene existierende Anforderungen und Vorgaben an die operative Resilienz und das operative Risikomanagement von Banken zusammenführt. DORA schließt damit die Lücke zwischen den bislang separaten Regelungen in Sachen Risikomanagement und Outsourcing sowie den Vorgaben bezüglich Security und Compliance der Informations- und Kommunikationstechnologie (ITK).
Regulierung auf allen Ebenen
Für Finanzinstitute bedeutet diese Regelung einen erheblichen Mehraufwand. Es ist daher abzusehen, dass die Kosten der Finanzinstitute für die Erfüllung von ITK-bezogenen Compliance-Vorgaben massiv steigen werden. Immerhin gilt es, die DORA-Regeln in fünf Geltungsblöcken umzusetzen:
- Risiko- und Governancemanagement der ITK
- Management und Berichterstattung ITK-bezogener Vorfälle
- Testen der digitalen operationalen Resilienz einschließlich Threat-Led Penetration Testing (TLPT)
- Management des ITK-Drittparteienrisikos und der ITK-Dienstleister, wie beispielsweise Onboarding, Supply Chains oder Vertragsgestaltung
- interner und externer Austausch von Informationen.
Bei der Erfüllung dieser Aufgaben müssen verschiedenste Abteilungen unterhalb des Vorstands zusammenarbeiten, die aktuellen Verträge sichten, gegebenenfalls nachverhandeln und gemeinsam neue Prozesse schaffen. Das betrifft die IT-, Risk- und Compliance-Abteilungen ebenso wie die Rechtsabteilungen. Es ist zu erwarten, dass sich dafür eine neue Koordinations- und Leitungsfunktion im Sinne eines Operational Resilience Officer (ORO) als notwendig und sinnvoll herauskristallisieren wird. Besonderes Augenmerk gilt dabei den kritischen oder wichtigen Funktionen, deren Ausfall eine erhebliche Beeinträchtigung der finanziellen Leistungsfähigkeit, der Geschäftsfortführung oder regulatorischer Art darstellen würde.
Kein DORA ohne Automatisierung (und KI)
Angesichts der Aufgabenfülle und -komplexität ist jetzt schon klar, dass DORA ohne eine weitgehende Automatisierung von Prozessen nicht zu erfüllen sein wird. Aus der Umsetzung der KYC-Vorgaben (Know your Customer) können die Banken eine Menge aus den Erfahrungen mit komplexen Regelwerken, der Case-Automatisierung oder dem Auto-Routing mitnehmen. Als typische Einsatzbereiche sind unter anderem das automatisierte Erkennen, Behandeln und Melden von Intrusionsversuchen, Echtzeit-Analysen und Reporting, die vorausschauende Risiko-Identifizierung, die Informationsbeschaffung und -qualifizierung, das Management von Testverfahren und -ergebnissen sowie das Berichtswesen denkbar. Dafür können unterstützend alle aktuellen Spielarten von KI (analytisch, prediktiv, generativ) genutzt werden.
Auch das Thema Schatten-IT erfährt durch DORA neue Brisanz. Damit rücken Low-Code-Plattformen verstärkt in den Fokus, da dort in den letzten Jahren entwickelte Fachbereichslösungen zum Risiko werden können. Der interne Softwareentwicklungs-Prozess selbst muss also ebenfalls DORA-konform aufgestellt werden, um mehr Anwender in die Entwicklung einbinden zu können.
DORA ist nicht das Ende, sondern erst der Anfang
DORA ist aller Voraussicht nach nicht das Ende einer Entwicklung, sondern deren Anfang, denn die Komplexität regulatorischer Anforderungen rund um das Thema OpResilience wird weiter steigen. Anpassungen und Erweiterungen sind damit vorprogrammiert. Gleichzeitig steht Banken und Finanzdienstleistern mit DORA endlich ein zentraler Katalog von Regularien zur Verfügung, mit dem sich das OpRisk Management transparent messen und bewerten lässt, um objektiv zwischen gutem und schlechtem zu unterscheiden. Es ist daher sehr wahrscheinlich, dass die Qualität des Risikomanagements sich zu einem weitaus größeren, selbstständigen Faktor entwickelt und zukünftig auch bei der Bewertung, Einstufung und gegebenenfalls Sanktionierung von Banken eine wichtige Rolle spielen kann.
Über Pegasystems
Die Plattform von Pegasystems (NASDAQ: PEGA) ermöglicht führenden Unternehmen weltweit die Erschließung von Transformations-Ergebnissen durch Echtzeit-Optimierung. Mit KI-gestützter Entscheidungsfindung und Workflow-Automatisierung lösen Anwender vielfältige geschäftliche Herausforderungen – von der Optimierung des Kundenservice über die Automatisierung von Dienstleistungen bis hin zur Steigerung der betrieblichen Effizienz. Pegasystems entwickelt seit 1983 seine skalierbare und flexible Architektur ständig weiter, um Unternehmen dabei zu helfen, die heutigen Kundenanforderungen zu erfüllen und sich gleichzeitig kontinuierlich auf die Zukunft vorzubereiten.
Weitere Informationen sind unter http://www.pega.com/de verfügbar.
Ansprechpartner
Christina Haslbeck
Brandmacher GmbH
Sendlinger-Tor-Platz 6
80336 München
Telefon: 089-59997-702
christina.haslbeck@brandmacher.de