D wie DORA

A wie Anton,

B wie Berta,

C wie Cäsar,

D wie Dora?

Wir kennen alle die Buchstabiertafel. In einem Artikel habe ich gelesen, dass es Bestrebungen gibt, die Personennamen durch deutsche Städtenamen zu ersetzen. Aus Dora soll Düsseldorf werden. Ob sich das allerdings praktisch durchsetzen würde – fraglich.

Beim Management von Risiken im Zusammenhang mit Informations- und Kommunikationstechnologien (IKT-Risiken) wird uns DORA hingegen noch lange beschäftigen. Es handelt sich bei DORA nämlich um den Digital Operational Resilience Act (Verordnung zur Stärkung der digitalen operativen Resilienz). Als Teil der Strategie zur Digitalisierung des Finanzsektors - neben DORA gibt es weitere Verordnungen zu Kryptowerten und zum Massenzahlungsverkehr – soll der EU-Finanzsektor digitaler, einheitlicher, sicherer und verbraucherfreundlicher gestaltet werden.

Der Status Quo

Aktuell ist der EU-Finanzsektor von vielen uneinheitlichen Regelungen geprägt. So gibt es beispielsweise in Deutschland die BAIT für den Bankensektor und gleichzeitig die VAIT für Versicherungen. Auch über Ländergrenzen hinweg bestehen uneinheitliche Regularien. Zudem sind Vorschriften in den vergangenen zehn Jahren zu unterschiedlichen Zeitpunkten erarbeitet worden und behandeln IKT-Risiken dabei häufig nur mit untergeordneter Priorität. Als Konsequenz sind die Anforderungen an den Finanzsektor zur Eindämmung von IKT-Risiken fragmentiert und inkohärent und vor allem international tätige Banken bzw. Finanzdienstleister leiden unter uneinheitlicher Regulatorik. 

Möglicherweise arbeiten Sie selbst in der Banksteuerung und kennen die Probleme, die sich daraus ergeben. Rechtsunklarheiten, komplexe Regulierung, hoher administrativer Aufwand und damit hohe finanzielle Kosten sind nur ein Teil der Schwierigkeiten.
Hier schafft DORA durch eine einheitliche, EU-weite Regelung zur Abwehr von IKT-Risiken Abhilfe.

Worum geht es in DORA?

In DORA werden verschiedene Themenbereiche behandelt, von denen ich vier näher vorstellen möchte.

Von der Governance wird gefordert, dass notwendige Mittel für die Cybersicherheit bereitgestellt werden und dass es klare Verantwortlichkeiten inklusive einer Rollen- und Rechtevergabe gibt. Zum IAM hat mein Kollege Andreas Bruckner bereits einen Blog-Eintrag geschrieben. Schauen Sie doch dort auch einmal vorbei (https://www.banking-experts.blog/2021/04/von-der-pflicht-zur-kur-so-nutzen-sie.html). Für die Einhaltung der IKT-Richtlinien ist zudem die Geschäftsleitung verantwortlich.


Die Anforderungen an das IKT-Risikomanagement beziehen sich auf spezifische Fähigkeiten und Funktionen, die Finanzunternehmen zukünftig erreichen beziehungsweise erfüllen müssen. Dazu zählen beispielsweise die Identifizierung von Bedrohungen, Angriffsprävention, Aufdeckung von Schwachstellen oder auch Wiederherstellungspläne. Verpflichtend ist hierbei die Verwendung von international anerkannten technischen Normen zur Prävention von IKT-Risiken.

Digitale operationelle Belastbarkeitstests zielen darauf ab, IKT-Systeme regelmäßig auf die Präventions-, Erkennungs-, Reaktions- und Wiederherstellungsfähigkeiten zu testen, um potenzielle IKT-Schwachstellen aufzudecken und zu beheben. Als mögliche Testarten listet DORA unter anderem Gap-Analysen, Quellcodeprüfungen, szenariobasierte Tests, End-to-End-Tests oder bedrohungsorientierte Penetrationstests auf. Insbesondere bei den Penetrationstests ist zudem besonders auf die Eignung der Prüfer zu achten.

Ein besonderes Augenmerk legt DORA auf das IKT-Drittrisiko. In der IKT-Strategie von Finanzunternehmen spielt die Auslagerung von digitalen Funktionen eine wichtige Rolle. Dadurch können diese sich auf ihre Kernkompetenzen konzentrieren. Funktionieren können Auslagerungen aber nur, wenn die Institute die Risiken weiterhin unter Kontrolle behalten. DORA hilft, prinzipienbasierte Regeln festzulegen, an denen sich Finanzinstitute bei der Überwachung von Risiken im Zusammenhang mit der Auslagerung von IKT-Dienstleistungen orientieren können und gibt z.B. Mindestanforderungen an die Vertragsgestaltung vor.

Mein Fazit

DORA wird meiner Meinung nach ein wichtiger Baustein zur Vereinheitlichung des EU-Finanzsektors sein und damit der weiteren Europäisierung im Finanzwesen dienen. Ich finde es gut, wenn in jedem EU-Land einheitliche Bedingungen gelten und jeder Wettbewerber den gleichen Regeln unterliegt. Die EU wächst erfreulicherweise immer weiter zusammen und auch der Finanzsektor soll diese bereits begonnene Entwicklung weiter gehen.

Ihre Meinung zu DORA interessiert mich ebenfalls. Was halten Sie von der Vereinheitlichung der Anforderungen an das IKT-Risikomanagement im Finanzsektor? Lassen Sie es mich gerne in den Kommentaren wissen.


Viele Grüße


Sebastian Nagel

RegTech News! 15. RegTech-Beitrag "Compliance im digitalen Krypto-Wandel" ist jetzt online

Liebe Leserinnen und Leser, 

RegTech ist im Dialog mit Finanzinstituten nicht mehr wegzudenken. Aber wofür steht der Begriff, was bedeutet er in der Praxis, welche Anwendungsfälle bestehen im Compliance-Umfeld, wie fügt sich RPA in den Themenkomplex ein?

All diese Fragen behandeln wir seit längerem in einer Reg-Tech Beitragsserie. Natürlich wollen wir Ihnen unseren Blog-Lesern diese Beiträge nicht vorenthalten!

Deshalb erhalten Sie ab sofort zu jedem neuen RegTech Beitrag News auf diesem Blog und heute geht es weiter mit dem 15. RegTech Beitrag:

Compliance im digitalen Krypto-Wandel

Die Dynamik des digitalen und regulatorischen Wandels erhöht sich - Compliance befindet sich mitten in einem Transformationsprozess: Ende Juni 2021 trat das eWpG (Gesetz über elektronische Wertpapiere) in Deutschland in Kraft, Ende 2022 soll die EU Verordnung MiCA  (Markets in Crypto Assets) zur Anwendung kommen, im April 2021 hat die EU-Kommission einen ersten Vorschlag für einen Rechtsrahmen zum Thema künstliche Intelligenz („KI-Verordnung“)  vorgelegt und Ende Juni hat die BaFin die erste Erlaubnis  für die neue Finanzdienstleistung des Kryptoverwahrgeschäfts erteilt.

  Jetzt weiterlesen

Alle weiteren Informationen und Leistungen rund um das Thema RegTech erhalten Sie hier.

Viel Spaß beim Lesen
Ihre Sandra Reinhard


PS: Lesen Sie auch unsere anderen Beiträge zum Thema RegTech!

Den Einkauf zahlt der Kühlschrank

Sind Sie auch im Besitz eines intelligenten Kühlschranks?

Jeder von uns kennt diese Situation: Der Kaffee ist gerade durchgebrüht und Sie gießen sich eine heiße Tasse ein. Ein super Start in den Morgen, um den Tag vollgestopft mit virtuellen Meetings gut zu überstehen. Nicht alle von uns mögen ihn schwarz, daher ein Schuss Milch dazu. Sie öffnen den Kühlschrank und mal wieder ist die Milch leer. Tja, jetzt kann man sich ärgern, in den nächsten Kiosk oder Supermarkt laufen und Nachschub kaufen. Das Problem ist, Sie haben noch 5 Minuten, bis der Konferenzmarathon startet. Wohl oder übel müssen Sie den Kaffee also ohne Milch trinken… Oder?
Jetzt stellen Sie sich mal eine andere Situation vor: Sie schauen in den Kühlschrank, Milch leer, aber im gleichen Moment klingelt es an der Haustür und ein Bote liefert Ihnen die fehlende Milch. Denn Sie sind glückliche*r Besitzer*in eines intelligenten Kühlschranks, der automatisch registriert hat, dass Lebensmittel fehlen, sie nachbestellt und auch gleich bezahlt hat. Das würde das Leben doch deutlich erleichtern, oder?

Bezahlen kann er noch nicht

Science-Fiction? Nicht ganz, denn technisch sind unsere Maschinen und Geräte bald so weit und könnten das obige Wunschszenario Wirklichkeit werden lassen. Schon heute haben wir Geräte, die zum Beispiel per Sprachbefehl Bestellungen aufnehmen können. Sensoren sind so weit entwickelt, dass sie bestimmte Situationen registrieren, Daten aufnehmen und auswerten können und daraus weitere Prozessschritte einleiten können. Geräte sind bereits untereinander vernetzt und werden zukünftig miteinander interagieren und Prozesse autonom ohne manuellen Eingriff abwickeln. Diese Entwicklung nimmt rasant zu. Von dem Fortschritt der Künstlichen Intelligenz ganz zu schweigen. Jetzt fragen Sie sich bestimmt: Warum habe ich noch keinen Kühlschrank, der meine Einkäufe bestellt und bezahlt? Eben genau das Bezahlen stellt noch eine große Herausforderung dar.

Rezept für das IoT-Payments: Es fehlt noch eine wichtige Zutat

Die Zukunft ist nicht nur ein intelligentes, selbstzahlendes Gerät, wie es unser Kühlschrank sein kann, sondern vor allem sind es auch flexible Modelle wie „nur das zahlen, was tatsächlich verbraucht wird“ und „kleinteilige Zahlungen“. Für diese IoT-Anwendungsfälle werden automatisierte und effiziente Zahlungsvorgänge in Echtzeit benötigt, die ohne menschliche Interaktion abgewickelt werden können, wir nennen sie mal IoT-Payments. Die Zahlungen werden programmierbar. Und genau hier stößt unser konventioneller Zahlungsverkehr jedoch an seine Grenzen. Es ist schlicht und einfach nicht auf IoT ausgerichtet. 

Es gibt bereits heute Lösungen, die das konventionelle Zahlungssystem mit einer Anwendung, die auf der innovativen Distributed-Ledger-Technologie (DLT) basiert, verbindet. Diese technische Brückenlösung, auch Triggerlösung genannt, kann programmierbare Zahlungen realisieren. Die Zahlungsabwicklung erfolgt weiterhin im konventionellen Zahlungssystem, während in der DLT-basierten Anwendung die Kommunikation der IoT-Daten von Maschinen und Geräten erfolgt. Das ist schon gut, jedoch noch nicht das Optimum. Denn es kommt immer noch zu einem Systembruch, da das Zahlungsmittel, sprich ein Euro-Token, nicht direkt in der DLT-Anwendung emittiert wird und somit keine Echtzeitabwicklung möglich ist. Sind digitale Währungen á la Stablecoin, digitaler Euro und sonstige tokenisierte Geldeinheiten noch die fehlende Zutat für das IoT-Payments-Rezept?

Zahlungen werden jetzt so richtig digital

Um ein „Internet of Payments“ Wirklichkeit werden zu lassen, können digitale Währungen durchaus eine große Rolle spielen. Sowohl der Privatsektor als auch die Europäische Zentralbank beschäftigen sich intensiv mit dem Potenzial von digitalen Währungen. Genau dieses Thema haben mein PPI-Kollege Savas Cetin und ich in einem Video-Beitrag, welches wir für den diesjährigen News-Marktplatz des Deutsche Bank Finanzforums erstellt haben, beleuchtet. Wir haben hier nicht nur das Beispiel mit dem intelligenten Kühlschrank und das Pay-pay-Use-Modell interaktiv veranschaulicht, sondern gehen auch auf das Thema der digitalen Wäh-rungen und IoT-Payments ein. Das Video ist unter dem folgenden Link abrufbar : https://www.youtube.com/watch?v=QtOhIi61vew&list=PLEpiAxKMjgPojcubMM_jUUckSfcF4ogn6&index=16


Viel Spaß beim Zuschauen!


Anja Kamping