Die Umsetzung der Vorgaben aus dem Digital Operational Resilience Act (DORA) der Europäischen Union ist für Finanzinstitute von entscheidender Bedeutung. Wie gelingt es Banken, Versicherungen und anderen Finanzdienstleistern, bis zum Stichtag im Januar 2025 ihre digitale Widerstandsfähigkeit im Sinne der Verordnung zu stärken? Toolbasiert sind effiziente und umfassende Gap-Analysen zur Bestimmung des DORA-Reifegrades ebenso möglich wie die Erstellung, Ausführung und Überwachung eines Umsetzungsplans.
Für Compliance-Verantwortliche in der Finanzindustrie ist die Einhaltung der DORA-Vorgaben nicht nur verpflichtend, sondern essenziell zur Stärkung der Abwehr gegen Cyberangriffe und zur Steigerung der betrieblichen Effizienz.
Eine gründliche Gap-Analyse ist der erste Schritt zur prüfungssicheren Umsetzung. DORA fordert Finanzinstitute auf, robuste IKT-Risikomanagement-Rahmenwerke einzuführen, die digitale Resilienz regelmäßig zu testen und die kontinuierliche Überwachung sowie Berichterstattung sicherzustellen. Das Versäumnis kann zu hohen Strafen, Betriebsstörungen und Reputationsverlusten führen. Eine sorgfältige Einhaltung der DORA-Anforderungen ist daher unerlässlich.
Warum Tool-Unterstützung für die Gap-Analyse?
Ein leistungsfähiges Projektmanagement-Tool ist für die Durchführung einer Gap-Analyse im DORA-Kontext unerlässlich. Ein solches Tool ermöglicht die regelmäßige Anpassung von Workflows, bietet Echtzeit-Tracking-Daten und verfügt über robuste Berichtsfunktionen.
Aus unserer Sicht kann ein Tool wie JIRA, die für die Gap-Analyse erforderlichen Schritte, gut abbilden. Dank seiner Integrationsfähigkeit bietet es einen nahtlosen Workflow und erweiterte Funktionalitäten. Basierend auf unseren Erfahrungen mit Finanzkunden empfehlen wir der Finanzindustrie die folgende Vorgehensweise:
Schritt-für-Schritt-Anleitung zur Durchführung einer toolbasierte Gap-Analyse
1. Projekt-Vorbereitung
- Blueprint nutzen: Ein schneller Start in die Gap-Analyse gelingt mit einer Vorlage, die die wichtigsten To Dos bereits enthält. Aus der Erfahrung mehrerer Vergleichsprojekte hat KPMG eine solche Projekt-Vorlage entwickelt, die es ermöglicht, direkt mit minimaler Vorbereitungszeit in die Gap-Analyse zu starten. Starten Sie im Tool also ein neues Projekt speziell für die DORA-Compliance.
- Projektrollen definieren: Weisen Sie den Teammitgliedern Rollen und Verantwortlichkeiten zu. Stellen Sie sicher, dass wichtige Stakeholder wie Compliance-Officer, IT-Manager und Risikomanagement-Experten einbezogen werden.
- Anforderungen auflisten: Alle DORA-Anforderungen– inklusive der technischen Regulierungs- und Umsetzungsstandards der europäischen Behörden – sind bereits in der KPMG-Projektvorlage enthalten. Erfassen Sie diese im Tool als einzelne Tickets und bewerten Sie sie. So lassen sich die Anforderungen thematisch strukturieren und konkrete Verantwortlichkeiten zuweisen.
- Priorisieren und zuweisen: Priorisieren Sie die Tickets nach ihrer Dringlichkeit und Bedeutung. Der KPMG-Benchmark mit den Details zum DORA-Reifegrad europäischer Finanzinstitute kann hier eine sehr gute Basis sein. Weisen Sie die Tickets den entsprechenden Teammitgliedern zu und halten Sie so alle Stakeholder informiert.
- Bestandsaufnahme durchführen: Erstellen Sie im Rahmen der Gap-Analyse ein umfassendes Inventar der aktuellen IKT-Systeme, Prozesse und Richtlinien Ihrer Organisation. Weisen Sie die relevanten Informationen den einzelnen DORA-Anforderung zu.
- Transparenz schaffen: Eine Verknüpfung der Informationen und Anforderungen untereinander sowie das Zuweisen zu einer Organisationseinheit und einem Verantwortlichen schafft Transparenz. Dokumentieren Sie dies im Tool, um eine strukturierte Ausgangsbasis zu haben.
- Gaps detailliert dokumentieren: Wo hat die Analyse Lücken zwischen den DORA-Anforderungen und dem Status Quo im Unternehmen ergeben? In der Anwendung lässt sich jedes identifizierte Gap detailliert beschreiben. Erfassen Sie die Risiken, die mit jedem Gap verbunden sind, und bewerten Sie deren potenzielle Auswirkungen. Die Verknüpfung von abhängigen DORA-Anforderungen untereinander gewährleistet eine ganzheitliche Betrachtung. Über spezielle Felder im Tool lassen sich je Anforderung der Compliance- Abdeckungsgrad, sowie die jeweils relevante Richtlinie aus dem Unternehmen identifizieren und auswerten.
- Visuelle Darstellungen nutzen: Stakeholder-orientierte Kommunikation ist ein kritischer Erfolgsfaktor bei der Umsetzung von DORA. Erstellen Sie Berichte und Dashboards in Jira, um die Ergebnisse Ihrer Gap-Analyse visuell darzustellen. Diese erleichtert das Verständnis und die Kommunikation der Ergebnisse an alle Stakeholder und reduziert den Reporting-Aufwand.
- Maßnahmen definieren: Entwickeln Sie spezifische Maßnahmenpläne zur Schließung der identifizierten Lücken. Diese Maßnahmen lassen sich als Aufgaben erfassen, es können Verantwortlichkeiten zugewiesen und der Fortschritt verfolgt werden. Stellen Sie Abhängigkeiten zwischen den Maßnahmen transparent dar.
- Ressourcen zuweisen: Stellen Sie sicher, dass die notwendigen personellen und finanziellen Ressourcen zur Umsetzung der Maßnahmen bereitgestellt werden. Eine initiale Planung in T-Shirt-Größen (z, B. von S bis L oder XL) ermöglicht eine erste Einschätzung.
- Umsetzung der Maßnahmen: Eine enge Überwachung des Fortschritts stellt die zeitgerechte Umsetzung der Maßnahmen sicher. Verfolgen Sie den Fortschritt in Echtzeit und nehmen Sie Anpassungen vor.
- Kontinuierliche Überwachung: Richten Sie im Tool regelmäßige Überprüfungen und Berichterstattungen ein, um den Fortschritt der Maßnahmen zu überwachen und sicherzustellen, dass die DORA-Compliance erreicht und aufrechterhalten wird.
Einhaltung der DORA-Anforderungen: eine komplexe, aber unverzichtbare Aufgabe für Finanzinstitute
Durch den Einsatz eines Tools wie Jira können Verantwortliche sowohl auf Management- als auch auf gesamtverantwortlicher Ebene (C-Level) eine systematische und effiziente Gap-Analyse durchführen und gezielte Maßnahmen planen und umsetzen. Das dient nicht nur der Erfüllung der regulatorischen Anforderungen – es stärkt auch die operative Resilienz und stellt die Kontinuität der Geschäftstätigkeit in einer zunehmend digitalen Welt sicher.
Die KPMG-Projektvorlage lässt sich darüber hinaus zur kontinuierlichen Steuerung und Überwachung der DORA-Compliance unter Berücksichtigung der Ebenen Ihres Target Operating Models (TOM) sowie externer Einflussfaktoren nutzen.
Die Autoren:
Julian Dersch ist Manager bei KPMG und unterstützt Finanzunternehmen dabei, ihre digitale Resilienz zu steigern. Sein Schwerpunkt liegt dabei unter anderem auf dem zielgerichteten Einsatz von Tools für die IT-Compliance.
Moritz Oßenbrink ist Assistant Manager bei KPMG und begleitet Banken, Versicherungen und IT-Finanzdienstleistern bei ihrer Digitalisierung. Im Fokus seiner Arbeit stehen Governance, Regulatorik und Informationssicherheit.