DORA ist eine Zäsur – der Digital Operational Resilience Act stellt die Player in der Finanzbranche bis heute vor die Herausforderung, ihre IT- und Cyberresilienz zu optimieren. Seit dem 17. Januar 2025 gilt DORA verbindlich in der gesamten Europäischen Union. Die Umsetzung ist komplex und wird Banken, Versicherungen und andere Finanzdienstleister auch weiterhin fordern – 2025 und darüber hinaus. Wie sieht die Post-DORA-Zeit aus? Wie kann man den laufenden regulatorischen Wandel effizient meistern? Und welche Rolle spielt Sopra Financial Technology (SFT) als Partner für eine nachhaltig erfolgreiche DORA-Compliance?
Eine der größten aktuellen Herausforderungen besteht in den lange Zeit unklaren Anforderungen. Viele Detailvorgaben wurden erst spät konkretisiert, teilweise sogar erst nach dem 17. Januar 2025, sodass Unternehmen weiterhin mit Unsicherheiten kämpfen. Zusätzlich stellt der hohe Verwaltungsaufwand eine erhebliche dauerhafte Belastung dar – schließlich geht es darum, die Anforderungen nicht nur umzusetzen, sondern langfristig und nachhaltig in die IT- und Compliance-Strukturen zu integrieren. Die verbindliche Erstellung von Risikoberichten, Informationsregistern und Vorfallsmeldungen erfordert dauerhaft erhebliche Ressourcen. Hinzu kommt, dass die Anpassung von Verträgen Zeit benötigt: Viele Unternehmen stehen immer noch vor der Aufgabe, hunderte oder gar tausende IKT-Dienstleister-Verträge zu überprüfen und gegebenenfalls an die neuen Standards anzupassen.
DORA in der Praxis: die vier zentralen Handlungsfelder
Sopra Financial Technology begleitet zahlreiche Kunden bei der Erfüllung der Kernaufgaben. Dazu gehört das IKT-Risikomanagement, das darauf abzielt, potenzielle Risiken frühzeitig zu identifizieren und mithilfe moderner Sicherheitssysteme wie SIEM-Tools zu minimieren. Ebenso wichtig ist das IKT-Drittparteien-Risikomanagement, bei dem alle externen Dienstleister transparent erfasst und in einem Informationsregister dokumentiert werden. Dieses musste bis 28. April 2025 erstmalig an die BaFin übermittelt werden. Darüber hinaus hilft SFT beim IKT-Vorfallsmeldewesen, in dem Sicherheitsvorfälle korrekt klassifiziert und zeitnah an die zuständigen Behörden gemeldet werden. Zusätzlich unterstützt das Unternehmen beim Testen der operativen digitalen Resilienz, für die verpflichtend alle drei Jahre Threat-Led Penetration Tests (TLPT) durchgeführt werden müssen, um Sicherheitslücken aufzudecken.
Als erfahrener Anbieter im Bereich digitaler Banktechnologien und regulatorischer Compliance unterstützt Sopra Financial Technology Finanzunternehmen in allen Phasen der DORA-Umsetzung. Insbesondere durch die langjährige Tätigkeit für Bankkunden konnte SFT ein nahezu einzigartiges Know-how aufbauen, das auch anderen Finanzdienstleistern zur Verfügung gestellt wird, getreu dem Motto: We love to run compliant financial technology.
Stetige Unterstützung – in der Post-DORA-Ära
Sopra Financial Technology bietet kontinuierliche Unterstützung, um DORA nicht nur einzuführen, sondern Unternehmen dauerhaft optimal aufzustellen. Die Compliance-Spezialisten von SFT stellen mit ihrer umfassenden Regulatorik-Expertise sicher, dass alle technischen Produkte den neuesten regulatorischen Anforderungen entsprechen und stets konform sowie up-to-date bleiben. Darüber hinaus werden die Kunden bei der strategischen Prozessoptimierung unterstützt – von der Vorbereitung auf Audits bis hin zur effizienten Umsetzung regulatorischer Vorgaben in der 2nd Line.
Auch in den Bereichen Technologie und Sicherheit setzt das Unternehmen höchste Maßstäbe: Der ISO 27001-zertifizierte IT-Betrieb erfüllt sämtliche DORA- und KRITIS-relevanten Anforderungen. Zudem werden alle Services individuell an die Größe und die spezifischen Anforderungen der Kunden angepasst – von kleinen Leasingunternehmen über Versicherer bis hin zu global agierenden Konzernen.
MathiasWeinert istChief Risk Officerbei der SopraFinancial Technology GmbH.