DORA-Umsetzung: „Die Uhr tickt“

Ab Januar tritt der Digital Operational Resilience Act (DORA) in Kraft und bringt für Banken komplexe Aufgaben mit sich. Im Interview sprechen Thomas Trenner von Cisco und Claudia Jandl von NTT DATA über den aktuellen Stand der Umsetzung, den Einsatz von Künstlicher Intelligenz und die Frage, wie flexibel Cybersicherheit in einem dynamischen Umfeld bleiben kann.

Von Redaktion

22. Mai 2025

www.GettyImages.de/wenich-mit

BANKINGNEWS: Am 17. Januar endet die Frist für die Umsetzung von DORA. Frau Jandl, ist die Bankbranche aus Ihrer Sicht darauf vorbereitet?
Claudia Jandl: Es stimmt, die Uhr tickt. Ich glaube, es wäre vermessen zu sagen, dass die Banken hier zu wenig tun würden. Was wir in unseren Interaktionen mit den Kunden sehen, ist, dass hart an der Umsetzung gearbeitet wird, und vor allem, dass sich auch alle der Dringlichkeit des Themas bewusst sind. Tatsächlich tauchen Themen auf, die komplexer sind als ursprünglich angenommen. Der Aufwand ist groß und ich glaube, die Vielschichtigkeit macht das Thema so herausfordernd.

Können Sie das näher erläutern?
Jandl: In der Bankbranche wurde schon viel in Sicherheitsmaßnahmen investiert, aber die müssen natürlich andauernd aktualisiert werden. Das ist die Herausforderung. Und das Risikomanagement ist nochmal eine prozessuale Komponente, die weitere Komplexität hinzufügt, auch was die Berichterstattung betrifft. Es wird auch noch einiges im Nachgang auf die Banken zukommen. Das Konzept ist das eine, aber dieses tatsächlich auch dauerhaft am Laufen zu halten, ist natürlich aufwändig und erfordert jetzt auch schon eine gewisse Vorbereitung und auch Notfallpläne, die auch einen großen Teil der Verordnung darstellen. Deswegen ja, der Stichtag ist relevant, aber das wichtige ist natürlich, sich so aufzustellen, dass alles im Betrieb auch weiterhin so funktioniert.

Herr Trenner, im BANKINGCLUB-Webinar mit Cisco ging es neben DORA auch um das Thema Künstliche Intelligenz. Ist KI in diesem Zusammenhang eher ein Marketing-Buzzword oder gibt es bei der Umsetzung tatsächlich relevante Use Cases?
Thomas Trenner: Die gibt es in der Tat. Natürlich wird aktuell viel über KI gesprochen, aber wir sehen mittlerweile seit dreißig bis vierzig Jahren Anwendungen basierend auf neuronalen Netzen. Auch der Bereich Risikomanagement hat sehr starke Anwendungsszenarien für Künstliche Intelligenz gesehen. Ende 90er, Anfang der 2000er-Jahre gab es etwa die Risikosimulationsmodelle, die Monte-Carlo-Simulation, basierend auf neuronalen Netzen. Im Jahr 2024 sehen wir jetzt eine Hyperkonnektivität – eine Welt, in der alles miteinander vernetzt ist. Und das führt dazu, dass wir einen explosionsartigen Anstieg von Datenmengen sehen. Parallel dazu gibt es auch eine signifikante Verbesserung der Rechenleistungen. Das heißt, wir sind heute in der Lage, basierend auf Algorithmen komplexe Muster in großen Datennetzen schnell zu erkennen. Und das ist natürlich auch für regulatorische Anforderungen wie DORA relevant.

Wenn man Regulierung in Gesetze gießt, hat man erstmal für einige Jahre ein festes Rahmenwerk. Besteht dadurch nicht die Gefahr, dass in so einem dynamischen Umfeld wie Cybersicherheit neue Entwicklungen dadurch nicht rechtzeitig berücksichtig werden können?
Trenner: Ja, diese Gefahr besteht durchaus, wenn Regulierung in einem dynamischen Umfeld wie der Cybersicherheit in starre Gesetze gefasst wird. Cybersicherheit ist ein Bereich, der sich aufgrund technologischer Innovationen und neu auftretender Bedrohungen ständig weiterentwickelt. Folgende Punkte verdeutlichen die Problematik: Technologien wie Künstliche Intelligenz, Quantencomputing oder das Internet der Dinge (IoT) können innerhalb weniger Jahre völlig neue Sicherheitsanforderungen schaffen, die ein starrer gesetzlicher Rahmen nicht zeitnah adressieren kann. Außerdem entwickeln Cyberkriminelle und Angreifer ständig neue Taktiken, Techniken und Verfahren. Ein regulatorischer Rahmen, der auf aktuellen Bedrohungen basiert, könnte also schnell veraltet sein. Und des Weiteren könnten zu starre Gesetze Unternehmen und Organisationen daran hindern, flexibel auf neue Entwicklungen zu reagieren oder innovative Sicherheitslösungen zu entwickeln, da sie an die gesetzlichen Vorgaben gebunden sind. DORA ist eine Kombination aus einem festen regulatorischen Rahmen und dynamischen Elementen, was dieses in gewisser Weise flexibel macht und somit die digitale Widerstandsfähigkeit von Finanzunternehmen in der EU stärkt.