Kritische und wichtige Funktionen: weiterhin Interpretationsspielraum
Ein zentrales Thema bleibt die Bestimmung kritischer oder wichtiger Funktionen. In der Praxis bestehen weiterhin Unsicherheiten, insbesondere bei der konsistenten Einordnung über unterschiedliche Institute hinweg. Governance, Vorgehensweise und Methodik liefern weiter viele – z.T. auch von den Instituten gewollte – Spielräume. Fest steht: Einheitliche Auslegung und belastbare Aufsichtserwartungen fehlen bislang.
Drittparteienmanagement unter neuen Vorzeichen
Besonders deutlich wird der Umsetzungsaufwand beim Drittparteienmanagement. Die Anforderungen sind nicht nur umfangreich, sondern treffen auf ein Umfeld, das sich geopolitisch deutlich verändert hat. Abhängigkeiten von IT-Dienstleistern werden heute anders bewertet als noch vor wenigen Jahren – Stichworte sind Konzentrationsrisiken, Herkunft von Dienstleistern und strategische Autonomie. Für viele Institute bedeutet das, bestehende Bewertungen grundlegend zu überarbeiten und neue Risikoperspektiven zu integrieren, ohne dass hierfür bereits eingespielte Standards existieren.
DORA-Meldewesen schwerwiegender IKT-Vorfälle: viel Struktur, wenig Klarheit
Das Meldewesen für schwerwiegende IKT-Vorfälle nach DORA zeigt exemplarisch, dass detaillierte Vorgaben nicht automatisch zu mehr Klarheit führen. Zwar sind insbesondere Prozesse und Fristen formal definiert, in der praktischen Anwendung bleiben jedoch zahlreiche Abgrenzungs- und Auslegungsfragen offen: So sind einige Kriterien wie die Kundenbetroffenheit oder Datenverlust sehr interpretationsfähig und führen leicht dazu, dass Vorfälle durch das Erreichen von zwei (unklaren) Kriterien zu schwerwiegenden und damit meldepflichtigen werden. Auch auf der Ebene des Meldeportals gibt es Herausforderungen durch Mehrfacheingaben und nicht immer intuitive Masken, die für viele Institute einen erheblichen operativen Aufwand bedeuten, während sich der konkrete Mehrwert dadurch nicht größer wird. Wir werden sehen, inwiefern perspektivisch strukturelle Vereinfachungen – etwa über einen Single Entry Point im Meldewesen – tatsächlich zu einer Entlastung beitragen.
Ausblick: entscheidend wird die Aufsichtspraxis
Nach einem Jahr DORA lässt sich festhalten: Die regulatorische Architektur steht, die operative Reife ist noch im Aufbau. Entscheidend für die nächsten Jahre wird sein, wie sich die Aufsichtspraxis entwickelt – insbesondere in Bezug auf Proportionalität, Auslegungsspielräume und Priorisierung. Erst mit klaren, konsistenten Prüfungs- und Aufsichtserfahrungen wird sich zeigen, ob DORA sein Ziel erreicht: die digitale Resilienz des Finanzsektors nachhaltig zu stärken, ohne Institute dauerhaft zu überlasten.