DORA: Die nächste EU-Regulierung wird auch UNS betreffen!
Das Europäische Parlament hat kürzlich die DORA verabschiedet, die die Versicherungsbranche zu umfangreichen Cybersicherheitsmaßnahmen verpflichtet.
DORA ist die Abkürzung für Digital Operational Resilience Act.
Resilienz oder Widerstandsfähigkeit ist das Schlüsselwort dieser EU-Vorgaben. DORA soll die „Betriebs-Stabilität“ der digitalen Systeme im Finanz-/Versicherungssektor sicherstellen. Das wird eine große Herausforderung für die Verantwortlichen von Technik aber auch Organisation bis hinauf zur Geschäftsführung. Investitionen und neue Aufgaben für die Risikoanalyse und Schulungen werden die regelmäßige Folge sein.
Vorige Woche konnte man in den Fachmedien lesen, dass der Fachverband der Versicherungsmakler mitteilte, dass die Makler nicht betroffen seien und man sich – sinngemäß – zurück lehnen könne.
Leider, so wird es unserer Ansicht nach nicht sein. Warum, das erfahren Sie unten anbei.
Warum DORA?
Klar ist, dass die Digitalisierung auch in der Finanz- und Versicherungsbranche – nicht zuletzt wegen der Corona-Pandemie und den damit verbundenen Lockdowns – stark an Fahrt aufgenommen hat.
Digitalisierung bietet viele Vorteile, Online-Konferenzen sparen etwa (Fahr-)Zeit und Geld und lassen das Corona-Virus außen vor. Auch in der Abwicklung etwa von Kundenaufträgen haben digitale Technologien im Hintergrund viele Verbesserungen und Beschleunigungen gebracht.
Aber zunehmende Digitalisierung bringt auch verstärkt Risiken für alle Beteiligte (Hackerangriff, Identitäts-Diebstahl, Betrügereien aller Art, etc.).
Und durch die immer stärkere Vernetzung befürchtet die EU, dass ein Angriff, eine Störung auf einen wichtigen, womöglich grenzüberschreitend tätiges Unternehmen, weitreichende Auswirkungen auf andere Unternehmen, ganze Sektoren, die ganze Wirtschaft haben könnte.
Ziel der DORA: Die Widerstandsfähigkeit der Finanzdienstleistungsbranche und Versicherer zu stärken.
Mit einem umfangreichen Regelwerk wird versucht, die Sicherheit etwa der IT-Systeme zu testen und sicherzustellen. Damit eben schwerwiegende IT-Probleme etwa durch Cyber-Angriffe, etc. möglichst vermieden werden können.
Auch das Nutzen von Drittanbietern wie z.B. von Cloud-Diensten wird bestimmte Bedingungen erfüllen müssen.
Das Versicherungsunternehmen wird also in ihren Risiko-Analysen weitere Probleme berücksichtigen und möglichst ausschließen müssen.
Verärgert könnte man sagen, es geht wieder nur darum vieles im Unternehmen zu dokumentieren (Motto: welche Risiken habe ich, was mache ich dagegen, etc.). Dann wird vorgeschrieben, wann man wo und wie „Vorfälle“ melden müsse. Weiters wird man Stresstests entwickeln, die die Branche über sich ergehen lassen muss. Die EU wird „kritische IT-Dienstleister“ definieren, diese besonders stark kontrollieren und im Vergehensfall auch strafen. Etc. Also viel Bürokratie und Dokumentation.
Fakt ist jedoch, dass die EU-Kommission die durch „operative Vorfälle“ verursachten Kosten im EU-Finanzsektor auf bis zu 27 Milliarden Euro pro Jahr schätzt. Und mit steigendem Digitalisierungs-Trend wird das weiter zunehmen.
Daher wird die EU den Unternehmen vorschreiben, dass sie mehr in Cybersicherheit investieren und die Sicherheit der IT-Systeme kontinuierlich überwachen müssen, um einen angemessenen Schutz zu gewährleisten. Unternehmen werden Mechanismen einführen müssen, um „nicht normale Aktivitäten“ rasch erkennen und Schwachstellen finden zu können. Und ebenso werden Notfall-Pläne erstellt werden müssen, um die Fortführung des Betriebes zu ermöglichen. Und und und.
Auch Versicherungsvermittler werden betroffen sein!
Vorige Woche konnte man in den Medien die WK-Meldung lesen, dass „Versicherungsmakler nicht betroffen seien“, sie sich also – sinngemäß – entspannt zurück lehnen könnten.
Doch diese Aussage erscheint uns trügerisch, denn so wird es wohl nicht sein.
Ja, es gibt auch bei dieser EU-Richtlinie den „Grundsatz der Verhältnismäßigkeit“, das heißt vereinfacht gesagt, dass bei „Kleinen“ ein anderer Maßstab angelegt werden soll, wie bei den Großen. Und es wird sicher auch Unterschiede geben, wenn sich das Risiko bei einem Geschäftsbereich stark von einem anderen Geschäftsmodell unterscheidet.
Aber zu sagen, Versicherungsmakler seien nichtbetroffen, erscheint uns mutig.
WAS WIRD PASSIEREN?
Ganz einfach, die Großen, also etwa unsere Versicherungspartner werden unter die DORA fallen. Sie alle müssen die DORA umsetzen, die eigenen Systeme ganz auf die neuen technischen Sicherheits-Anforderungen ausrichten. Und die firmeninternen Prozesse entsprechend aufstellen. Usw. usf.
Und dann wird man sich ansehen, mit welchen Partnern man zusammenarbeitet und schon sind wir bei den uns Versicherungsmittlern.
Und diesen Vermittlern wird man ganz exakte Vorgaben machen, was man tun muss und auf keinem Fall tun darf.
Denken Sie nur an die DSGVO, wo der Datenverantwortliche auch alle Aufgaben, Pflichten und Verantwortungen auf den Auftragsverarbeiter überbindet. Und es wird auch bei DORA eine lange Liste geben, unter welchen Bedingungen man künftig weiter zusammen arbeiten wird können.
Das wird wohl Vorgaben hinsichtlich der eigenen verwendeten EDV- und IT-Technik umfassen, auch die Verpflichtung, die eigenen Risiken nach den Kriterien der DORA zu prüfen und Risken bewusst zu vermeiden, etc. Um einen angemessenen Schutz gewährleisten zu können.
Wer diese DORA-Anforderungen des Versicherers nicht erfüllen kann oder will, wird einfach von der Zusammenarbeit ausgeschlossen werden.
Daher werden wir vom IVVA die DORA weiter intensiv beobachten und Sie – ebenso wie bei der IDD und DSGO – bei der praktischen Umsetzung unterstützen.
Zur Rubrik „IDD leicht gemacht“ kommen Sie hier…
Zur Rubrik „DSGVO leicht gemacht“ kommen Sie hier…
Beste Grüße vom IVVA Team
Weiterführende Links:
Der Entwurf der Europäischen Kommission kann hier nachgelesen werden:
https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:52020PC0595&from=DE
Quellen:
https://www.myrasecurity.com/de/digital-operational-resilience-act/#dora-auswirkungen
https://www.ey.com/de_de/financial-services/dora-warum-cyber-resilienz-einen-europaischen-mantel-braucht
https://www.myrasecurity.com/de/digital-operational-resilience-act/