Ab Mitte Januar ist es so weit. Nein, gemeint ist nicht der Start ins neue Jahr; auch von der nächsten Ski­saison ist nicht die Rede – sondern von der DORA-Verordnung der EU, die am 16. Januar 2023 in Kraft getreten ist und deren Umsetzungsfrist am 17. Januar 2025 endet. DORA, der Digital Operational Resilience Act, stellt neue Regeln für die europäische Finanzbranche und Drittdienstleister aus dem Bereich Informations- und Kommunikationstechnik (IKT) zur Betriebsstabilität und ­Cyberresilienz auf. Diese reichen von Risiko­management über die Überwachung kritischer IKT-Dienstleister bis hin zu umfangreichem Reporting – trockene Themen, die aber für die Sicherheit und Stabilität des Finanzsystems wichtig sind.

„Besonders im Hinblick auf das Management der IKT-Dienstleister ist der administrative Aufwand für Finanzunternehmen im Rahmen der DORA-Verordnung beträchtlich“, sagt Robin Schmeisser. Schmeisser ist seit 2021 Geschäftsführer der Fabasoft Contracts GmbH, die Teil der Fabasoft Gruppe mit Sitz in Linz ist und Software für digitales Auslagerungsmanagement und Vertragsmanagement entwickelt. Er sieht zwei große Herausforderungen, denen Unter­nehmen bei den Berichts­pflichten von DORA gegenüberstehen: die fehlende Zeit bis zur Umsetzungsfrist und den hohen manuellen Bearbeitungsaufwand.

Die Software „Fabasoft DORA“ soll es Unternehmen leicht machen, diese Hürden zu meistern. Das Tool unterstützt Finanzunternehmen dabei, ihre Auslagerungen an IT-Dienstleister digital zu verwalten und zu kontrollieren. „Wir sehen in der Praxis speziell bei der Erstellung des Informationsregisters noch Aufholbedarf“, sagt Schmeisser. Dieses Register soll Aufsichtsbehörden eine Übersicht über alle Dienstleister geben, von denen ein Unternehmen IT-Services bezieht. Zwar wurde die Deadline für die Einreichung des Registers kürzlich auf Ende April verschoben – doch aufgrund seiner Komplexität und des damit verbundenen Arbeitsaufwands haben viele Unternehmen Schwierigkeiten, die Vorgaben rechtzeitig umzusetzen.

Dass es schwer zu erstellen ist, zeigte auch ein Dry Run der Euro­päischen Aufsichtsbehörden, bei dem EU-weit Unternehmen ein erstes Register erstellen und an die Behörden übermitteln konnten. „Viele der Betriebe stellten fest, dass die Erzeugung dieses Output-Formats sehr anspruchsvoll ist“, so Schmeisser.

Das Informationsregister ­bestehe aus 15 unterschiedlichen Tabellen, erklärt er, die inhaltlich an zahlreichen Stellen ineinandergreifen. „Bis dato setzen die meisten Unternehmen bei der Berichterstellung auf herkömmliche Tabellenkalkulationsprogramme, bei denen die Eingabe der Daten händisch erfolgt“, erklärt Schmeisser. Änderungen müssen dann an jeder Stelle einzeln aus­gebessert werden.

Fabasoft DORA hingegen ­vermeidet Inkonsistenzen und manuellen Arbeitsaufwand, indem es das Informationsregister und andere Prüfberichte automatisch erstellt. Dafür bezieht die Software den Großteil der Informationen aus den bestehenden Verträgen mit den IKT-Dienstleistern – etwa Angaben zum Lieferanten, der Leistung und involvierten Subunternehmen. Das Ergebnis, so Schmeisser, „ist ein stets synchronisiertes, digitales Informationsregister, das sich im vorgegebenen Daten­format exportieren und einfach mit den Behörden teilen lässt.“

Neben der Berichterstellung sieht der Digitalisierungsexperte einen zweiten großen Handlungsstrang in der Kontrolle der bestehenden Verträge mit IKT-Drittdienstleistern: Laut DORA müssen in den Vereinbarungen etwa Informationen zu den Sicherheitsanforderungen, zu Incident Reportings, zur Verarbeitung und Speicherung von Daten, zur Nachweisbarkeit robuster Notfall- und Wiederherstellungspläne sowie zu Beendigungs- und Übergangs­regelungen stehen. „Finanzunternehmen sind daher gefordert, ihren gesamten Vertragsbestand mit IKT-Drittleistern auf die neue Compliance zu überprüfen – ein enormer Aufwand“, so Schmeisser. In manchen Fällen geht es hier um mehrere Hundert Verträge, die durchgesehen und gegebenenfalls angepasst werden müssen.

Fabasoft DORA unterstützt hier mit dem Einsatz von künstlicher ­Intelligenz. Schmeisser: „Unser ­System identifiziert selbstständig Abweichungen hinsichtlich der DORA-Regulatorik und bereitet die Ergebnisse je nach Handlungsbedarf übersichtlich auf. Anschließend erzeugt das Tool automatisch die notwendigen Ergänzungsvereinbarungen mittels Klauselbibliothek.“

Für die Genehmigung und Zeichnung der angepassten Verträge kommen digitale Workflows zum Einsatz, die auch externe Partner direkt einbinden. Das ist nicht nur von Vorteil, um den Prozess effizienter zu machen; auch aus Sicherheits­gründen ist es wichtig, Drittanbieter an Bord zu haben. „Der Austausch sensibler Informationen via Mail stellt ein erhebliches Sicherheitsrisiko dar“, so Schmeisser, der erklärt, dass dies eine zusätzliche Angriffsfläche für Cyberattacken sei. Fabasoft DORA biete einen „digitalen Raum“, bei dem Daten sicher ausgetauscht werden können.

Das Fabasoft-Tool bietet also eine gute Lösung, um die Hürden der EU-Verordnung noch vor der Deadline zu bewältigen. Schmeisser: „Sind die Informationen einmal im System, lassen sich Register und Berichte sofort erstellen. Das minimiert nicht nur den Aufwand, sondern auch die Anfälligkeit für Fehler.“

Robin Schmeisser, Geschäftsführer der Fabasoft Contracts GmbH, beschäftigt sich seit 2004 intensiv mit der Digitalisierung von Geschäftsanwendungen und -prozessen. Nach langjähriger Geschäftsführertätigkeit bei einem Softwarehersteller ist er seit Januar 2021 für Fabasoft Contracts verantwortlich, einen der europaweit führenden Anbieter von Vertragsmanagement-Software.

Foto: Fabasoft