Ab dem 17. Januar 2025 gelten die Vorschriften des Digital Operational Resilience Act (DORA) verbindlich für den Finanzsektor – und damit auch für Versicherungsunternehmen. Ziel ist es, die digitale Resilienz und die Cybersicherheit durch klare organisatorische Vorgaben zu stärken. Während erste Umsetzungsmaßnahmen bereits laufen, bleibt die vollständige Operationalisierung vieler Anforderungen eine Herausforderung, wie aktuelle Branchenanalysen zeigen.
Übergang von VAIT zu DORA: Evolution statt Revolution
Die DORA-Vorschriften ersetzen teilweise die bisherigen Vorgaben der BaFin zu den Versicherungsaufsichtlichen Anforderungen an die IT (VAIT). Im Gegensatz zu den detaillierten Regelungen der VAIT setzt DORA auf einen breiteren Rahmen. Doch die bisherigen Investitionen der Branche in die VAIT-Compliance waren keineswegs vergeblich: Eine konsequente Umsetzung der VAIT hat laut Experten den Reifegrad vieler Unternehmen im Hinblick auf die neuen Anforderungen spürbar erhöht. Besonders die schriftlich fixierte Ordnung – ein zentrales Element der DORA-Umsetzung – wurde in vielen Fällen bereits etabliert oder weiterentwickelt.
Große Hürden bei der Umsetzung
Trotz Fortschritten in der Vorbereitung zeigt sich, dass der Großteil der Versicherer Schwierigkeiten hat, die umfassenden DORA-Anforderungen fristgerecht zu erfüllen. Laut Einschätzungen aus der Praxis könnten lediglich rund 60 Prozent der Unternehmen bis 2025 die Mindestvorgaben erreichen, während nur 5 Prozent eine vollständige Umsetzung der geforderten Maßnahmen vorweisen können. Insbesondere das Management von IKT-Risiken, die Überwachung von Drittparteien-Dienstleistern und die Einführung spezifischer Exit-Pläne stellen komplexe Aufgaben dar, die erhebliche Ressourcen und langfristige Planung erfordern.
Um den DORA-Vorgaben zu entsprechen, sind Versicherer angehalten, umfassende GAP-Analysen und Readiness-Assessments durchzuführen. Diese Maßnahmen sind nicht nur Grundlage für die Sicherstellung der Compliance, sondern auch für mögliche Aufsichtsprüfungen und Audits. Die BaFin hat bereits signalisiert, dass sie 2025 ein besonderes Augenmerk auf Schwachstellen in der DORA-Umsetzung legen wird – mit der Möglichkeit, Sanktionen gegen säumige Unternehmen zu verhängen.