Die EU-Verordnung über digitale operationale Resilienz, kurz DORA, gilt ab sofort für deutsche Versicherungsunternehmen. Ab dem 17. Januar 2025 greift die Regelung, die die IT-Infrastruktur von Finanzdienstleistern auf ein neues Sicherheitsniveau heben soll. Doch was nach einem klaren Ziel klingt – die Widerstandsfähigkeit gegenüber Cyberangriffen und IT-Ausfällen zu stärken – entpuppt sich für viele Unternehmen als Mammutaufgabe. Der Gesamtverband der Deutschen Versicherungswirtschaft (GDV) bezeichnet den Aufwand gar als ähnlich umfangreich wie bei der Einführung von Solvency II, einer der bisher umfassendsten Reformen der Branche.
Komplexe Anforderungen und neue Hürden
DORA betrifft längst nicht nur die IT-Abteilungen der Versicherer. „Es geht um das gesamte Unternehmen“, betont Rüdiger Giebichenstein, Partner bei PwC, im Gespräch mit procontra. Vom Vertragsmanagement über das Risikomanagement bis hin zur Betriebsorganisation – DORA durchdringt sämtliche Geschäftsbereiche. Besonders knifflig: die Zusammenarbeit mit Drittanbietern. Viele Versicherer arbeiten mit großen Cloud-Diensten wie Microsoft oder Amazon zusammen, deren Rechenzentren außerhalb der EU liegen. „Die digitale Lieferkette muss insgesamt DORA-konform sein“, so Giebichenstein. Hier entstehen nicht nur hohe Kosten, sondern auch erheblicher organisatorischer Aufwand.
Eine weitere zentrale Herausforderung sind die verpflichtenden Resilienztests. Versicherer müssen künftig ihre digitale Betriebsstabilität regelmäßig überprüfen – auch in Zusammenarbeit mit externen IT-Dienstleistern. Dies sei, so Giebichenstein, eine Aufgabe, die viele Unternehmen noch Jahre beschäftigen werde.
Chancen und Risiken für die Branche
Trotz aller Hürden sehen Experten wie Giebichenstein auch Chancen: „DORA könnte der Digitalisierung in der Versicherungsbranche neuen Schwung verleihen.“ Gerade kleinere Versicherer, die oft unter personellen und finanziellen Engpässen leiden, könnten von einer stärkeren Standardisierung profitieren. Doch der Weg dorthin ist steinig. Während große Unternehmen häufig besser vorbereitet sind, da sie bereits die strengen Anforderungen der Versicherungsaufsichtlichen Anforderungen an die IT (VAIT) erfüllen mussten, stehen viele kleinere Akteure vor der Frage, ob ihre Dienstleister die neuen Vorgaben überhaupt umsetzen können.
Klar ist: Wer DORA nicht bis zur Frist umsetzt, riskiert Sanktionen – von Geldstrafen bis hin zu Kapitalaufschlägen. Und das neue Finanzmarktdigitalisierungsgesetz (FinDigiG) sorgt dafür, dass die Einhaltung ab sofort auch durch Jahresabschlussprüfer kontrolliert wird. Die Uhr tickt für alle Beteiligten.
