Im Bereich des IKT-Risikomanagements müssen Risikobewertungen für alle IKT-Assets inkl. Quellcodes durchgeführt werden. Die zu prüfende Anzahl der IKT-Assets steigt unter DORA um ein Vielfaches. Gerade die darauf aufbauende Einwertung, ob die IKT-Dienste eine kritische oder wichtige Funktion mindestens unterstützen, ist eine wichtige Voraussetzung für das Management von IKT-Drittparteirisiken und die Anpassung der Verträge. Dass entgegen der Ankündigung in Art. 30 (v) DORA bisher nicht auf die Verwendung von Standardvertragsklauseln zurückgegriffen werden kann, ist bei dem engen Umsetzungszeitplan mehr als bedauerlich.
Wir dürfen bei allen Herausforderungen nicht außer Acht lassen, dass die langfristigen Chancen von DORA enorm sind. Gerade durch die Definition standardisierter Anforderungen für den Umgang mit IT-Risiken und Cyber-Sicherheit in der gesamten EU können Finanzinstitute und Drittdienstleister ihre Sicherheitsvorkehrungen besser aufeinander abstimmen und gezielter verbessern. Viel gibt es noch zu tun, bis DORA seine Wirkkraft einer sichereren und resilienteren Finanzwirtschaft erfüllen kann.
Wir wünschen uns daher eine praktikablere Umsetzung insbesondere im Bereich des IKT-Risikomanagements, die die Belastungen für die Finanzdienstleister in ein angemessenes Verhältnis zu den zu erreichenden Zielen setzt.