Blog

DORA — wie ITFM die regulatorischen Vorschriften unterstützt

Die digi­ta­le Trans­for­ma­ti­on hat den Finanz­sek­tor grund­le­gend ver­än­dert und bie­tet sowohl Chan­cen als auch Her­aus­for­de­run­gen. Mit der zuneh­men­den Digi­ta­li­sie­rung stei­gen die Risi­ken im Bereich der Infor­ma­ti­ons- und Kom­mu­ni­ka­ti­ons­tech­no­lo­gie (IKT), ins­be­son­de­re durch Cyber­an­grif­fe und Sys­tem­aus­fäl­le. Um die­sen Risi­ken zu begeg­nen und die Sta­bi­li­tät des Finanz­sys­tems zu gewähr­leis­ten, hat die Euro­päi­sche Uni­on den Digi­tal Ope­ra­tio­nal Resi­li­ence Act (DORA) ein­ge­führt. Par­al­lel dazu gewinnt das IT-Finanz­ma­nage­ment (ITFM) an Bedeu­tung, um die Effi­zi­enz und Trans­pa­renz von IT-Inves­ti­tio­nen zu stei­gern. In die­sem Arti­kel beleuch­ten wir die wesent­li­chen Aspek­te von DORA und ITFM und zei­gen auf, wie sie zusam­men­wir­ken, um die digi­ta­le Resi­li­enz im Finanz­sek­tor zu stär­ken.

Einführung in DORA

Der Digi­tal Ope­ra­tio­nal Resi­li­ence Act (DORA) ist eine Ver­ord­nung der Euro­päi­schen Uni­on, die dar­auf abzielt, die digi­ta­le ope­ra­tio­na­le Resi­li­enz von Finanz­un­ter­neh­men zu stär­ken. Sie legt ein­heit­li­che Anfor­de­run­gen fest, um sicher­zu­stel­len, dass Finanz­in­sti­tu­te in der Lage sind, IKT-bezo­ge­ne Risi­ken effek­tiv zu mana­gen und auf Vor­fäl­le ange­mes­sen zu reagie­ren. Die Ver­ord­nung trat am 17. Janu­ar 2025 in Kraft und betrifft eine Viel­zahl von Finanz­markt­teil­neh­mern, dar­un­ter Ban­ken, Ver­si­che­run­gen und Zah­lungs­dienst­leis­ter.

Ziele von DORA

DORA ver­folgt meh­re­re Haupt­zie­le:

• Stär­kung der IKT-Risi­ko­ma­nage­ment­ka­pa­zi­tä­ten: Finanz­un­ter­neh­men sol­len robus­te Rah­men­wer­ke imple­men­tie­ren, um IKT-Risi­ken zu iden­ti­fi­zie­ren, zu bewer­ten und zu steu­ern.
• Ein­füh­rung von Mel­de­pflich­ten für IKT-bezo­ge­ne Vor­fäl­le: Schwer­wie­gen­de IKT-Vor­fäl­le müs­sen den zustän­di­gen Behör­den gemel­det wer­den, um eine bes­se­re Über­wa­chung und Reak­ti­on zu ermög­li­chen.
• Regel­mä­ßi­ge Tests der digi­ta­len Resi­li­enz: Durch kon­ti­nu­ier­li­che Tests sol­len Schwach­stel­len iden­ti­fi­ziert und beho­ben wer­den, um die Wider­stands­fä­hig­keit gegen­über Cyber­be­dro­hun­gen zu erhö­hen.
• Manage­ment von Risi­ken durch IKT-Dritt­an­bie­ter: Die Abhän­gig­keit von exter­nen Dienst­leis­tern wird über­wacht, und es wer­den Min­dest­an­for­de­run­gen für Aus­la­ge­rungs­ver­trä­ge fest­ge­legt.

Wesentliche Anforderungen von DORA

Die Ver­ord­nung stellt spe­zi­fi­sche Anfor­de­run­gen an Finanz­un­ter­neh­men:

• IKT-Risi­ko­ma­nage­ment: Unter­neh­men müs­sen einen umfas­sen­den IKT-Risi­ko­ma­nage­m­ent­rah­men imple­men­tie­ren, der Stra­te­gien, Richt­li­nien und Ver­fah­ren zur Iden­ti­fi­zie­rung und Bewäl­ti­gung von IKT-Risi­ken umfasst.
• Mel­dung von IKT-Vor­fäl­len: Schwer­wie­gen­de IKT-bezo­ge­ne Vor­fäl­le sind den zustän­di­gen Behör­den zu mel­den. Dies umfasst die Klas­si­fi­zie­rung des Vor­falls, die Bewer­tung der Aus­wir­kun­gen und die ergrif­fe­nen Maß­nah­men.
• Tests der digi­ta­len Resi­li­enz: Regel­mä­ßi­ge Tests, ein­schließ­lich bedro­hungs­ori­en­tier­ter Pene­tra­ti­ons­tests, sol­len durch­ge­führt wer­den, um die Wirk­sam­keit der IKT-Sicher­heits­maß­nah­men zu über­prü­fen.
• Manage­ment von IKT-Dritt­an­bie­tern: Unter­neh­men müs­sen Risi­ken im Zusam­men­hang mit IKT-Dritt­an­bie­tern mana­gen, ein­schließ­lich der Bewer­tung von Abhän­gig­kei­ten und der Fest­le­gung von Min­dest­an­for­de­run­gen für Ver­trä­ge.

Einführung in das IT-Finanzmanagement (ITFM)

Das IT-Finanz­ma­nage­ment (ITFM) befasst sich mit der Ver­wal­tung und Opti­mie­rung der finan­zi­el­len Aspek­te der IT inner­halb eines Unter­neh­mens. Es zielt dar­auf ab, Trans­pa­renz über IT-Kos­ten und ‑Leis­tun­gen zu schaf­fen, die Effi­zi­enz von IT-Inves­ti­tio­nen zu stei­gern und die Aus­rich­tung der IT an den Geschäfts­stra­te­gien zu gewähr­leis­ten.

Ziele des ITFM

Die Haupt­zie­le des ITFM sind:

• Kos­ten­trans­pa­renz: Ein kla­res Ver­ständ­nis der IT-Kos­ten­struk­tu­ren und ‑trei­ber zu schaf­fen.
• Wert­stei­ge­rung: Sicher­zu­stel­len, dass IT-Inves­ti­tio­nen den maxi­ma­len Nut­zen für das Unter­neh­men brin­gen.
• Bud­get­kon­trol­le: Die Ein­hal­tung von IT-Bud­gets zu über­wa­chen und Abwei­chun­gen zu ana­ly­sie­ren.
• Stra­te­gi­sche Aus­rich­tung: Die IT-Stra­te­gie mit den über­ge­ord­ne­ten Geschäfts­stra­te­gien in Ein­klang zu brin­gen.

Wesentliche Komponenten des ITFM

Ein effek­ti­ves ITFM umfasst meh­re­re Kern­kom­po­nen­ten:

• Kos­ten­ma­nage­ment: Erfas­sung, Zuord­nung und Ana­ly­se von IT-Kos­ten, um fun­dier­te Ent­schei­dun­gen zu tref­fen.
• Leis­tungs­ma­nage­ment: Mes­sung und Bewer­tung der IT-Per­for­mance anhand defi­nier­ter Kenn­zah­len.
• Inves­ti­ti­ons­ma­nage­ment: Bewer­tung und Prio­ri­sie­rung von IT-Inves­ti­tio­nen basie­rend auf ihrem erwar­te­ten Nut­zen und Risi­ko.
• Finan­zi­el­le Gover­nan­ce: Fest­le­gung von Richt­li­nien und Kon­trol­len zur Steue­rung der finan­zi­el­len Aspek­te der IT.

Die Schnittstelle zwischen DORA und ITFM

Obwohl DORA und ITFM unter­schied­li­che Schwer­punk­te haben, gibt es signi­fi­kan­te Über­schnei­dun­gen, ins­be­son­de­re im Kon­text des IKT-Risi­ko­ma­nage­ments und der finan­zi­el­len Steue­rung.

IKT-Risikomanagement und finanzielle Auswirkungen

DORA for­dert von Finanz­un­ter­neh­men die Imple­men­tie­rung eines robus­ten IKT-Risi­ko­ma­nage­m­ent­rah­mens. Ein sol­cher Rah­men erfor­dert Inves­ti­tio­nen in Tech­no­lo­gien, Pro­zes­se und Per­so­nal. Hier kommt das ITFM ins Spiel, das sicher­stellt, dass die­se Inves­ti­tio­nen effi­zi­ent geplant, über­wacht und gesteu­ert wer­den.

Durch die Inte­gra­ti­on von ITFM-Metho­den wie Kos­ten­al­lo­ka­ti­on, Bud­ge­tie­rung und Fore­cas­ting kön­nen Unter­neh­men die finan­zi­el­len Aus­wir­kun­gen der Ein­hal­tung von DORA bes­ser ver­ste­hen und opti­mie­ren. Die Kos­ten für Sicher­heits­maß­nah­men, Sys­tem­här­tung, Not­fall­plä­ne und Tests der digi­ta­len Resi­li­enz las­sen sich gezielt steu­ern und prio­ri­sie­ren. Dadurch wird sicher­ge­stellt, dass Inves­ti­tio­nen dort getä­tigt wer­den, wo sie den größ­ten Mehr­wert für die ope­ra­tio­na­le Resi­li­enz bie­ten.

Optimierung der IT-Ausgaben durch ITFM

Ein wesent­li­cher Bestand­teil von ITFM ist die kon­ti­nu­ier­li­che Bewer­tung der IT-Kos­ten­struk­tur, um Inef­fi­zi­en­zen zu iden­ti­fi­zie­ren und Kos­ten­sen­kungs­po­ten­zia­le zu nut­zen. DORA erfor­dert umfang­rei­che Tests, Bericht­erstat­tun­gen und Maß­nah­men zur Sicher­stel­lung der IKT-Resi­li­enz, die erheb­li­che finan­zi­el­le Res­sour­cen bin­den kön­nen. ITFM ermög­licht eine geziel­te Prio­ri­sie­rung die­ser Aus­ga­ben, indem es Trans­pa­renz über die Kos­ten von IT-Risi­ken schafft und Unter­neh­men hilft, fun­dier­te Ent­schei­dun­gen über den Ein­satz ihrer finan­zi­el­len Mit­tel zu tref­fen.

Einbindung von Drittanbietern und deren Kostenmanagement

DORA stellt kla­re Anfor­de­run­gen an das Manage­ment von Dritt­an­bie­tern, ins­be­son­de­re im Hin­blick auf IKT-Dienst­leis­ter. Die Iden­ti­fi­ka­ti­on, Bewer­tung und Über­wa­chung die­ser exter­nen Part­ner erfor­dert ein struk­tu­rier­tes Kos­ten­ma­nage­ment, das durch ITFM bereit­ge­stellt wird. Unter­neh­men kön­nen durch ITFM-gestütz­te Ver­trags­ana­ly­sen, Bench­mar­king und Leis­tungs­über­prü­fun­gen sicher­stel­len, dass sie kos­ten­ef­fi­zi­en­te und regel­kon­for­me Dritt­an­bie­ter­dienst­leis­tun­gen nut­zen.