Digital Operational Resilience Act (DORA): Widerstandsfähigkeit für Versicherer

Die Digitalisierung eröffnet der Versicherungswirtschaft ungeahnte neue Möglichkeiten – aber sie schafft auch neue Risiken. Um die Marktteilnehmer bestmöglich zu schützen, hat die EU-Kommission im September 2020 den Regulationsentwurf Digital Operational Resilience Act (DORA) vorgelegt, der auch für die Versicherungswirtschaft einschlägig ist. Mit „digitaler operationaler Resilienz“ ist die Widerstandsfähigkeit von Unternehmen des Finanzsektors gegen betriebliche Störungen auf der IT-Ebene gemeint. Dabei geht es um Cyber Security und externe Angriffe, aber darüber hinaus auch um eine Reihe anderer, nicht böswillig verursachter, schwerwiegender IT-Probleme. In Zukunft müssen Unternehmen beispielsweise auch Risiken durch Leistungen von Drittanbietern in ihren Analysen berücksichtigen, etwa solche von Cloud-Dienstleistern. Denn die Risiken durch externe Dienste verbleiben gemäß DORA beim Versicherungsunternehmen. Wichtig ist es in der aktuellen Lage, zügig mit den Vorbereitungen zu beginnen, da eine Novellierung der nationalen deutschen Regulation unmittelbar bevorsteht und noch vor DORA in Kraft treten wird. Ein koordiniertes Vorgehen liegt angesichts dieser beiden zeitlich versetzten Regulationsstufen aus Effizienzgründen nahe.

Der regulatorische Kontext

Der EU-Entwurf hat noch keine Rechtskraft. DORA wird aktuell von den Mitgliedsländern beraten und vermutlich 2022 oder spätestens Anfang 2023 verabschiedet. Das bedeutet aber nicht, dass sich die Versicherungsunternehmen bis dahin erst einmal Zeit lassen könnten. Anpassungen stehen schon deutlich früher an. Das wird durch die bereits erwähnte deutsche Novelle der „Versicherungsaufsichtlichen Anforderungen an die IT“ (VAIT) ersichtlich. Entscheidend ist hier der Umstand, dass die VAIT-Novelle einige wichtige Aspekte der zu erwartenden DORA-Regulierung antizipiert. Die neuen VAIT-Bestimmungen werden aller Voraussicht nach schon Anfang 2022 wirksam. Da es sich dabei aus aufsichtsrechtlicher Sicht um keine neue Regulierung handelt, sondern um die Konkretisierung eines schon bestehenden Regelwerks, gewährt der Regulator üblicherweise keine Übergangsfristen, was die Dringlichkeit für die betroffenen Unternehmen noch erhöht. In diesem Zusammenhang sind auch die Parallelen zur Bankenaufsicht aufschlussreich. Die analog geltenden Neuerungen für Banken (BAIT) sind schon in Kraft, die Banken-Regulierung weist regelmäßig einen mehrjährigen Vorlauf gegenüber der Versicherungs-Regulierung auf.

Die VAIT-Novelle nimmt zunächst die DORA-Anforderungen vorweg, dass die IT-Strategie in einem vorgegebenen Umfang beschrieben werden muss. Dazu gehört neben Personaleinsatz, Budget, Aufbau u.a. auch die Darstellung bestehender Abhängigkeiten von Drittparteien wie IT-Dienstleistern. Unternehmen müssen außerdem eine Richtlinie für Informationssicherheit formulieren, die Tests und Überprüfungen umfasst. Es werden regelmäßige Tests vorgeschrieben, und durch ein IT-Notfallmanagement sollen Störungen verhindert oder abgefedert werden.

Darüber hinaus wird DORA aber noch weitergehende wesentliche Vorgaben zusätzlich zur VAIT-Novelle bringen. Beispielsweise sind nach vorgefallenen Störungen Fehler-Ursachen-Analysen vorzunehmen. Versicherungsunternehmen müssen gemäß DORA auch das Risiko durch Dienstleister aus dem Bereich Informations- und Kommunikationstechnik (IKT) steuern. Hier besteht auch eine entsprechende Haftung. Dazu kommen gemäß DORA Vorgaben zur Meldung von Änderungen in der Nutzung von IKT-Anbietern, detailliertere Regeln für die durchzuführenden Prüfungen und Penetrationstests sowie die Benennung aller in Anspruch genommener sogenannter „kritischer Drittanbieter“.

Über die deutsche und EU-Ebene hinaus sind derzeit auch weltweit regulatorische Aktivitäten zum Aufbau digitaler Resilienz zu verzeichnen. Zu nennen wären hier die USA, wo vergangenes Jahr ein entsprechendes regulatorisches Dokument („Sound Practices to Strengthen Operational Resilience”, Board of Governors of the Federal Reserve System, 30. Oktober 2020) vorgelegt wurde, sowie Großbritannien. Die britische Financial Conduct Authority (FCA) hat eine entsprechende Regulation schon im März 2021 in Kraft gesetzt, der irische Regulator hat sich diesen Bestimmungen angeschlossen. Dies ist durchaus auch für Deutschland von Bedeutung, existieren doch auf dem hiesigen Markt Tochtergesellschaften von Versicherungsunternehmen irischen Rechts.

Regelungen für Drittanbieter

Die neuen Vorgaben zeigen, dass der Regulator die Weiterentwicklung der Liefermodelle für IT-Leistungen der jüngsten Vergangenheit nachvollzieht und diesen gerecht werden will – etwa Cloud-Services, Platform-as-a-Service oder Infrastructure-as-a-Service. Diese Liefermodelle haben heute bereits eine kritische Bedeutung für die Leistungserbringung des Versicherers gegenüber dem Kunden, was sich zukünftig noch deutlich ausweiten sollte. Das wird nun durch eine entsprechende Ausdehnung des vorgeschriebenen Risiko-Managements abgebildet. Darin liegt ein echtes Novum, denn somit befindet sich nicht mehr nur das Versicherungsunternehmen selbst im Fokus der regulatorischen Kontrolle, auch die von ihm beauftragten IKT-Drittanbieter werden betrachtet. Haftungsrisiken entstehen also nicht nur auf der Grundlage des eigenen Betriebs, sondern müssen auch für die Dienste Dritter getragen werden. Entsprechend müssen diese einer Risikoanalyse unterzogen und auf ihre Verfügbarkeit hin überprüft werden. Die BaFin hat hier unter Umständen auch ein Veto-Recht bei bestimmten Anbietern.

Zu klären ist, ob es sich bei einem jeweiligen Provider um einen sogenannten „kritischen“ Anbieter handelt, für den strengere Regeln gelten. Möglicherweise können auch eigene Tochterunternehmen des Versicherers in diese Kategorie fallen. Kritische Drittanbieter werden anhand bestimmter Kriterien definiert, wie den systemischen Auswirkungen auf die Stabilität von Finanzdienstleistungen, der systemischen Bedeutung des Drittunternehmens und dem Grad der Substituierbarkeit. Im Rahmen der Verantwortung für kritische Drittanbieter besteht eine Offenlegungspflicht in Form eines Auslagerungsregisters sowie eine Meldepflicht von kritischen Auslagerungen. Außerdem werden explizite Vorgaben für die Vertragsgestaltung gemacht, auch eine Exit-Strategie für betreffende Drittanbieter muss vorliegen.

Neue Anforderungen an Überprüfung und Tests

Neue Anforderungen an Überprüfung und Tests
Die tatsächliche digitale Widerstandsfähigkeit eines Versicherungsunternehmens lässt sich nur durch Prüfungen und Tests realistisch bewerten. Solche Maßnahmen wurden auch bisher schon von den Regulatoren gefordert, allerdings wenig detailliert. Viele Punkte lassen Interpretationsspielraum, weshalb teils eine gewisse Zurückhaltung bei der Umsetzung vorherrscht. Dies wird sich nun aber ändern. DORA erfordert viel umfassendere Testdurchführungen in regelmäßigen Abständen, auch in Produktivsystemen. Kritische IKT-Systeme und -Anwendungen müssen mindestes einmal im Jahr durch unabhängige interne oder externe Prüfer geprüft werden. Bei Verträgen mit Drittanbietern für bestimmte Leistungen muss das Unternehmen nun berücksichtigen, dass deren Kooperation für die Durchführung zwingend notwendiger Tests erforderlich ist. Hierzu zählen auch Vor-Ort-Prüfungen bei den IKT-Drittanbietern (Geschäftsräume, Grundstücke, Gebäude). Bei den Tests geht es drum Schwächen, Mängel oder Lücken zu erkennen und Probleme zu lösen (allgemein digitale Betriebsstabilität). Dies soll durch eine Reihe von Testinstrumenten erreicht werden, die von den Versicherungsunternehmen je nach Größe, Geschäfts- und Risikoprofil eingesetzt werden. Laut DORA werden folgende Tests durchgeführt:
„Durchführung eines vollständigen Spektrums geeigneter Tests, darunter Bewertungen und Überprüfungen der Anfälligkeit, Analysen von Open Source-Software, Bewertungen der Netzsicherheit, Lückenanalysen, Analysen der physischen Sicherheit, Überprüfungen der physischen Sicherheit, Fragebögen und Scansoftwarelösungen, Quellcodeprüfungen soweit durchführbar, szenariobasierte Tests, Kompatibilitätstests, Leistungstests, End-to-End-Tests oder Penetrationstests.“

Die Resultate dienen dann als Vorgabe für alle notwendigen Wiederherstellungsmaßnahmen. Hierbei besteht die Herausforderung, die tatsächlichen Wiederherstellungszeiten zu erproben, zu dokumentieren und transparent zu machen, und das über die ganze Abhängigkeitskette der Geschäftsprozesse hinweg. Die Ergebnisse sind der zuständigen Finanzbehörde zu melden.

Generell besteht hier noch eine große Lücke zwischen dem erreichbaren und dem tatsächlich vorliegenden Resilienz-Niveau. Nur durch ein konkretes Testing kann geprüft werden, ob die vorliegenden Vorgaben auch IT-seitig erreichbar sind. Komplexe Tests wie bedrohungsorientierte Penetrationstests verursachen teilweise erhebliche Aufwände (kritische IT-Systeme müssen jährlich getestet werden). Hier muss klar sein, welche Systeme und Anwendungen als kritisch bezeichnet werden, um den Aufwand nicht in die Höhe zu treiben. Durch bspw. eine Business Impact Analyse können diese schneller identifiziert werden und die ermöglicht Versicherungsunternehmen, Zeit und Ressourcen zu sparen, da sie einen Überblick erhalten, welche Systeme und Informationen als kritisch gelten.

Für die Durchführung der Tests ist hochgradig spezialisiertes Know-how nötig. Die IT-Experten von Deloitte unterstützen hier beispielsweise im Bereich von IT-Sicherheitsübungen, Notfallsimulationen und Penetrationstests, um Transparenz über Schwachstellen der IT-Systeme und -Anwendungen herzustellen. Bei Verstößen gegen die Compliance sind erhebliche Strafen vorgesehen, die bis zu einem Prozent des weltweiten Tagesumsatzes von betroffenen Versicherern ausmachen können.

Mögliche Lösungsschritte und typische Hürden

Versicherungsunternehmen müssen im Hinblick auf DORA auf einer Reihe von Handlungsfeldern aktiv werden. Am Anfang sollte dabei eine Bestandsaufnahme der eigenen DORA-Compliance stehen. Typischerweise werden manche neuen Anforderungen auch schon zum heutigen Stand erfüllt, weshalb sich als erster Schritt eine Gap-Analyse anbietet, aus welcher der bestehende Handlungsbedarf abgeleitet werden kann. Diese Analyse findet im Rahmen des Deloitte Digital Operational Resilience Framework in einem ersten Maßnahmenblock statt, zu dem auch die Prüfung der bestehenden Vorgehensweise und Dokumentation von Geschäftsprozessen und deren IT-Wertschöpfungsketten gehören. Beispielsweise wäre gegebenenfalls zu klären, was der Ausfall eines Zahlungsdienstleisters für die Leistbarkeit von Schadenzahlungen bedeutet. Außerdem werden eine passende Governance und Kontrollsysteme etabliert, und das nötige Testing und Monitoring wird vorbereitet.

Der zweite Block des Frameworks beinhaltet das Cyber Risk Management. Zunächst wird der bestehende IT- und Cyber-Reifegrad ermittelt. Es folgen eine Bewertung der Verwundbarkeit durch IT/OT-Verflechtung, immer im Abgleich mit Kerngeschäft, den identifizierten Werttreibern im Unternehmen und relevanten Bedrohungsszenarien. In diesem Bereich bieten wir entsprechende Übungskonzepte an, wie beispielsweise Tabletop- oder Simulationsübungen sowie bedrohungsorientierte Penetrationstests an, bei denen ein echter Cyber-Angriff simuliert wird.

Der dritte Block widmet sich den IKT-Providern, der Auslagerung von Dienstleistungen und dem Management von Drittpartei-Risiken. Das Ziel ist die Sicherstellung stabiler Wertschöpfungsketten, einschließlich Dokumentation und Kontrollen. Die Erstellung eines Vertragsregisters sämtlicher Service Agreements (IT und nicht-IT) schafft eine Grundlage für das Governance-Framework. Für die Dienstleistungen ist Resilienz auch in Umfeldern mit mehreren Anbietern und für Situationen mit geteilter Verantwortung herzustellen. Die Prozesse für Störungsvorfälle (Major Incident Management, MIM) und für die in der Folge vorzunehmenden Fehler-Ursachen-Analysen (Root Cause Analysis, RCA) werden aufeinander abgestimmt.

In der Praxis liegen allerdings in vielen Fällen typische Hürden vor, die Versicherungsunternehmen auf dem Weg zur DORA-Compliance überwinden müssen. Das beginnt mit einem Mangel an interner Expertise und entsprechend besetzten Teams. Dazu kommt die äußerst heterogene IT-Landschaft vieler Branchenmitglieder, die oft noch historisch gewachsene Mainframe-Systeme nutzen. Dabei ist es nicht etwa zwangsläufig nötig, diese zu ersetzen. Vielmehr muss sichergestellt werden, dass die damit verbundenen Risiken ausreichend gemanagt werden.

Unterstützung für den regulatorischen Wandel

Angesichts dieser verbreiteten Hürden kann die Kompetenz der Experten von Deloitte bei der aktuell anstehenden Vorbereitung eine wertvolle Unterstützung für Versicherungsunternehmen darstellen. Durch ein kompaktes DORA Readiness Assessment kann zunächst die Ausgangslage ermittelt werden. Mit umfassender Branchenerfahrung und fundiertem regulatorischem Wissen hilft Deloitte dann bei der Implementierung eines effizienten Ansatzes, der über die VAIT-Novelle hinaus auch schon DORA berücksichtigt. Für die Gestaltung und Durchführung von Tests kann Deloitte auf das bewährte technische und risikofachliche Know-how seiner Experten zurückgreifen.

Perspektivisch sollten sich die Versicherungsunternehmen darauf einstellen, dass es sich bei solchen regulatorischen Programmen nicht um einmalige, abgeschlossene Aktivitäten handelt. Vielmehr muss Regulatorik als kontinuierlicher Prozess verstanden werden, in dem bald schon erneute Änderungen auf der Tagesordnung stehen könnten, beispielsweise durch den EU AI Act (Künstliche Intelligenz). Eine dauerhafte organisatorische Verankerung bietet sich daher an. Die Botschaft lautet gewissermaßen: „Regulierung ist gekommen, um zu bleiben.“

Diese Erkenntnis ist in der Bankbranche schon verstanden worden, muss sich in der Versicherungswelt aber teilweise erst noch durchsetzen. Die Versicherungsbranche ist in wesentlichen Zügen eine datenverarbeitende Industrie und wird in Kürze dieselben Vorgaben erfüllen müssen wie die Banken. Dafür ist zwar ein finanzieller Aufwand nötig, der aber einer abwartenden Haltung unbedingt vorzuziehen ist. Denn es kann sehr kostspielig werden, erst im Nachhinein auf Prüfungsergebnisse zu reagieren und dann unter Zeitdruck komplexe, umfangreiche Änderungen vorzunehmen. Andererseits kann festgehalten werden, dass deutsche Versicherungsunternehmen durch die bestehende VAIT in punkto Resilienz schon vergleichsweise gut aufgestellt sind. DORA vereinheitlicht, präzisiert und erweitert die Regulation nun für den europäischen Raum. Das wiederum macht die internationale Zusammenarbeit besser steuerbar, etwa die Kooperation mit Cloud-Providern aus anderen EU-Ländern. Auch in diesem Bereich steht Deloitte Versicherungsunternehmen mit spezialisierter Kompetenz unterstützend zur Seite.