Einführung
Als Unternehmen, das Dienstleistungen für Finanzinstitute anbietet, ist die Einhaltung der EU-Gesetz zur digitalen Ausfallsicherheit (DORA) ist für Circit sowohl eine geschäftliche Priorität als auch eine regulatorische Notwendigkeit. Alle Einrichtungen, die in den Geltungsbereich des Gesetzes fallen, müssen es bis zum17. Januar 2025 einhalten. Zu unseren Kunden gehören Wirtschaftsprüfer und Finanzinstitute jeder Art und Größe, die sich darauf verlassen, dass wir einen sicheren, ununterbrochenen Zugang zu geprüften Transaktionen und den damit verbundenen Prüfungsdaten bieten. Daher ist die Einhaltung des DORA-Gesetzes vor Ablauf der Frist für Circit von entscheidender Bedeutung, nicht nur um sicherzustellen, dass wir die regulatorischen Standards erfüllen, sondern auch um das Vertrauen, das wir bei unseren Kunden aufgebaut haben, zu stärken.
Als Anbieter von Kontoinformationsdiensten (AISP) haben wir festgestellt, dass der Prozess der Einhaltung des DORA-Gesetzes einige Herausforderungen für unser Unternehmen mit sich bringt. Richtlinien wie dieses Gesetz werden oft mit Blick auf komplexe, risikoreiche Unternehmen entworfen und geschrieben. Während diese strengen Anforderungen für die Stabilität des Finanzsystems unerlässlich sind, können sie für Unternehmen, die nicht in der Lage sind, das gleiche Maß an Ressourcen wie die größten und komplexesten Unternehmen zu verwenden, eine Herausforderung darstellen. Aus diesem Grund benötigte Circit einen strategischen Ansatz, der unsere bestehende Unternehmensführung, Rahmenwerke und Zertifizierungen nutzt und gleichzeitig die einzigartigen Anforderungen des Gesetzes erfüllt. Im Folgenden erfahren Sie, wie wir diesen Weg gegangen sind, mit welchen Herausforderungen wir konfrontiert waren und wie wir sichergestellt haben, dass unser Ansatz sowohl effektiv als auch nachhaltig ist.
Hintergrund
DORA wurde von der Europäischen Union eingeführt, um den Risiken der Digitalisierung des Finanzsektors zu begegnen. Mit der Zunahme von Cyberangriffen, der Abhängigkeit von externen Technologieanbietern und vernetzten Finanzsystemen ist das Potenzial für IKT-bedingte Störungen, die sich auf die Finanzstabilität auswirken können, erheblich gestiegen. Die DORA schreibt daher vor, dass Finanzinstitute umfassende Rahmenregelungen zum Schutz ihrer Operationen und zum Schutz des gesamten Finanzökosystems einführen, die sich auf fünf Säulen stützen - IKT-Risikomanagement, Meldung von Vorfällen, Aufsicht über Dritte, Informationsaustausch und Widerstandsfähigkeitstests. Durch die Schaffung eines harmonisierten Konzepts für die digitale Widerstandsfähigkeit will DORA das Vertrauen stärken, Schwachstellen verringern und sicherstellen, dass Finanzdienstleistungen auch unter ungünstigen Bedingungen reibungslos funktionieren können.
Die Herausforderungen
DORA gilt für alle Finanzunternehmen, von globalen Zahlungsabwicklern bis hin zu AISPs wie Circit. Während das Gesetz auf eine einheitliche Widerstandsfähigkeit im gesamten Finanzsystem abzielt, stellt es Unternehmen mit unterschiedlicher Komplexität, unterschiedlichem Risiko und unterschiedlicher Größe vor besondere Herausforderungen. Im Folgenden finden Sie einen Überblick über einige der wichtigsten Herausforderungen, die Circit im Rahmen der DORA-Konformität bewältigt hat:
Die Verordnung wurde für hochriskante, komplexe Unternehmen geschrieben: Ein Großteil der DORA-Bestimmungen, insbesondere in Bezug auf das IKT-Risikomanagement, die operative Belastbarkeit und die Unternehmensführung, geht von einem Komplexitätsgrad und einer Ressourcenverfügbarkeit aus, die eher auf die größten, risikoreichen Unternehmen zutreffen. Auf den ersten Blick könnte der Eindruck entstehen, dass Unternehmen, die nicht in dieser Größenordnung angesiedelt sind, möglicherweise nicht über die Infrastruktur oder das Personal verfügen, um bestimmte Anforderungen in gleichem Maße umzusetzen.
Kosten- und Ressourcenbeschränkungen: Viele Anforderungen - wie z. B. Risikobewertungen durch Dritte, Ausfallsicherheitstests und Dokumentation - scheinen erhebliche Investitionen in Zeit und Instrumente zu erfordern. Für Organisationen, die kleiner als Circit sind, könnte die Erfüllung dieser Anforderungen ohne spezielle Compliance-Teams zu erheblichen Ressourcenengpässen führen.
Komplexität der Lösungen: Anforderungen an die Ausfallsicherheit, wie z. B. Stresstests und Backup-Systeme, können sich für Unternehmen mit geringem Risiko als unverhältnismäßig belastend erweisen. Die Art der Arbeit eines AISP (z. B. die Zusammenführung von Konten) erfordert möglicherweise nicht dasselbe Maß an Ausfallsicherheitsplanung wie bei einem Zahlungsabwickler mit hohem Risiko.
Unser Ansatz für DORA
Bei Circit basiert unser Ansatz zur Einhaltung von DORA auf der Nutzung unserer bereits vorhandenen soliden Grundlagen, die wir durch die Zertifizierung nach ISO2700:2022 und SOC2 Typ 2 geschaffen haben. Es ist ratsam zu erwähnen, dass es einige Missverständnisse im Zusammenhang mit DORA gibt. Es wurde behauptet, dass ISO/SOC-Zertifizierungen eine Organisation automatisch für die Einhaltung von DORA qualifizieren - dies ist jedoch nicht wahr. Bei Circit haben wir einen strukturierten Ansatz gewählt, indem wir systematisch herausgefunden haben, wo unsere Abläufe nicht mit den DORA-Anforderungen übereinstimmen, und diese Lücken dann auf eine Art und Weise geschlossen haben, die sich in unsere bestehenden Rahmenwerke und Prozesse einfügt und die Unterbrechung der Abläufe minimiert.
Einordnung der Anforderungen:
Der erste Schritt bestand darin, den vollständigen Text von DORA gründlich zu prüfen, um dessen Umfang und Auswirkungen zu verstehen. Auf diese Weise konnten wir die spezifischen Ausnahmen und Verpflichtungen ermitteln, die für Circit als AISP gelten. Durch die Durchsicht des Gesetzes erlangten wir auch ein umfassendes Verständnis von Artikel 4: Der Grundsatz der Verhältnismäßigkeit (der darlegt, wie die entwickelten Lösungen für die DORA-Anforderungen auf der Grundlage der Größe, der Komplexität und des Risikos eines Unternehmens für das Finanzsystem angewendet werden sollten)
Crosswalk-Mapping:
Mithilfe einer Crosswalk-Methode haben wir die Anforderungen von DORA mit den Kontrollen und Prozessen verglichen, die im Rahmen unserer SOC2- und ISO 27001-Zertifizierungen bereits vorhanden sind. Dieser Schritt machte deutlich, in welchen Bereichen wir bereits konform waren, und ermöglichte es uns, unsere Bemühungen zu straffen. Darüber hinaus bot er uns einen praktischen Einblick in den Grad der Verhältnismäßigkeit, den wir auf Bereiche anwenden sollten, in denen wir keine Überschneidungen mit diesen Zertifizierungen haben.
Umfassende Lückenanalyse:
Im Anschluss an den Crosswalk führten wir eine weitere Überprüfung der DORA-Anforderungen durch und erstellten einen Lückenanalysebericht, in dem wir bewerteten, wo die derzeitigen Praktiken von Circit von den DORA-Vorgaben abwichen. Jeder Lücke wurde eine Komplexitäts- und Auswirkungsbewertung zugewiesen, um eine effektive Priorisierung der Abhilfemaßnahmen zu erreichen und sicherzustellen, dass Bereiche mit hoher Auswirkung zuerst behandelt werden.
Auf Säulen basierende Ergebnisse und Empfehlungen:
Die fünf Hauptpfeiler von DORA - IKT-Risikomanagement, Berichterstattung über Vorfälle, Prüfung der digitalen operativen Belastbarkeit, Risikomanagement für Dritte und Informationsaustausch - dienten als Rahmen für die Darstellung der Ergebnisse. Für jede Säule haben wir die festgestellten Lücken detailliert beschrieben und umsetzbare Empfehlungen für Verbesserungen gegeben. Diese Empfehlungen konnten so klein sein wie eine geringfügige Überarbeitung der Richtlinien oder so komplex wie die Entwicklung völlig neuer Betriebsverfahren oder systembasierter Änderungen.
Umsetzung der Änderungen:
Die Abhilfemaßnahmen wurden entsprechend dem in der Lückenanalyse festgelegten Prioritätsrahmen umgesetzt. Jede Änderung wurde entwickelt, implementiert, überprüft/überarbeitet und schließlich abgesegnet. Durch die Einbeziehung wichtiger Fachleute aus dem gesamten Unternehmen wurde sichergestellt, dass alle Änderungen weiterhin den Betriebs- und Sicherheitsstandards von Circit entsprechen.
Integration: Überwachung, Steuerung und Prüfung
Circit integriert die DORA-Anforderungen, wo immer es möglich ist, in unsere bestehenden Arbeitsabläufe, anstatt parallele DORA-spezifische Prozesse zu haben. Durch diesen Ansatz gewährleisten wir die Einhaltung der Vorschriften und unterstützen gleichzeitig die betriebliche Effizienz. Diese Methode floss auch in die Art und Weise ein, in der Circit sein laufendes Überwachungssystem an DORA anpasst. Wir integrieren alle neuen DORA-Sicherheitskontrollen, Prüfungen und Überarbeitungen in unsere bestehende Governance-Struktur, um sicherzustellen, dass die Anforderungen von DORA in die etablierten Prozesse von Circit integriert werden.
Um vollständige Transparenz und Prüfungsbereitschaft im Rahmen der DORA zu gewährleisten, entschied sich Circit für die Zusammenstellung eines umfassenden Compliance-Pakets mit allen relevanten Nachweisen und Belegen. Dieses Paket wurde so zusammengestellt, dass jede regulatorische Anforderung mit spezifischen Nachweisen (Richtlinien, Prozesse, Berichtsrahmen usw.) verknüpft wurde, um die Einhaltung der fünf Hauptsäulen der DORA zu belegen. Es enthält eine Tabelle mit Querverweisen, in der die Verweise auf die DORA-Artikel mit den internen Abläufen von Circit und den entsprechenden Nachweisen abgeglichen werden. Durch die Unterstützung dieses Compliance-Pakets hofft Circit nicht nur, für externe Überprüfungen gewappnet zu sein, sondern auch eine Unternehmenskultur zu fördern, die in der Lage ist, proaktiv auf bevorstehende regulatorische Herausforderungen zu reagieren, unabhängig von ihrer Größe oder Komplexität.
Projekt-Highlight: Die Suche nach der Lösung, die Bedeutung der Proportionalität
Ein Eckpfeiler des Erfolgs von Circit bei der Einhaltung des Digital Operational Resilience Act (DORA) ist unsere strategische Anwendung und unser Verständnis des Grundsatzes der Verhältnismäßigkeit. Dieser oft übersehene Aspekt der Verordnung ermöglicht es uns, unsere Compliance-Anstrengungen angemessen zu gestalten, ohne die Robustheit unserer betrieblichen Ausfallsicherheit zu gefährden.
Dies findet sich in Kapitel 1, Artikel 4 des Gesetzes, in dem es heißt
"Die Finanzunternehmen setzen ... [Kapitel 2-4 & 5 Abschnitt 1] im Verhältnis zu ihrer Größe und ihrem Gesamtrisikoprofil sowie zur Art, zum Umfang und zur Komplexität ihrer Dienstleistungen, Tätigkeiten und Geschäfte um."
Digital Operational Resilience Act, REGULATION (EU) 2022/2554, Seite 29
Der im DORA-Gesetz verankerte Grundsatz der Verhältnismäßigkeit stellt sicher, dass die Anforderungen auf der Grundlage der Größe eines Unternehmens und des Risikos für das Finanzsystem angewandt werden. Dieser Grundsatz ermöglicht es Einrichtungen mit geringerem Regulierungsaufwand (einschließlich Circit), kleinere Lösungen zu wählen, um die Anforderungen des Gesetzes zu erfüllen. Umgekehrt müssen größere, risikoreiche Einrichtungen wie Großbanken oder Zahlungsabwickler umfassendere Maßnahmen ergreifen, um die Anforderungen zu erfüllen. Diese Unterscheidung, die zwar leicht übersehen werden kann, ist von zentraler Bedeutung für die Entwicklung praktischer Lösungen für die Anforderungen des DORA-Gesetzes.
Bitte beachten Sie: Nicht in allen Teilen jedes Kapitels wird der Grundsatz der Verhältnismäßigkeit angewandt; es ist wichtig, den Rechtsakt zu lesen und festzustellen, wo dies tut und nicht gilt.
Dies stellt sofort eine weitere Herausforderung dar; DORA überlässt die Verhältnismäßigkeit des Ansatzes jedem Unternehmen (d. h. es ist offen für Interpretationen). Als Organisation müssen Sie analysieren, was das Gesetz verlangt, und dann selbst entscheiden, was Sie praktisch umsetzen, um eine verhältnismäßige Beschwerde zu erhalten.
Es gibt keine Schwarz-Weiß-Anleitung zur Verhältnismäßigkeit, die besagt: "Wenn Sie Unternehmen X sind, wenden Sie Kontrolle Y an". Darüber hinaus obliegt es den verschiedenen Europäischen Aufsichtsbehörden (ESAs), diese Verhältnismäßigkeit auszulegen (und es kann daher zu Unterschieden kommen, was in den verschiedenen EU-Mitgliedstaaten als "verhältnismäßig" akzeptabel ist). Es ist schwierig, genau zu wissen, was akzeptabel sein wird und was nicht - deshalb ist es wichtig, dass die Organisationen alle Prüfungen und Feststellungen, die in den kommenden Jahren im Rahmen von DORA stattfinden, genau beobachten, falls entsprechende Änderungen vorgenommen werden müssen.
