Expert:innen-Interview: Renate Prinz über DORA, damit verbundene Herausforderungen, und wie sich Unternehmen diesen stellen können

Über Renate Prinz

Renate Prinz ist Partnerin bei McDermott Will & Emery und berät Banken und Finanzdienstleister, Investoren sowie Industrieunternehmen in allen Bereichen des Finanzaufsichts- und Gesellschaftsrechts. Sie verfügt über langjährige Erfahrung in der Beratung von Finanzinstituten in Erlaubnisverfahren, regulatorischer Compliance und gesellschaftsrechtlichen Restrukturierungen sowie bei Transaktionen und Inhaberkontrollverfahren (EZB und BaFin). Neben der traditionellen Banken- und Finanzaufsicht berät Renate Prinz auch im Bereich der Regulierung von Zahlungsdiensten und Kryptowerten sowie im Bereich Geldwäsche und Sanktionen. Sie ist Autorin zahlreicher Veröffentlichungen im Gesellschafts- und Finanzaufsichtsrecht, insb. auch im Bereich Kryptoregulierung. Neben ihrer Beratung engagiert sie sich in verschiedenen Vereinen für Gleichberechtigung und Diversität.

‍

DORA unter der Lupe 

Wie bewerten Sie DORA im Vergleich zu anderen Regulierungen wie BAIT, EBA-Guidelines oder NIS2?

Antwort RP: DORA (Digital Operational Resilience Act) ist neu, aber viele Inhalte kennen Unternehmen im Finanzsektor bereits und hatten sie schon durch frühere Regulierung implementiert. DORA schafft jetzt einen EU-weit einheitlichen Rahmen, was sehr zu begrüßen ist. In Deutschland beispielsweise hatten wir durch BAIT (sowie ZAIT oder KAIT) schon einen sehr hohen Sicherheitsstandard und -vorgaben für die IT Dienstleistungen und mit der MaRisk (Mindestanforderungen an das Risikomanagement) für Auslagerungen generell. Für DORA sind jetzt nochmal zusätzliche Standards und Formalien hinzugekommen. Diese sind zwar lästig, Vieles aber in der Praxis für etablierte Marktteilnehmer zu bewältigen, wenn der erstmalige Implementierungsaufwand, wie Anpassung von Verträgen, Erstellen von Dokumentation, Register, sowie Prozessen einmal entsprechend aufgesetzt ist. Das Ziel der hohen Cyberresilienz und Meldepflichten für Vorfälle halte ich grundsätzlich für sehr gut und wichtig, wenn man sich die hohen Risiken von Cyberangriffen für den Finanzmarkt ansieht.

‍

‍

Worum geht es konkret, wenn im Dienstleisterbereich von Regulierungen gesprochen wird?

Antwort RP: Im Dienstleistungsbereich erfolgt die Regulierung über den Finanzsektor weitestgehend mittelbar. Das bedeutet, dass die Finanzinstitute grundsätzlich selbst Adressaten der Regulierung sind; sie sind aber verpflichtet, dafür Sorge zu tragen, dass von ihnen ausgelagerte Dienstleistungen der ordnungsgemäßen Geschäftsorganisation entsprechen, überwacht werden können und alle erforderlichen Sicherheitsmaßnahmen – von IT-Sicherheit bis hin zu vertraglicher Sicherheit bspw. in Bezug auf Kündigungsmöglichkeiten – eingehalten werden. Die Finanzaufsicht kann im Rahmen der Prüfung der Einhaltung dieser Anforderungen auch direkte Untersuchungen bei den Dienstleistern durchführen. Unter DORA gibt es zudem die Klasse der kritischen Dienstleister, welche nun erstmals auch direkt beaufsichtigt werden.

‍

Was sind aus Ihrer Sicht die grössten Herausforderungen für Finanzinstitute bei der Umsetzung von DORA?

Antwort RP: Die Einhaltung der Formalien – es galt zunächst, viel Dokumentation umzusetzen. Flächendeckende vertragliche Anpassungen mit Dienstleistern, die richtige Klassifizierungen und Erstellung des Informationsregisters ist in der Praxis schlicht viel Verwaltungsaufwand, und die vertraglichen Anpassungen sind zwar zwingend, werden aber längst nicht von allen Dienstleistern akzeptiert. Aber auch die praktische Überprüfung der bestehenden Prozesse ist mitunter eine Mammutaufgabe.

‍

Was muss wirklich beachtet werden in Hinblick auf die Umsetzung DORA-konformer Prozesse? Gibt es Best Practices oder konkrete Ansätze, die Sie empfehlen würden – etwa zur Incident Response oder dem Drittparteienmanagement? Und welche Fehler sollten Unternehmen Ihrer Erfahrung nach vermeiden?

Antwort RP: Es gibt hier keine Best Practice für alle, da die Anforderungen und Herausforderungen ganz stark nach Unternehmensgrößen variieren. Wo ein Institut mit 50 IKT-Dienstleistern arbeitet, hat das nächste nur drei. Essentiell sind klare Ansprechpartner, Berichtsstrukturen und eine Umsetzungsplanung. D.h. es muss zunächst einmal einen Überblick geben: Wo stehen wir überhaupt, wo sind unsere Risiken, was bringt uns im worst Case zu Fall, d.h., was ist eine kritische Dienstleistung? Auf der Basis müssen dann bspw. die Reportings aufgesetzt werden.

‍

‍

Was sind Ihrer Meinung nach die wichtigsten Learnings seit Inkrafttreten von DORA? Worin sehen Sie bisher die grössten Schwierigkeiten?

Antwort RP: Die Vertragsanpassungen mit internationalen Dienstleistern gestalten sich schwierig. Hier ist auch die Verhandlungssituation oft nicht gerecht, da es oftmals an EU-basierten Alternativen fehlt. Kleinere IT-Dienstleister, die mit der Regulierung und ihren Anforderungen oft überfordert sind, müssen teilweise ersetzt werden, wenn Anpassungen zu aufwendig oder nicht möglich sind. Tatsächliche Schwierigkeiten befinden sich zudem aktuell vielfach noch schlicht in der zeitgerechten Umsetzung. Das ist der Aufsicht aber auch bekannt und wir sehen hier vielfach ein Entgegenkommen.

‍

Rechnen Sie mit weiteren regulatorischen Anforderungen in diesem Bereich in den nächsten Jahren? Wenn ja, in welchem Umfang?

Antwort RP: Wenn mich die Finanzmarktregulierung eines gelehrt hat, dann, dass sie kein Ende findet. Es wird sicherlich noch weitere Konkretisierungen und Nachbesserungen im Bereich von DORA geben – dann werden weitere Regulierungen allgemein im IT-Bereich folgen, da bin ich sicher. Hier schreitet die Entwicklung in Vielem aktuell sehr schnell voran, und die Regulierung hinkt vielfach hinterher. Ich würde hoffen, dass es auch Änderungen geben wird, die die Regulierung praxisnäher gestalten und die Prozesse schneller und effizienter machen. Regulierung sollte Chancen ermöglichen und Sicherheit schaffen, nicht ausbremsen. Diesbezüglich arbeitet die EZB ja nun langsam an einer Verbesserung. Dann bleibt zudem abzuwarten, was die Pläne der Kommission zu einer Einlagen- und Kapitalmarktunion bringen. Hier dürften – wenn sie denn kommt – auch noch einige Änderungen auf uns zu kommen.

‍