„Die grundlegenden Strukturen bei DORA sind gelegt“

Wie ist der Stand der Implementierung von DORA bei den Unternehmen, die davon betroffen sind?

Markus Morfeld: Bei den Banken und Asset-Managern waren zum Jahresanfang 2025 nur wenige wirklich DORA-compliant. Die Mehrheit hinkte mehr oder weniger deutlich hinterher – was sicherlich auch daran lag, dass viele Standards, die implementiert werden mussten, von den Regulierungsbehörden erst sehr spät festgelegt worden waren. Demzufolge war DORA dann das „Projekt 2025“ in vielen Häusern – nach meinem Eindruck sind heute die meisten sehr gut aufgestellt. Insbesondere die großen Institute haben aber bis zum Jahresende noch einige Themen auf der Agenda. Das betrifft unter anderem die komplexe Zusammenarbeit mit externen Dienstleistern.

Marc Böhlhoff: Für die Versicherungswirtschaft kann ich das, was Markus Morfeld gesagt hat, nahezu eins zu eins bestätigen. Die grundlegenden Strukturen sind gelegt. Aber eine vollständige und tiefe Integration sowie Implementierung der zentralen Pflichtthemen steht in vielen Fällen noch aus. Das gilt vor allem für das Drittparteien-Management, also das Management von kritischen Dienstleistern. Das wird wie in der Bankenbranche bis Ende dieses Jahres nicht bei allen vollständig umgesetzt sein.

Sind die Rückstände bei der Umsetzung ein ernsthaftes Problem oder sagen Sie: Bei Regelwerken von dieser Größe und Tiefe ist das, was noch geleistet werden muss, vertretbar und man ist auf gutem Weg?

Morfeld: Von einer ernsthaften Katastrophe zu sprechen, wäre übertrieben. Digitale Resilienz und Risiken, die mit DORA abgedeckt beziehungsweise gemanagt werden sollen, sind von den Instituten auch schon vor der Einführung adressiert worden. Nun gibt es mit DORA weitgehende aufsichtsrechtliche Vorgaben zur Überwachung und Steuerung von Cyberrisiken. Die Anforderungen an die Governance sind damit gestiegen. Das kostet sehr viel Zeit. Grundsätzlich ist es nicht gut, dass das alles bis zum Jahresende 2025 nicht umgesetzt sein wird. Aber eine echte Überraschung ist es nicht. Auch bei der Aufsicht ist die Erwartungshaltung nie gewesen, dass zum Starttermin von DORA Mitte Januar 2025 alle Banken komplett startklar sind. Aber dass zum Jahresende die Implementierung der zentralen Pflichten, Prozesse und Strukturen auf der Zielgeraden ist – diese Haltung gibt es seitens der Aufsicht schon.

Böhlhoff: Zwei Ergänzungen dazu: Was mit DORA definitiv erreicht wurde, ist das neue Bewusstsein für die Wichtigkeit der Cyberresilienz. Allen Beteiligten ist auch bewusst, dass das ein fortlaufender Prozess ist. Schließlich entwickeln sich auch die Methoden und die Vorgehensweise, mit denen Cyberattacken erfolgen, ständig weiter. Letztlich ist das ein digitaler Wettlauf, bei dem Banken und Versicherungen mithalten müssen. Der zweite Punkt ist: Die ersten freiwilligen Prüfungen und Assessments sind abgeschlossen. Die Ergebnisse zeigen, dass bei vielen Unternehmen erhebliche Fortschritte in den vergangenen Monaten erreicht wurden.

Morfeld: Dieses Zwischenfazit kann ich auch auf Bankenseite bestätigen. Auch dort hat es keine katastrophalen Ergebnisse gegeben.

Wenn Sie jeweils Ihre Branche betrachten: Ist das Feld vergleichsweise geschlossen oder gibt es große Unterschiede?

Morfeld: Wir haben große Mandanten aus dem Bankbereich in unserem Portfolio, die unter die Aufsicht der Europäischen Zentralbank fallen, aber auch kleinere Institute – und da stelle ich durchweg ein großes Bewusstsein für Cybergefahren fest. Das Management ist sensibilisiert.

Böhlhoff: Auch für die Versicherer gilt: Nicht nur große Assekuranzen nehmen das Thema ernst. Auch kleinere und mittlere Häuser sind hier nicht per se schlechter aufgestellt als die Großen der Branche.

Wie haben Sie im Implementierungsprozess von DORA die Rolle der Aufsichtsräte wahrgenommen?

Morfeld: Nach meiner Wahrnehmung wussten die meisten Aufsichtsrät*innen, was mit der Einführung von DORA auf sie zukommt – auch, weil sie mit dem Regelwerk teilweise direkt in die Verantwortung genommen werden. Viele Unternehmen haben ihre Organmitglieder, vor allem die des Prüfungsausschusses, in den vergangenen Monaten mit Schulungen vorbereitet. Auch in dieser Hinsicht gibt es also offenbar eine Awareness, vielleicht aber auch eine gewisse Nervosität. Das bemerken wir als Prüfer*innen, weil uns einige Aufsichtsrät*innen DORA ganz ausdrücklich als Prüfungsschwerpunkt vorgegeben haben, um sich abzusichern.