Weltweit haben die Regulierungsbehörden fleißig Vorschriften für die betriebliche Ausfallsicherheit ausgearbeitet, insbesondere für die Finanzdienstleistungsbranche. Die drei wichtigsten Verordnungen – DORA, APRA, PRA/FCA – haben mehrere Phasen mit unterschiedlichen Stichtagen. Im Folgenden finden Sie eine Übersicht über die Fristen bis 2025, damit Sie sich jetzt vorbereiten und später einen unbeabsichtigten und kostspieligen Fehltritt vermeiden können.
U.K. – Die Bank of England, die Financial Conduct Authority (FCA) und die Prudential Regulatory Authority (PRA)
Abgabetermin: März 31, 2025
Die Anforderungen der Bank of England haben im Jahr 2021 Wellen geschlagen, als die erste größere, auf die operative Widerstandsfähigkeit bezogene Gesetzgebung in Kraft trat. Die erste Frist für britische Finanzinstitute trat im März 2022 in Kraft und verlangte eine Selbsteinschätzung des aktuellen Programms des Instituts, einschließlich wichtiger Geschäftsdienstleistungen, plausibler Szenarien und Toleranzgrenzen für die Auswirkungen.
Die nächste Frist für die Einhaltung ist der 31. März 2025. Es wird erwartet, dass regulierte Unternehmen bis zu diesem Datum eine Bestandsaufnahme und Tests durchgeführt haben, um sicherzustellen, dass sie innerhalb der angegebenen Toleranzgrenzen für die Auswirkungen jedes wichtigen Geschäftsdienstes bleiben. Sie müssen auch nachweisen, dass sie die notwendigen Investitionen getätigt haben, um einen konsistenten Betrieb innerhalb dieser Auswirkungstoleranzen zu unterstützen.
Was jetzt zu tun ist:
- Verfeinern Sie Ihre Liste der wichtigen Unternehmensdienstleistungen mit Hilfe des Unternehmens und des Vorstands, bis Sie einen Konsens erreicht haben.
- Zeigen Sie, dass Sie verstehen, wie Dienstleistungen erbracht werden, ab wann ein untragbarer Schaden entsteht – und vor allem, ob Sie Ihre angegebene Auswirkungstoleranz einhalten können.
- Erarbeiten Sie einen Fall durch Übungen, um Ihr Vertrauen in die festgelegten Auswirkungstoleranzen und Ihre Fähigkeit, diese Toleranzen einzuhalten, zu bestätigen.
- Reichern Sie Ihre Analyse an, um ein tieferes Verständnis der einzelnen Fehlerpunkte und Schwachstellen zu erlangen, die es schwierig machen könnten, die von Ihnen festgelegten Toleranzen für die Auswirkungen einzuhalten.
Europäische Union – Digital Operational Resilience Act (DORA)
Abgabetermin: Januar 17, 2025.
Das EU-Gesetz zur digitalen Ausfallsicherheit tritt im Januar 2023 in Kraft. Das Gesetz soll sicherstellen, dass der Finanzsektor bei schwerwiegenden Betriebsunterbrechungen oder IKT-bezogenen Vorfällen widerstandsfähig bleiben kann. Es deckt fünf Kernbereiche ab: Governance, Risikominderung für Dritte, Berichterstattung über Vorfälle, Belastbarkeitstests und Informationsaustausch. Die Richtlinien fördern eine breitere, strategische Perspektive für Organisationen, um bestehende Praktiken zu standardisieren und weiterzuentwickeln.
Auch wenn der Schwerpunkt von DORA auf der digitalen und Cyber-Resilienz liegt, gibt es zahlreiche Integrationspunkte mit anderen Risikodisziplinen, wie z.B. Krisenmanagement, operatives Risiko, Business Continuity und operative Resilienz.
Die Frist für die Einhaltung des DORA ist der 17. Januar 2025. Sie müssen die Anforderungen für sechs hochrangige Bereiche erfüllen, darunter:
- Informations- und Kommunikationstechnologie (ICT) Risikomanagement
- Meldung größerer IKT-bezogener Vorfälle und freiwillige Benachrichtigung der Behörden über erhebliche Cyber-Bedrohungen
- Meldung größerer operativer oder sicherheitsrelevanter Zahlungsvorfälle durch Finanzunternehmen an die Behörden
- Testen der digitalen Ausfallsicherheit
- Austausch von Informationen und Erkenntnissen über Cyber-Bedrohungen und -Schwachstellen
- Maßnahmen für ein solides Management des IKT-Drittrisikos durch Finanzunternehmen
Was jetzt zu tun ist:
- Beurteilen Sie, welche Elemente von DORA in Ihrem Unternehmen bereits vorhanden sind, arbeiten Sie aktiv daran, etwaige Lücken zu bewerten, und erstellen Sie einen Aktionsplan für das Hinzufügen oder Ändern von Kontrollen.
- Entwickeln Sie ein solides Verständnis Ihrer Programme für Geschäftskontinuität, Informationssicherheit, IT-Notfallwiederherstellung, Krisenmanagement, Krisenkommunikation, aufsichtsrechtliche Berichterstattung und Risikomanagement für Dritte und die damit verbundenen Kontrollen. Diese Informationen helfen Ihnen auch, ein ganzheitliches Resilienzprogramm zu erstellen.
Australien – APRA CPS 230
Deadline: Juli 1, 2025
Der CPS 230 der australischen Aufsichtsbehörde zielt darauf ab, das Management operationeller Risiken durch australische Finanzdienstleistungsunternehmen und australische Niederlassungen ausländischer Banken und Versicherer zu verbessern.
APRA CPS 230 geht jedoch über alle anderen Vorschriften zur operationellen Widerstandsfähigkeit hinaus, indem es sich mit dem operationellen Risiko, der Geschäftskontinuität und dem Risikomanagement für Dritte befasst. Diejenigen, die in Australien tätig sind, sollten bei der Entwicklung eines Aktionsplans die Experten für Business Continuity, Risiko und Compliance zusammenbringen.
Banken, Versicherer und Superannuation Trustees haben bis zum 1. Juli 2025 Zeit, die neuen Systemstandards zu erfüllen:
- Management operationeller Risiken zur Festlegung und Aufrechterhaltung angemessener Standards
- Aufrechterhaltung kritischer Betriebsabläufe innerhalb der Toleranzgrenzen bei schwerwiegenden Unterbrechungen
- Management von Risiken im Zusammenhang mit der Nutzung von Dienstleistern
- Identifizierung, Bewertung und Management von Risiken, die sich aus unzureichenden oder fehlerhaften internen Prozessen oder Systemen ergeben können
- Verhinderung von Unterbrechungen kritischer Abläufe und Anpassung von Prozessen und Systemen, um innerhalb der Toleranzgrenzen zu arbeiten
- sich nicht auf Dienstleister zu verlassen, wenn diese nicht sicherstellen, dass sie ihren aufsichtsrechtlichen Verpflichtungen weiterhin in vollem Umfang nachkommen können.
Was jetzt zu tun ist:
- Legen Sie kritische Geschäftsprozesse fest, die im Laufe der Zeit verfeinert werden können, und unterstützen Sie diese. Legen Sie die Toleranzschwellen für die Auswirkungen dieser Prozesse fest, um sicherzustellen, dass die Planer wissen, welche Zeitrahmen für die Wiederherstellung erforderlich sind und wann ein untragbarer Schaden erreicht ist.
- Machen Sie eine Bestandsaufnahme der bestehenden Programme und Praktiken, die auf das operative Risikomanagement, die Geschäftskontinuität und das Risikomanagement für Dritte ausgerichtet sind, um festzustellen, welche Kontrollen bereits vorhanden sind und welche implementiert werden müssen.
- Entwickeln Sie einen Plan, um einige der anspruchsvolleren Anforderungen zu erfüllen, wie z.B. die Identifizierung von Konzentrationsrisiken.
Wenn Ihr Unternehmen von einer dieser Verordnungen betroffen ist, wird das Jahr 2025 schneller da sein, als Sie denken, also beginnen Sie jetzt mit der Planung. Während Finanzdienstleister bisher das Ziel der meisten Vorschriften zur betrieblichen Ausfallsicherheit waren, könnten bald auch andere Branchen einbezogen werden. In jedem Fall sind die in diesen Anforderungen dargelegten Grundsätze eine gute Praxis für den Aufbau der betrieblichen Widerstandsfähigkeit in jeder Organisation.
Umfassende Informationen über die Gesetzgebung zur betrieblichen Ausfallsicherheit finden Sie in unserem White Paper, Operational Resilience: Navigating the Global Regulatory Landscape, und informieren Sie sich über die Softwarelösung Business Continuity & Resilience von Riskonnect.