Ein Jahr nach der DORA-Implementierung ist klar: unzählige Komplexitäten sind sichtbar geworden, der Handlungsbedarf ist konkret
Ein Jahr nach dem Inkrafttreten des Digital Operational Resilience Act (DORA) ist die Schonfrist nun vorbei. Während viele Institute eine formale Compliance erreicht haben, fehlt es häufig noch an operativer Steuerungsfähigkeit. Aktuelle Auditergebnisse bestätigen, was auch am Markt zunehmend sichtbar wird: DORA legt Treiber von Komplexität offen, die zuvor verborgen waren – insbesondere im Informationsregister und Datenmodellen, im Third-Party-Risk-Management, in Kritikalitäts- und Funktionsklassifizierungen sowie in Governance und operativer Verankerung.
Zu den größten durch das DORA-Reporting aufgedeckten Problemen und Ineffizienzen zählen:
- ein hoher Anteil von Prozessen und IKT-Dienstleistern, die als „kritisch“/ wichtig“ klassifiziert sind
- Medienbrüche zwischen Einkauf, CMDB, TPRM und dem DORA-Informationsregister
- Governance-Strukturen, die formal definiert, aber nicht wirksam verankert sind
- steigender Prüfungs- und Berichtsaufwand bei begrenztem Mehrwert für die Steuerung
Die Herausforderung besteht nun nicht in zusätzlicher Dokumentation, sondern in der Erreichung eines integrierten Zielbilds, das Regulierung, Prozesse, Datenmodelle und Systeme zusammenführt. Denn DORA wird nur dann beherrschbar, wenn Institute von der reinen Implementierung zu Wirksamkeit, Effizienz und echter Steuerungsfähigkeit übergehen.
In unserem Deep Dive analysieren wir die im vergangenen Jahr offengelegten Herausforderungen und zeigen auf, welche Kriterien für eine wirklich erfolgreiche und effiziente DORA-Implementierung erfüllt sein müssen.
