Robin Schmeisser von Fabasoft zur DORA-Realität ein halbes Jahr nach der Frist

Die Umsetzung der EU-Verordnung DORA hat in der Finanzbranche einiges durcheinandergewirbelt – von wachsenden Anforderungen im Drittanbietermanagement bis hin zu neuen Maßstäben bei Cybersicherheit und Compliance. Jetzt zeigt sich: Wer digital clever aufgestellt ist, kann aus regulatorischem Druck echten Mehrwert ziehen.

Ein Interview mit Robin Schmeisser, Geschäftsführer der Fabasoft Contracts GmbH.

Die DORA-Deadline liegt jetzt rund fünf Monate zurück und viele Unternehmen haben sich bei der Umsetzung auf Softwarelösungen wie Ihre verlassen. Wie erleben Sie den Alltag in der Branche?

Zwar endete Mitte Januar 2025 die Umsetzungsfrist von DORA, doch Teilbereiche, v.a. im IKT-Drittanbietermanagement, verzögerten sich deutlich bis in den April hinein. So waren die meisten Finanzunternehmen in den letzten Monaten mit der finalen Erstellung und Einreichung ihrer Informationsregister beschäftigt, was aufgrund von kurzfristigen Anforderungsänderungen und Fristverschiebungen sowie knappen Ressourcen für alle eine Herausforderung darstellte. Eine der größten Challenges für die Finanzinstitute war in diesem Zusammenhang die rechtzeitige Informationsbeschaffung von ihren IKT-Drittdienstleistern.

Das Informationsregister war ein großes Thema. Nutzen die Unternehmen das inzwischen aktiv?

Zunächst dient das Informationsregister dem Zweck der Informationsbeschaffung seitens der EU. Mithilfe der Berichte sollen kritische IKT-Drittdienstleister identifiziert und so systemische Risiken auf europäischer Ebene vermieden werden. Für die Unternehmen selbst ist der Nutzen noch nicht gegeben, da bei vielen der Fokus bislang auf der rechtzeitigen Abgabe lag.

Dabei kann das Informationsregister auch aus betrieblicher Sicht als hilfreiches Tool fungieren, sofern Finanzunternehmen dafür digitale Prozesse einsetzen. Sind die Daten in einem smarten Datenmodell gespeichert, liefern verschiedene automatisierte Auswertungen einen Überblick über alle aktuellen IKT-Dienstleister, damit verbundene Risiken sowie sämtliche Aufgaben, die sich daraus ergeben – und das in Echtzeit.

Das Thema ist allerdings für viele nicht ganz neu. Einige Institute sind bereits durch die EBA-Guidelines on Outsourcing, die ein sogenanntes Auslagerungsregister fordern, an ähnliche Berichtspflichten gewohnt.

Seit DORA ist viel Bewegung im Markt. Sehen Sie bereits neue Anforderungen, auf die sich Unternehmen nun frühzeitig einstellen sollten?

Besonders im Cybersecurity-Bereich gibt es neben DORA weitere aktuelle Entwicklungen in der EU-Regulatorik. Beispiele sind etwa die NIS2-Richtlinie für mehr Cybersicherheit, deren Umsetzungsgesetz in Deutschland noch 2025 finalisiert sein soll – oder auch die Financial Data Access-Verordnung, kurz FiDA, die einen regulatorischen Rahmen für den Austausch von Finanzdaten festlegt. Der Gesetzgebungsvorschlag dafür ist aktuell in Verhandlung und soll noch dieses Jahr verabschiedet werden.

Die beste Vorbereitung für Unternehmen ist es, die eigenen Geschäftsprozesse zu kennen und smart zu digitalisieren. Nur so können sie schnell auf sich ändernde Vorgaben reagieren. Vor allem beim Einsatz externer IT-Provider haben höchste Sicherheitsanforderungen oberste Priorität. Eine Zertifizierung nach ISO 27001 ist zwar eine gute Basis, reicht aber längst nicht mehr aus. Für umfassende Informationssicherheits- und Datenschutzstandards sind etwa das C5-Testat des BSI und der EU Cloud Code of Conduct auf Level 3 zu empfehlen.

Wie bewerten Sie generell die Fortschritte beim Thema Automatisierung im Finanz- und Vertragswesen – ist KI in der Praxis schon mehr als viele denken?

Künstliche Intelligenz hat sich im Outsourcing und Vertragswesen bereits in vielen Bereichen bewährt. Die Mindestvertragsinhalte gemäß DORA liefern hier ein gutes Beispiel. Mittels KI-Prüfkatalogen lassen sich Verträge auf verschiedene Aspekte hin analysieren, etwa auf definierte K.-o.-Kriterien oder bestimmte Klauseln. So können Finanzunternehmen ihre IKT-Verträge automatisiert auf DORA-Compliance prüfen.

Es gibt aber auch „einfache“ KI-Use Cases, die die Produktivität steigern, etwa eine integrierte Chat-Funktion, die schnelle Antworten zu Vertragsinhalten liefert, inklusive nachvollziehbarer Quellenangabe.

Was müsste sich aus Ihrer Sicht in der Unternehmenskultur verändern, damit digitale Resilienz wirklich nachhaltig wirkt?

Die Sensibilisierung der Belegschaft ist ein wichtiger Faktor. Es geht darum, mehr Bewusstsein für sicheres Handeln zu schaffen, etwa durch konsequente Anwendung von Prinzipien wie „Need-to-know“ oder „Least-Privilege“, oder auch durch die Vermeidung des Austauschs sensibler Informationen via E-Mail – aber das sind nur punktuelle Beispiele. DORA ist in diesem Kontext ein guter und wichtiger Wegbereiter. So sieht die Verordnung umfangreiche Fachschulungen für die Geschäftsführung sowie Schulungen und Sensibilisierungsprogramme für sämtliche Mitarbeiter:innen vor. Nun müssen die neu definierten und sinnvollen Verantwortlichkeiten auch aktiv im gesamten Unternehmen gelebt werden.

In diesem Kontext ist auch nicht zu vergessen: Um langfristig resilient agieren zu können, ist digitale Souveränität eine Notwendigkeit. Ein aktuelles, brisantes Beispiel liefert ein namhafter US-Servicedienstleister, der kurzerhand das E-Mail-Konto des Chefanklägers des Internationalen Strafgerichtshofs (IStGH), Karim Khan, sperrte. Dieser musste daraufhin zu einem Schweizer E-Mail-Anbieter wechseln – was einmal mehr die Unsicherheit der Zusammenarbeit mit US-Anbietern zeigt. Wer nachhaltig sicher und wettbewerbsfähig sein will, muss sich für eine europäische Variante entscheiden.

Und zum Schluss mit Blick nach vorne: Was müsste sich im regulatorischen oder technologischen Umfeld ändern, damit Unternehmen zukunftssicher und effizient agieren können?

Um zukunftssicher und effizient agieren zu können, braucht es die Digitalisierung. Der wahre Mehrwert liegt für Unternehmen darin, ihre Geschäftsprozesse ganzheitlich zu betrachten und KI im Zusammenspiel mit anderen digitalen Werkzeugen zu kombinieren. Ziel soll nicht sein, so viele Teilaspekte wie möglich mit KI zu automatisieren – sondern sie in jenen Bereichen anzuwenden, wo sie durch zielgerichteten Einsatz einerseits die präzisesten Ergebnisse liefert und andererseits zu einer erheblichen Effizienzsteigerung beiträgt.

Besonders im Hinblick auf die Einhaltung regulatorischer Vorgaben bieten digitale Workflows die Möglichkeit, die Durchführung aller notwendigen Tätigkeiten gesichert gemäß den regulatorischen Vorgaben zu steuern und jederzeit nachzuweisen.

Zur Person

Robin Schmeisser ist Geschäftsführer der Fabasoft Contracts GmbH und beschäftigt sich seit zwei Jahrzehnten mit der Digitalisierung von Geschäftsanwendungen und -prozessen. Seit Inkrafttreten von DORA unterstützt er Kunden aus dem Finanzsektor bei der smarten Digitalisierung ihres Auslagerungsmanagements sowie der effizienten Umsetzung der regulatorischen Dokumentations- und Berichtspflichten mithilfe von Fabasoft DORA.