Die Prüfung von DORA (Digital Operational Resilience Act) durch die Interne Revision (Teil 1)

Überblick über die Anforderungen und Vorgehen

• Axel Becker
• Maria Dzolic

Aufgrund der Wesentlichkeit gehört das IT-Risiko, welches zu den operationellen Risiken gezählt wird, aktuell zu den bedeutsamsten bankaufsichtlichen Risiken. Allein in 2023 ist der deutschen Wirtschaft 206 Milliarden Euro Schaden durch Diebstahl von IT-Ausrüstung und Daten sowie digitale und analoge Industriespionage/Sabotage entstanden. Dies sind die bekannten und gemeldeten Fälle, Experten rechnen inoffiziell mit wesentlich höheren Schäden, da nicht alle Schäden gemeldet werden. Künftig werden durch die Meldeerfordernisse von DORA für die wesentlichen IKT-Vorfälle für den Bereich der relevanten DORA-Institute im Finanzwesen valide Zahlen von Schäden durch Cybervorfälle in der gesamten EU transparenter. Dies impliziert aber auch, dass Finanzinstitute und weitere den DORA-Vorschriften unterliegende Unternehmen (Versicherungen, IKT-Dienstleister etc.) mit Reaktionen der Bankenaufsicht – wie vermehrten Sonderprüfungen – rechnen können, wenn die Reaktionen auf die zu meldenden Vorfälle aus dem Blickwinkel der Aufsicht unzureichend ausfallen.