Die überwiegende Mehrheit der Finanzdienstleister in Europa ist nach eigener Einschätzung derzeit nicht in der Lage, die vollständigen Anforderungen an die Geschäftskontinuität gemäß der EU-Verordnung über die digitale operationale Resilienz (DORA) zu erfüllen.
Laut einer im vergangenen Monat von Censuswide durchgeführten Umfrage sind 96 % der Finanzinstitute im EMEA-Raum der Meinung, dass sie ihre digitale Resilienz verbessern müssen, um den Anforderungen von DORA gerecht zu werden. Rund 40 % bezeichnen das Thema aktuell sogar als oberste Priorität in Sachen digitale Resilienz.
Diese Einschätzung erfolgt sechs Monate nach Ablauf der ursprünglichen Umsetzungsfrist und wirft unangenehme Fragen zur Fähigkeit europäischer Unternehmen auf, mit den regulatorischen Vorgaben der EU Schritt zu halten.
Dabei ist dies keineswegs das erste Beispiel dafür, dass EU Vorgaben schneller umgesetzt werden sollen, als Organisationen realistischerweise folgen können. Ein verwandtes Beispiel zeigt sich etwa in der Rechenzentrumsregulierung und der „Datenumsiedlung“ (Data Rehoming), die mit dem rasanten Fortschritt der KI kollidieren europäische Infrastrukturen können weder die nötigen Datenmengen noch die Energiebedarfe bewältigen, ohne gleichzeitig gegen neue Umweltvorgaben oder lokale Datenhaltungspflichten zu verstoßen.
Wie geht es weiter?
Noch ist unklar, ob Finanzorganisationen, die bei der Umsetzung von DORA hinterherhinken, mit Sanktionen der Aufsichtsbehörden rechnen müssen oder ob es stattdessen eine Fristverlängerung geben wird. Letzteres scheint allerdings unwahrscheinlich, denn die betroffenen Unternehmen hatten ab 2023 volle zwei Jahre Vorbereitungszeit und sind nun schon ein halbes Jahr im Rückstand.
Dies ist jedoch ein deutliches Warnsignal: Die seit 2023 eingeführten Hauptverordnungen insbesondere NIS2, DSGVO, DORA sowie die amerikanische SEC-Cybersicherheitsregel könnten die Messlatte zu hoch gelegt haben. Möglicherweise hinkt die tatsächliche Umsetzungsfähigkeit in vielen Bereichen deutlich hinterher.
Das sollte nicht nur Entscheidungsträger auf höchster Ebene beunruhigen, die sich mit regulatorischen Anforderungen auseinandersetzen müssen sondern auch all jene, die täglich in den Bereichen IT, Datenverarbeitung und Cybersicherheit arbeiten. Bequeme Annahmen über den Zustand der Branche müssen überdacht werden, und die möglichen Konsequenzen für einzelne Unternehmen von Compliance-Risiken über Probleme bei der Datenverarbeitung bis hin zu Sicherheitslücken sollten neu bewertet werden.
Wie so oft bedeutet das für die meisten von uns: den Fokus wieder stärker auf Backups, Archivierung und die Einhaltung von Zero Trust Prinzipien zu legen. Diese Art von Grundresilienz im eigenen Unternehmen aufzubauen, ist grundsätzlich sinnvoll und angesichts wachsender Unsicherheit in vielen Bereichen rund um Datenmanagement, Ausfallsicherheit und Wiederherstellbarkeit wichtiger denn je.
Ihre Daten in Ihren Händen – Mit TECH-ARROW
