Ziel des Mandats sei, die regulatorischen Anforderungen an digitale operationelle Resilienz praxisnah umzusetzen und bestehende Governance-, Dokumentations- und Steuerungsprozesse DORA-konform weiterzuentwickeln, heißt es in der Ypsilon-Mitteilung. DORA steht für die EU-Vorschrift „Digital Operational Resilience Act“.
Im Rahmen des Mandats unterstütze das Unternehmen Jamestown „unter anderem“ (!) bei der Durchführung einer Gap-Analyse, beim Aufbau regulatorischer Dokumentationen sowie bei Schulungen und der Weiterentwicklung von Governance-, Dokumentations- und Meldeprozessen im Bereich des sogenannten Drittparteienmanagements in der Informations- und Kommunikationstechnik (IKT), der strategischen Steuerung und Risikoüberwachung externer Technologiedienstleister. Im Fokus stehen demnach insbesondere die regulatorische Bewertung von IT- und Kommunikationsdienstleistern, die Definition kritischer Geschäftsprozesse sowie die Umsetzung neuer Anforderungen an Governance- und Meldeprozesse. Puh!
DORA verfolgt der Mitteilung zufolge einen deutlich umfassenderen und systematischeren Ansatz im Umgang mit digitalen Risiken. „Im Fokus stehen nicht mehr nur einzelne technische Sicherheitsmaßnahmen, sondern die Widerstandsfähigkeit zentraler Geschäftsprozesse, Verantwortlichkeiten und ausgelagerter IKT-Strukturen. Unternehmen müssen technische, organisatorische und regulatorische Anforderungen künftig deutlich stärker integriert betrachten“, wird Christian Eder, Geschäftsführer der Ypsilon Consulting GmbH & Co. KG bei der Ypsilon Group, in der Mitteilung zitiert.
Herausforderung besonders für kleine und mittlere Unternehmen
Nun wird in Pressemitteilungen nicht selten ziemlich dick aufgetragen, doch DORA ist tatsächlich ein umfangreiches Paket, wie allerorten zu hören ist. Eine besondere Herausforderung bestehe darin, regulatorische Anforderungen praxisnah und proportional zur Unternehmensgröße umzusetzen, heißt es in der Ypsilon-Mitteilung. Gerade mittelständische Finanzunternehmen benötigen demnach pragmatische Lösungsansätze, „die regulatorisch belastbar und gleichzeitig operativ umsetzbar sind“.
DORA erweitere die bisherigen Anforderungen an das Auslagerungsmanagement deutlich und rücke die Steuerung von IKT-Drittparteien stärker in den regulatorischen Fokus, „von Cloud-Anbietern bis hin zu kleineren externen IT-Partnern“. Gleichzeitig steigen demnach auch die Anforderungen an Technologie- und Softwareanbieter, deren Lösungen zentrale Geschäftsprozesse regulierter Finanzunternehmen unterstützen. Unternehmen müssen unter anderem Informationsregister führen, kritische Geschäftsprozesse identifizieren sowie neue Vorgaben für Verträge, Notfallprozesse und Meldepflichten umsetzen.
Auf gutdeutsch: Die Unternehmen müssen beziehungsweise mussten ihre IT-System komplett um- und neu aufstellen sowie externe Dienstleiter überprüfen und gegebenenfalls austauschen. Und das in einer Zeit, die ohnehin nicht das allerbeste wirtschaftliche Umfeld bietet, um es vorsichtig auszudrücken.
Nächste Bürokratiewalze rollt an
DORA gilt seit Anfang 2025 für regulierte Finanzunternehmen. Betroffen sind unter anderem Kapitalverwaltungsgesellschaften, Banken, Versicherungen und weitere Finanzmarktakteure. Dass Jamestown (erst) jetzt ein externes Beratungsunternehmen zur Unterstützung bei der DORA-Umsetzung beauftragt hat, spricht dafür, dass selbst der renommierte Anbieter von US- und neuerdings auch Europa-Immobilienfonds das Ausmaß der Regulierung unterschätzt hat.
Damit ist das Unternehmen wohl nicht allein. Auch andernorts in vielfach zu hören, wie sehr vor allem die mittelständischen Unternehmen aus dem Bereich der alternativen Investmentfonds (AIFs) unter den neuen Vorschriften leiden. DORA ist für sie eine gewaltige Herausforderung, die kaum noch leistbar ist.
Auch belegt der Vorgang einmal mehr, dass alle Ankündigungen der Politik von Bürokratieabbau oder wenigstens dem Stopp neuer Bürokratie nichts als Lippenbekenntnisse sind. In Wirklichkeit geschieht das Gegenteil. Mit der am Freitag finalisierten EU-Kleinanlegerstrategie (RIS) rollt die nächste Bürokratiewalze auf die Finanzbranche zu – in dem Fall vor allem auf den Vertrieb. Aber auch die Anbieter werden ihre Unterlagen und Prozesse erneut anpassen müssen. Bezahlen muss das alles am Ende in erster Linie eine Gruppe: Die Anlegerinnen und Anleger.
Autor Stefan Löwer ist Cash.-Redakteur für die Ressorts Immobilien & Sachwertanlagen sowie Finanzberater und Geschäftsführer der zu Cash. gehörenden G.U.B. Analyse Finanzresearch GmbH. Er beobachtet den Markt der privaten Kapitalanlage bereits seit mehr als 35 Jahren.
