Startseite / Branchen / Versicherungen / Digitale Operationale Resilienz (DORA)
Versicherungen • Digitale Operationale Resilienz (DORA)
Digitale Operationale Resilienz (DORA)
Daher erfahren Sie, wie wir Ihre Interne Revision im Bereich Digitale Operationale Resilienz (DORA) unterstützen.
- DORA, RTS, ITS
- Kernfeld
Erfahren Sie, wie wir Ihre Interne Revision unterstützen.
Unverbindlich • Vertraulich • Kostenlos
Regulatorischer Rahmen & Prüfungsmaßstab
Seit dem 17. Januar 2025 gelten mit der EU-Verordnung DORA — Digital Operational Resilience Act — einheitliche Anforderungen an die digitale operationale Resilienz von Finanzunternehmen. Für Versicherungsunternehmen bildet DORA den zentralen europäischen Rahmen für das IKT-Risikomanagement, das Management IKT-bezogener Vorfälle, das Testen der digitalen operationalen Resilienz sowie die Steuerung von IKT-Drittparteienrisiken. Ergänzend sind die bestehenden Anforderungen aus Solvency II, VAG und MaGo weiterhin zu berücksichtigen, insbesondere im Hinblick auf Geschäftsorganisation, Risikomanagement, Ausgliederungen, Schlüsselfunktionen und Governance.
Die Interne Revision bewertet als unabhängige Instanz die Angemessenheit und Wirksamkeit des IKT-Risikomanagementrahmens. Der Prüfungsmaßstab orientiert sich an den Global Internal Audit Standards, der DORA-Verordnung, den einschlägigen technischen Regulierungs- und Durchführungsstandards sowie an den für Versicherungsunternehmen relevanten aufsichtlichen Vorgaben. Insbesondere unterstützen wir bei der Identifikation wesentlicher Prüfungsrisiken. Ebenso helfen wir Ihrer Revision bei der Bewertung interner Kontrollmechanismen. Überdies begleiten wir die Umsetzung regulatorischer Anforderungen.
Typische Prüfungsrisiken
Zudem zeigen sich in der Revisionspraxis regelmäßig prozessuale, organisatorische und dokumentationsbezogene Optimierungspotenziale zur Stärkung der digitalen operationalen Resilienz.
- Unvollständige Klassifizierung kritischer oder wichtiger Funktionen einschließlich zugehöriger Prozesse, Informationsassets, IKT-Assets und IKT-Abhängigkeiten.
- Unzureichende IKT-Governance und Verantwortlichkeiten, insbesondere fehlende oder unklare Rollen, Kontrollstrukturen, Eskalationswege und Einbindung des Leitungsorgans.
- Nicht hinreichend verankerte Strategie für digitale operationale Resilienz, insbesondere fehlende Verzahnung mit Geschäftsstrategie, Risikomanagement, IKT-Sicherheit und Drittparteiensteuerung.
- Lücken im IKT-Assetmanagement, insbesondere unvollständige Inventare, fehlende Klassifizierung, unklare Interdependenzen und nicht ausreichend dokumentierte Abhängigkeiten zu IKT-Drittdienstleistern.
- Unzureichendes IKT-Geschäftsfortführungsmanagement, insbesondere bei IKT-Geschäftsfortführungsleitlinie, Reaktions- und Wiederherstellungsplänen, Szenarien, Tests und Krisenkommunikation.
- Unzureichende Steuerung von IKT-Drittparteienrisiken, insbesondere bei Risikoanalysen, Due Diligence, Überwachung, Konzentrationsrisiken, Unterauftragsvergaben, Ausstiegsstrategien und Mindestvertragsinhalten.
Unser Prüfungsansatz im Co-Sourcing
Außerdem unterstützen wir als spezialisierter Partner Ihre Interne Revision durch eine strukturierte, risikoorientierte Beurteilung der DORA-Anforderungen. Unser Prüfungsansatz umfasst dabei insbesondere folgende Aspekte:
- IKT-Risikomanagement gemäß Artikel 5 bis 14 und 16 der Verordnung (EU) 2022/2554
- Dokumentation des IKT-Risikomanagementrahmen, Art. 5–14 DORA; Art. 6 Abs. 5 DORA; ggf. Art. 16 Abs. 2 DORA; RTS RMF
- IKT-Geschäftsfortführungsleitlinie nach Artikel 11 Absatz 1 Satz 1 der Verordnung (EU) 2022/2554
- Behandlung, Klassifizierung und Berichterstattung IKT-bezogener Vorfälle gemäß Artikel 17 bis 19 der Verordnung (EU) 2022/2554
- Testen der digitalen operationalen Resilienz gemäß Artikel 24 und 25 der Verordnung (EU) 2022/2554
- Management des IKT-Drittparteienrisikos gemäß Artikel 28 bis 30 der Verordnung (EU) 2022/2554 und
- Einhaltung der Meldepflicht in Bezug auf Vereinbarungen über den Austausch von Informationen gemäß Artikel 45 Absatz 3 der Verordnung (EU) 2022/2554
Typische Prüfungsschwerpunkte
IKT-Risikomanagement und DOR-Strategie
Ebenso prüfen wir Strategische Ausrichtung, Governance, Verantwortlichkeiten und Steuerung des IKT-Risikomanagements.
Klassifizierung kritischer oder wichtiger Funktionen
Ferner identifizieren wir Identifikation und Bewertung kritischer oder wichtiger Funktionen, IKT-Assets, Prozesse und Abhängigkeiten.
IKT-Vorfallmanagement und Reporting
Außerdem analysieren wir Erkennung, Klassifizierung, Eskalation, Meldung und Nachverfolgung IKT-bezogener Vorfälle.
IKT-Geschäftsfortführung und Resilienztests
Darüber hinaus prüfen wir Prüfung von Wiederanlauf, Reaktions- und Wiederherstellungsplänen, Sicherheitstests und Maßnahmenverfolgung
IKT-Drittparteiensteuerung
Ebenfalls steuern wir Steuerung von IKT-Drittdienstleistern
Reporting an Vorstand
Zudem sichern wir Berichtswesen, Entscheidungsgrundlagen und Integration der digitalen operationalen Resilienz in das Governance-System.
Mehrwert für Ihr Unternehmen
Ihr Nutzen auf einen Blick
- Objektive Assurance: Unabhängiger Nachweis der Regeltreue gegenüber der Aufsicht, dem Vorstand und dem Aufsichtsrat.
- Fachliche Entlastung: Unterstützung der Internen Revision bei technisch komplexen und regulatorisch anspruchsvollen DORA-Prüfungen.
- Nachhaltige Governance: Weiterentwicklung der IKT-Kontrollstrukturen zur Sicherung einer langfristigen digitalen Resilienz.
Digitale Operationale Resilienz (DORA): Warum Co-Sourcing?
Erfahrung, die den Unterschied macht
Schließlich bietet unser Co-Sourcing-Modell Ihrer Internen Revision eine flexible Ergänzung durch Experten, die sowohl die versicherungsspezifischen Governance-Anforderungen als auch die technischen Prüfungsaspekte moderner IT-Infrastrukturen beherrschen.
Wir agieren als partnerschaftliche Unterstützung – für eine belastbare digitale Resilienz und eine aufsichtssichere Umsetzung der europäischen Anforderungen. Darüber hinaus bringen wir umfangreiche Prüfungserfahrung aus vergleichbaren Projekten mit.
Interne Revision DORA Versicherungen — Für eine nachhaltige digitale Resilienz und eine transparente IT-Governance.
Verwandte Prüfungsfelder
Ausgliederung
Outsourcing-Governance, Dienstleistersteuerung & Wesentlichkeitsprüfung.
DORA Compliance
Digitale operationale Resilienz, ICT-Risikomanagement & Incident-Reporting.
Optimieren Sie Ihre DORA-Prüfung
Vereinbaren Sie jetzt ein unverbindliches Erstgespräch mit unseren Experten.