Die digitale Transformation wurde in den letzten Jahren zum dominierenden Schlagwort in der Versicherungstechnologie. Für vorausschauende Versicherer war die Entscheidung klar: Entweder sie stellen sich dem Wandel, modernisieren ihre Abläufe und digitalisieren ihre Prozesse, oder sie bleiben hinter der sich schnell entwickelnden Branche zurück.
Während sich Versicherer bemühten, den Sprung in die digitale Welt zu schaffen, beschleunigten sich Fortschritt und Wachstum immer mehr. Geschwindigkeit und Qualität der Services konnten merklich verbessert werden. Kunden waren begeistert von dieser neuen Ära der kundenorientierten Dienstleistung. Auf der anderen Seite haben die schnelle Digitalisierung und die Abhängigkeit von digitalen Technologien und Dienstleistungen Dritter zu einem Anstieg der Sicherheitsrisiken geführt. Zu diesen Risiken gehören schwerwiegende Unterbrechungen der Betriebsabläufe durch Cyberangriffe sowie Probleme mit der Informations- und Kommunikationstechnologie (IKT).
Um Versicherungsunternehmen vor digitalen Risiken besser zu schützen, muss das Risiko- und Compliance-Management eng mit der IT und der Informationssicherheit zusammenarbeiten. Großen Einfluss nehmen wird dabei das Gesetz über die Widerstandsfähigkeit des digitalen Betriebs (Digital Operational Resilience Act, DORA), das im Januar 2025 in der EU in Kraft treten wird. Damit kommen auf die Versicherungsbranche festgelegte Standards für IT-Systeme, Cybersicherheit und betriebliches Risikomanagement zu. DORA führt strenge Vorschriften ein, um die digitale betriebliche Resilienz von Finanz- und Versicherungsunternehmen zu stärken, Risiken zu mindern und gleichzeitig digitale Innovation und Wettbewerb zu fördern.
Die weitreichenden Auswirkungen von DORA auf Versicherer und Rückversicherer betreffen kritische Funktionen wie Zahlungen, Schadenmanagement und digitales Underwriting. Im Rahmen von DORA werden Zahlungen für Lebensversicherungsprodukte als kritische Zahlungen betrachtet, die ähnlich wie Bankzahlungen geprüft werden. Dies gilt auch für Schadenszahlungen für Produkte wie Einkommensschutz, schwere Krankheiten, Unfälle, Todesfallleistungen usw., so dass sich die Lebens- und Krankenversicherer einem laufenden Countdown zur Einhaltung der Vorschriften gegenübersehen.
Im vernetzten Ökosystem von heute lagern Versicherungsunternehmen ihre IKT-Systeme und -Dienste häufig an Drittanbieter aus, um ihren Kunden optimale Services anbieten zu können. DORA verlangt von den Versicherern ein klares Management dieser Anbieter, um sicherzustellen, dass sie die Anforderungen an das IKT-Risikomanagement, die Ausfallsicherheitstests und die Meldung von Vorfällen erfüllen. Dies kann dazu führen, dass die Versicherer ihre Verträge neu aushandeln oder sogar den Anbieter wechseln müssen, um die Vorgaben von DORA zu erfüllen.
Die Versicherer werden auch systematische Tests ihrer digitalen Infrastruktur durchführen müssen, um die Widerstandsfähigkeit ihres Betriebs zu bewerten. Sie müssen sich über potenzielle Bedrohungen im Klaren sein und Pläne entwickeln, um Störungen und Ausfälle zu bewältigen. Die Versicherer müssen auch die Auswirkungen neuer Produkte und Dienstleistungen auf die Sicherheit bewerten, ebenso wie alle Änderungen an bestehenden Produkten und Dienstleistungen. Angesichts der raschen Entwicklung der Bedrohungen müssen diese Bewertungen ständig aktualisiert und verbessert werden.
Im Rahmen von DORA müssen Versicherer proaktive Maßnahmen ergreifen, um Informationen über Cyber-Bedrohungen innerhalb der Branche freiwillig auszutauschen. Dies wird die gemeinsame Verantwortung für das Erkennen und Beheben von Sicherheitsverletzungen im gesamten Versicherungsbereich fördern. Zu den DORA-Protokollen für das Störfallmanagement und die Wiederherstellungsplanung gehören klare und wirksame interne wie externe Kommunikationspläne zur Information von Kunden und anderen Beteiligten.
Um sich an die neuen Vorschriften anzupassen, integrieren Versicherer DORA bereits in ihren bestehenden Risikorahmen. DORA ist ein wichtiger Meilenstein für den Versicherungssektor: Zum ersten Mal werden Cybersicherheit und digitale betriebliche Widerstandsfähigkeit als wesentliche Voraussetzungen für die Gewährleistung von Finanzstabilität und Marktintegrität im vernetzten, digitalen Zeitalter gesetzlich anerkannt. Millionen von Menschen sind in ihrer Not auf die Versicherungsbranche angewiesen, weshalb Herausforderungen wie Cyber-Bedrohungen systematisch angegangen werden müssen.
Im Januar 2024 wurden beispielsweise bei einem Cyberangriff auf zwei führende IT-Anbieter, die zahlreiche Versicherungsunternehmen beliefern, die Daten von mehr als 33 Millionen Menschen in Frankreich, also etwa der Hälfte der Bevölkerung, kompromittiert. Laut einer jährlichen DNB-Umfrage zur Informationssicherheit erlitten mehr als 15 % der Pensionsfonds und Versicherungsunternehmen in den Niederlanden im Jahr 2021 erhebliche Schäden durch Cyberkriminalität.
Indem DORA den Rahmen für Governance, Risikomanagement und Sicherheitstests zur Gewährleistung von Widerstandsfähigkeit und uneingeschränktem Wachstum harmonisiert, ist das neue Regelwerk ein kaum zu unterschätzender Schritt für Versicherer. Wenn sie die DORA-Standards für Dateneffizienz und -sicherheit erfüllen, setzen sie gleichzeitig auf Vertrauen, Leistung und Kosteneffizienz und verschaffen sich so einen Wettbewerbsvorteil. Durch die Auslagerung an DORA-konforme, bewährte Experten können Versicherer die hohen Kosten reduzieren, die mit dem internen Umgang mit der Regulierungslandschaft verbunden sind.
Führende Softwareanbieter wie Sapiens stellen Versicherern eine bewährte, cloudbasierte Plattform zur Verfügung, die robust, sicher und skalierbar ist. Dies ist nicht nur für die Einhaltung der DORA-Bestimmungen von entscheidender Bedeutung, sondern hat auch die höchste betriebliche Effizienz, die Senkung von Kosten und Risiken und die Sicherung eines Wettbewerbsvorteils zum Ziel.
DORA wird zu einem Anstieg des IT-Outsourcings führen: Versicherer arbeiten dann mit vertrauenswürdigen DORA-konformen Partnern wie Sapiens zusammen, die ein Gütesiegel dafür bieten können, dass ihre Daten mit größter Sorgfalt und Gewissenhaftigkeit behandelt werden. Die Einhaltung der DORA-Vorschriften ist nicht nur ein Regelwerk, sondern steht vielmehr für das Engagement rund um höchste Standards im Datenmanagement.
Zur Vorbereitung auf DORA hat Sapiens im vergangenen Jahr eine interne Arbeitsgruppe eingerichtet, die die Anforderungen von DORA prüfen, die betroffenen Dienstleistungen von Sapiens bewerten und interne Aufgaben planen sollte, die bis Januar 2025 abgeschlossen sein müssen. Sapiens steht seinen Kunden für alle Fragen zu DORA zur Verfügung.