DORA, KI-VO, MaGo und die Auswirkungen auf das Risikomanagement
Der Beitrag fasst die zentralen Erkenntnisse des Erfahrungsaustausches Outsourcing unter Solvency 2 zusammen.

Am 17. Januar 2025 ist der Digital Operational Resilience Act (DORA) in Kraft getreten. Europäische Finanzinstitute sind verpflichtet, ihre Cybersicherheit und operative Widerstandsfähigkeit deutlich zu erhöhen. Die umfassenden Anforderungen reichen von der Meldung von Sicherheitsvorfällen bis hin zum Risikomanagement entlang der Lieferkette. Als besonders herausfordernd erweist sich dabei das Third Party Risk Management, wie unter anderem der Erfahrungsaustausch Outsourcing unter Solvency II im Dezember 2024 gezeigt hat.
Neue regulatorische Anforderungen wie DORA, die KI-VO und die überarbeiteten MaGo-Richtlinien stellen die Unternehmen vor die Herausforderung, ihre Outsourcing-Prozesse anzupassen und umfassend zu optimieren. Der Beitrag zeigt auf, wo die Versicherer stehen und welche Herausforderungen zu meistern sind.
DORA und die Herausforderungen des Drittparteien-Risikomanagements
Jochen Zengler von der Bundesanstalt für Finanzdienstleistungsaufsicht gab beim Erfahrungsaustausch im Dezember 2024 einen Überblick über aktuelle regulatorische Entwicklungen mit Relevanz für das Outsourcing. Neben der Vorstellung der wichtigsten Überarbeitungen der MaGo lag ein besonderer Fokus des Vortrags auf den Auswirkungen des Digital Operational Resilience Act auf das Risikomanagement von Drittparteien. Dieses erweist sich als herausfordernd, wie die Erfahrungsberichte aus den Versicherungsunternehmen zeigten.
Marc André Kiehl, Ausgliederungsmanager / Compliance bei der SV SparkassenVersicherung Holding AG, betonte, dass die intensive Vorarbeit durch VAIT nicht genüge, um für DORA ausreichend gewappnet zu sein. Hier wurden bereits neue Systeme eingeführt, Richtlinien angepasst und das Ausgliederungsmanagement neu aufgesetzt. Eine DORA-Gap-Analyse zeigte jedoch neue Handlungsfelder auf, die sich aus der Verordnung ergeben und im Rahmen eines DORA-Projektes umgesetzt wurden und werden.
Auch das World Café am zweiten Tag des Erfahrungsaustausches verdeutlichte nochmals zentrale Handlungsfelder. So zeigte sich bereits hier, dass es Klärungsbedarf bei der Frage gibt, was DORA-relevant ist. Denn nicht alles, was ausgelagert wird, fällt unter DORA: Der Sinn und Zweck der Resilienz muss erfüllt sein - hat das System einen kritischen Einfluss auf mein Unternehmen? Weitere Diskussionsthemen waren das Echtzeit-Monitoring und die Bewertung von KI-Systemen. Die Expertinnen und Experten des Treffens sahen ein Echtzeit-Monitoring derzeit als nicht wirklich realistisch und umsetzbar an. Interessant wäre hingegen ein Überblick über Outsourcing-Verlustereignisse, um mögliche Risiken langfristig abschätzen zu können.
Auswirkungen der KI-VO auf das Ausgliederungsmanagement
Das aktuelle regulatorische Umfeld stellt Unternehmen der Versicherungsbranche vor die Herausforderung, sich intensiv mit den rechtlichen und operativen Konsequenzen des Outsourcings und des Einsatzes künstlicher Intelligenz auseinanderzusetzen. Zwei Expertenbeiträge beleuchten die zentralen Aspekte, die Versicherer beim Einsatz von künstlicher Intelligenz berücksichtigen müssen.
Bouchra Darbyou-Assakkali, Rechtsanwältin (Syndikusanwältin), Outsourcing-Koordinatorin bei der Baloise Versicherungen, gab einen Überblick über die KI-VO und die sich daraus ergebenden rechtlichen Implikationen. Sie betonte, dass die Einführung der KI-VO am 2. August 2024 neue Pflichten für Versicherer mit sich bringt - von Überwachungsprozessen über initiale Risikoanalysen (bei Hochrisiko-KI) bis hin zur Dokumentation von Systemänderungen. Weitere Diskussionspunkte waren:
- Wann wird der Einsatz von KI versicherungsrechtlich relevant und wie ist dies im Hinblick auf Outsourcing rechtlich zu bewerten?
- Wann ändert sich die Rolle des Versicherers vom Betreiber zum Anbieter von IT-Systemen? Denn damit sind auch haftungsrechtliche Fragen verbunden.
- Ein weiterer wichtiger Aspekt ist die Entwicklung von Eingriffsprotokollen, um den richtigen Zeitpunkt für die menschliche Überwachung zu definieren, sowie die klare Dokumentation von Änderungen bei Ausgliederungen im Hinblick auf die Klärung von Haftungsfragen.
Einen Best-Practice-Beitrag zum Ausgliederungsmanagement lieferte Pierre Meretz, Spezialist operationales Risikomanagement bei der SIGNAL IDUNA Gruppe. Die SIGNAL IDUNA setzt auf umfassende Risikoanalysen bei Fremdbezügen, wie z.B. bei der Nutzung von Cloud-Diensten (Google). Das Ausgliederungsmanagement vereint dabei die Entwicklung von Leitlinien, das Risikomanagement und die rechtliche Unterstützung bei Vertragsverhandlungen. Den Fachbereichen kommt dabei eine Schlüsselrolle zu, während das Ausgliederungsmanagement die abschließende Bewertung und Überwachung übernimmt - insbesondere im Kontext von VAIT, MaGo und der KI-VO. Darüber hinaus behält sich das Ausgliederungsmanagement ein Vetorecht vor. Regelmäßige Evaluierungen der IT-Dienstleister, Reporting von risikobehafteten Ausgliederungen und klare EXIT-Strategien sind laut dem Experten Erfolgsgaranten.
Der Austausch im Rahmen des World Cafés zeigte einmal mehr, dass die Bewertung von KI aufgrund der Komplexität von KI-Systemen durchaus schwierig ist. Hier sind die Fachbereiche ebenso gefordert wie eine klare Definition der Aufgaben von First und Second Line.
Fazit
Mit dem Inkrafttreten von DORA stehen europäische Finanzinstitute vor der Herausforderung, Cybersicherheit und operative Resilienz deutlich zu stärken. Besonders das Drittparteien-Risikomanagement erweist sich als komplex, da klare Definitionen und neue Prozesse erforderlich sind.
Zusätzlich bringt die KI-VO neue Pflichten, wie Risikoanalysen und Dokumentationsanforderungen, die den Umgang mit KI-Systemen und deren rechtliche Bewertung erschweren. Best-Practice-Beispiele zeigen, dass eine Kombination aus Risikoanalysen, klaren Leitlinien und regelmäßiger Evaluierung essenziell für ein effektives Ausgliederungsmanagement ist. Insgesamt verdeutlicht die aktuelle Regulierungslandschaft die Notwendigkeit eines strategischen und ganzheitlichen Ansatzes zur Bewältigung der rechtlichen und operativen Herausforderungen. Nur durch kontinuierliche Anpassung und Innovation können Unternehmen langfristig die Balance zwischen Compliance und operativer Effizienz sicherstellen.