DORA-Compliance für Leasinggesellschaften: Was Sie jetzt wissen müssen
Viele Leasinggesellschaften haben DORA inzwischen umgesetzt. Richtlinien wurden ergänzt, Asset-Listen erstellt und Dienstleisterverträge überprüft. In vielen Häusern wurde dafür ein eigenes Projekt aufgesetzt, häufig begleitet von Beratern, Prüfern oder Kanzleien.
Damit ist ein großer Teil der formalen Anforderungen erfüllt.
Die Erfahrung aus der Praxis zeigt jedoch ein anderes Bild. Das eigentliche Thema beginnt meist erst nach Abschluss dieser Projekte. Denn DORA verlangt nicht nur Dokumentation. Die Verordnung verlangt von Unternehmen, dass sie ihre eigene digitale Abhängigkeit tatsächlich verstehen und dauerhaft beherrschen können.
Und genau an diesem Punkt wird es in vielen Leasinggesellschaften schwierig.
Die tatsächliche IT-Landschaft ist größer als die offizielle
Eine zentrale Anforderung von DORA ist die vollständige Inventarisierung aller IKT-Assets. In der Theorie wirkt diese Aufgabe überschaubar. Die wichtigsten Systeme sind bekannt, Infrastruktur und Anwendungen sind dokumentiert und viele Unternehmen gehen davon aus, ihre IT-Landschaft grundsätzlich zu überblicken.
Erst im Detail wird häufig sichtbar, dass ein Teil der operativen Prozesse außerhalb dieser klassischen Systemlandschaft stattfindet.
In vielen Leasinggesellschaften entstehen beispielsweise Restwertkalkulationen oder Refinanzierungsreportings nicht direkt im Kernsystem, sondern in Excel-Modellen oder individuellen Auswertungstools. Daten werden exportiert, weiterverarbeitet und anschließend wieder in andere Systeme zurückgeführt. Solche Lösungen sind über Jahre entstanden und funktionieren im Alltag meist zuverlässig.
Gerade deshalb werden sie intern selten als Teil der kritischen IT wahrgenommen.
Unter DORA verändert sich diese Perspektive jedoch. Sobald ein Prozess geschäftskritische Daten verarbeitet oder operative Entscheidungen beeinflusst, gehört er regulatorisch zur digitalen Infrastruktur eines Unternehmens. Viele Organisationen stellen deshalb erst im Rahmen der Umsetzung fest, dass ihre tatsächliche IT-Landschaft deutlich größer ist als die offiziell dokumentierte.
DORA deckt damit weniger neue Risiken auf, sondern macht bestehende Abhängigkeiten erstmals sichtbar.
Abhängigkeiten von Mutterbanken und Refinanzierungspartnern
Eine zweite Besonderheit vieler Leasinggesellschaften liegt in ihrer engen Verzahnung mit anderen Finanzinstituten. IT-Systeme, Infrastruktur oder zentrale Plattformen werden häufig gemeinsam mit der Mutterbank betrieben oder sind eng mit Refinanzierungspartnern verbunden.
Im operativen Alltag wirkt diese Struktur oft stabil. Schnittstellen funktionieren, Datenflüsse sind etabliert und Verantwortlichkeiten haben sich über Jahre eingespielt.
Aus regulatorischer Sicht entsteht dadurch jedoch eine andere Fragestellung. DORA verlangt Transparenz darüber, welche externen Anbieter für den Geschäftsbetrieb kritisch sind und welche Auswirkungen ein Ausfall dieser Systeme hätte.
In vielen Projekten führt diese Analyse zu einer Erkenntnis, die vorher selten explizit formuliert wurde: Ein Teil der operativen Handlungsfähigkeit hängt von Systemen ab, die außerhalb der eigenen Organisation betrieben werden.
Solange diese Systeme stabil laufen, bleibt diese Abhängigkeit im Alltag unsichtbar. Erst wenn regulatorisch verlangt wird, sie systematisch zu bewerten und in Business-Continuity-Planungen einzubeziehen, wird ihre tatsächliche Bedeutung deutlich.
Regulierung trifft auf die Realität kleiner Organisationen
Eine weitere Herausforderung ergibt sich aus der Organisationsstruktur vieler Leasinggesellschaften. Während große Banken häufig über spezialisierte Abteilungen für IT-Governance, Informationssicherheit und Drittparteienmanagement verfügen, arbeiten Leasinggesellschaften meist mit deutlich kleineren IT-Teams.
Diese Teams betreiben Systeme, unterstützen Fachbereiche, begleiten Projekte und sichern gleichzeitig den operativen Betrieb.
Mit DORA kommen zusätzliche Aufgaben hinzu. Risikobewertungen müssen regelmäßig aktualisiert werden, Vorfallprozesse müssen getestet werden und Drittparteien müssen kontinuierlich überwacht werden. Die regulatorische Logik dahinter ist nachvollziehbar.
In der Praxis bedeutet sie jedoch häufig, dass dieselben Personen, die für den stabilen Betrieb der Systeme verantwortlich sind, gleichzeitig eine wachsende Zahl regulatorischer Prozesse steuern müssen.
In vielen Organisationen entsteht dadurch eine Situation, in der die regulatorischen Strukturen formal existieren, ihre dauerhafte Umsetzung im Alltag jedoch deutlich anspruchsvoller ist als in der Projektphase angenommen.
Do you have questions about this topic?
Our experts are happy to advise you — no obligations, tailored to your needs.
Get in touchWas DORA tatsächlich sichtbar macht
Viele Unternehmen betrachten DORA zunächst als weiteres regulatorisches IT-Projekt. In der Praxis zeigt sich jedoch häufig eine andere Wirkung.
Die Verordnung zwingt Organisationen dazu, Fragen zu beantworten, die lange nicht gestellt werden mussten. Welche Systeme sind wirklich geschäftskritisch? Welche Prozesse hängen voneinander ab? Welche externen Partner sind für den operativen Betrieb unverzichtbar?
Gerade in Leasinggesellschaften zeigt sich dabei häufig, wie viele Abläufe auf gewachsenen Strukturen, pragmatischen Lösungen und implizitem Wissen beruhen.
DORA verändert diese Strukturen zunächst nicht. Die Regulierung sorgt lediglich dafür, dass sie erstmals vollständig sichtbar werden.
Die entscheidende Frage für viele Leasinggesellschaften lautet deshalb nicht mehr, ob die formalen Anforderungen erfüllt sind. Entscheidend ist, ob ein Unternehmen tatsächlich versteht, wovon sein operativer Betrieb digital abhängt – und ob es dieses Wissen auch im Alltag steuern kann.
Table of contents
