Die DORA-Verordnung leichter umsetzen mit Guidewire Cloud

  • Sebastia Company Mas

August 23, 2022

Die Fähigkeit, sich anpassen und schnell auf immer neue Marktbedingungen reagieren zu können, ist seit jeher einer der wesentlichen Gründe für Cloud-Lösungen. Ungefähr zu der Zeit, als Guidewire sich entschied, bei der Umstellung der Versicherungsbranche auf vielseitigere, cloudbasierte und SaaS-basierte Modelle für deren Kernsysteme eine führende Rolle einzunehmen, zählte die DSGVO zu den größten Herausforderungen für die Branche und praktisch die gesamte Wirtschaft. Sicherlich haben viele führende (und weniger führende) Wirtschaftsvertreter die DSGVO immer noch als disruptive Kraft in Erinnerung, die häufig komplexe Implementierungen und Kopfschmerzen zur Folge hatte.

Trotz der langen Vorlaufzeit bis zum Inkrafttreten der Verordnung musste man feststellen, dass starre Altsysteme nicht gut für Veränderungen ausgelegt sind. Zudem haben die Covid-19-Pandemie und all die Verwerfungen, die sie in der Welt ausgelöst hat, einmal mehr gezeigt, dass Systeme flexibel, agil und sicher sein müssen.

Zweifellos besteht eine vollständige Anpassung an neue Marktbedingungen aus vielen schwer zu fassenden Einzelaufgaben. Prozesse, Menschen und Technologie müssen zusammenwirken, um in einer neuen Umgebung erfolgreich zu sein. Wenn Unternehmen dabei Software verwenden, die flexibel und sicher ist, sowie regelmäßig aktualisiert wird, gestaltet sich alles viel einfacher. Im Bereich Software-as-a-Service arbeiten Anbieter oft mit mehreren Kunden. Auch der Kundenkreis von Guidewire besteht aus den verschiedensten Versicherern. Die meisten von ihnen sehen sich mit den gleichen regulatorischen Anforderungen konfrontiert, auf die wir bei der Anpassung an ihre jeweiligen Bedürfnisse reagieren müssen.

Whitepaper 'Guidewire InsuranceSuite und die Europäische Datenschutz-Grundverordnung (EU-DSGVO)'

Es ist nun schon einige Jahre her, dass die DSGVO ins Spiel kam. Auch wenn Fortschritte gemacht wurden, gibt es nach wie vor Versicherer mit alten On-Premises-Systemen, die möglicherweise weniger gut für eine Anpassung an neue, potenziell disruptive Gesetze oder Vorschriften gerüstet sind. Und jetzt gibt es den perfekten Kandidaten, der die Finanz- und Versicherungsbranche im Jahr 2022 beschäftigen wird: der „Digital Operations Resilience Act“, kurz DORA. Was ist DORA und wie sorgt Guidewire für die Einhaltung der neuen Bestimmungen? Sehen wir uns das Ganze etwas näher an.

Was ist DORA?

Der Digital Operations Resilience Act (DORA) ist der Versuch der Europäischen Union, die IT-Sicherheit und Betriebsstabilität bei Unternehmen des EU-Finanzsektors zu verbessern. DORA betrifft auch Unternehmen, die Software und zugehörige Services in diesem Bereich anbieten. In den kommenden Monaten werden der Europäische Rat und das Europäische Parlament über die endgültige Fassung des DORA-Verordnungsentwurfs verhandeln. Obwohl DORA noch nicht in Kraft ist, verfolgt Guidewire die Entwicklung aufmerksam. Gemeinsam mit unserem Hosting-Anbieter AWS begrüßen wir diese Initiative und gehen davon aus, dass wir die Anforderungen von DORA in ihrer derzeitigen Fassung erfüllen können.

Das Ziel von DORA ist es, einen einheitlichen Standard für das Risikomanagement in der Informations- und Kommunikationstechnologie (IKT) in Europa zu schaffen. DORA soll mehrere Rahmenregelungen für das IKT-Risikomanagement durch einen einheitlichen Ansatz für den Umgang mit IKT-bezogenen Vorfällen in der europäischen Finanz- und Versicherungsbranche ersetzen. Guidewire unterstützt diesen Ansatz. DORA befasst sich auch mit der Betriebsstabilität in der Finanzbranche. Ziel ist es, die Betriebskontinuität auch dann zu gewährleisten, wenn ein Unternehmen von einem disruptiven Ereignis, wie z. B. einem Cyberangriff, betroffen ist. DORA sieht ebenso vor, dass Drittanbieter im Bereich kritischer IKT-Infrastruktur („CTPP“) im Rahmen von Outsourcing-Vereinbarungen regulatorische Standards einhalten müssen. Diese Anforderung wird von den Europäischen Aufsichtsbehörden („ESA“), wie etwa der EIOPA (für die Versicherungsbranche), definiert und überwacht werden.

Wie sorgt Guidewire für die Einhaltung der DORA-Vorschriften?

Guidewire ist der Ansicht, bereits einige der derzeit in DORA beschriebenen Anforderungen zu erfüllen:

• Gegenmaßnahmen bei Vorfällen: Sicherheit hat bei Guidewire höchste Priorität. Schon jetzt befolgen wir verschiedene Governance-Regelwerke, darunter SOC 2 und ISO 27001, die sich mit grundlegenden Sicherheitsfragen und dem Umgang mit Sicherheitsvorfällen in unserer Cloud-Umgebung befassen. Die Erfüllung dieser Anforderungen werden wir auch vertraglich zusichern.

• Governance und Monitoring: Die Compliance soll derzeit durch eine Kombination aus Kontrollen und der Verfügbarkeit spezifischer Daten für die externe Drittpartei ermittelt werden, darunter Service-Details, Protokollierung von Vorfällen und genauere Angaben über implementierte Maßnahmen zur Cyber-Risikoabwehr. Diese Anforderungen werden wir erfüllen können.

• Betriebsstabilität: Guidewire weiß, wie wichtig die Widerstandsfähigkeit und Betriebskontinuität von Dienstleistungen für unsere Kunden sind. Gemeinsam mit unserem Hosting Service Provider AWS sind wir uns darüber im Klaren, dass Finanzunternehmen besondere regulatorische Anforderungen an die Betriebsstabilität erfüllen müssen. Wir sind davon überzeugt, dass wir ein robustes Betriebsmodell geschaffen haben, das die Anforderungen von DORA erfüllt und Widerstandsfähigkeit in der Cloud gewährleistet. Dies werden wir auch vertraglich zusichern können.

Zusammenfassend lässt sich sagen, dass wir dank der Flexibilität von Guidewire Cloud gut vorbereitet sind. Veränderungen sind unvermeidlich, aber mit den richtigen Systemen müssen sie nicht schmerzhaft sein.