IKT-Kontrollfunktion auslagern, IKT-Resilienz stärken und den Fokus wieder auf das Kerngeschäft legen
Die IKT-Kontrollfunktion lässt sich auslagern. Das eröffnet Versicherungen und Finanzunternehmen neuen Spielraum für Innovation und den Fokus auf ihre Kernaufgaben – ohne Kompromisse bei Compliance und Sicherheit. Mit der EU-Verordnung DORA (Digital Operational Resilience Act) steigen die Anforderungen an Cybersicherheit, Resilienz und das Management digitaler Risiken deutlich. Gleichzeitig nehmen Transparenz- und Nachweispflichten zu, und die Verantwortung des Vorstands für IKT-Risiken ist klar und unmissverständlich geregelt. Fachkräfte sind rar, interne Kapazitäten begrenzt. Eine externe IKT-Kontrollfunktion schafft sofortige Entlastung, Sicherheit und regulatorische Klarheit.
„Regulatorische Sicherheit und Effizienz schließen sich nicht aus. Unser Managed Service macht die IKT-Kontrollfunktion DORA-konform – schnell, flexibel und zukunftssicher.“
Auszug aus dem FS Digital Risk Barometer 2025
Machen Sie den Reifegrad-Check!
Dauer: 5min
Zwischen Compliance und Kosten: Wie DORA zur Belastungsprobe wird
Die Anforderungen an die IKT-Kontrollfunktion in Versicherungen und Finanzunternehmen steigen – und viele Versicherungen und Institute geraten zunehmend unter Druck. Das aktuelle FS Digital Risk Barometer zeigt: Bei 70 % der befragten Versicherungen und Finanzunternehmen ist die IKT-Kontrollfunktion noch nicht angemessen ausgestaltet. Diese Lücke ist nicht nur ein regulatorisches Risiko, sondern auch ein operatives. Gleichzeitig halten 76 % der Unternehmen ihren Umsetzungsstand der schriftlichen Ordnung für nicht DORA-konform. Die Mehrheit der Branche steht damit vor der Herausforderung, regulatorische Anforderungen effizient und compliant umzusetzen – und das, ohne den Fokus auf das Kerngeschäft zu verlieren. Regulatorische Versäumnisse in der IKT-Kontrollfunktion und der schriftlichen Ordnung gefährden nicht nur die Compliance, sondern erhöhen auch das Risiko von Sanktionen und Vorfällen. Um dies zu vermeiden, müssen Versicherungen und Finanzunternehmen ihre DORA-Konformität gezielt stärken.
Dringlichkeit und Effizienzdefizite
Bereits 32 % der teilnehmenden Organisationen berichten, zwischen dem 17.01.2025 und Anfang Mai einen schwerwiegenden IKT-Vorfall erlebt zu haben. Diese Vorfälle hatten finanzielle und reputationsbezogene Auswirkungen und verdeutlichen, wie dringend Handlungsbedarf besteht. Nur 11 % der befragten Organisationen nutzen bereits Künstliche Intelligenz oder planen deren Einsatz im DORA-Umfeld. Dabei könnten KI-gestützte Prozesse, wie automatisierte Vertragsprüfungen, erhebliche Effizienzgewinne einfahren und Ressourcenengpässe abfedern.
Institute stehen vor der Wahl: Make or Buy
Versicherungen und Finanzunternehmen stehen vor der Entscheidung: in den kostspieligen Aufbau interner IKT-Kontrollkompetenzen investieren oder auf eine effiziente Alternative setzen. Genau hier greift der Managed Service von PwC. Der Service übernimmt Aufgaben der IKT-Kontrollfunktion vollständig oder in Teilbereichen und bietet sofortige regulatorische Sicherheit, Effizienz und Zugang zu spezialisiertem Know-how.
Die PwC-Experten sind sofort einsatzbereit, bringen Best Practices aus über 250 DORA-Projekten und über 300 Fachexperten aus den Bereichen Banking and Insurance mit und arbeiten vom ersten Tag an produktiv – ohne Einarbeitungszeit, Schulungen, Weiterbildungen oder Vertretungsregelungen. Sie entscheiden, wann und in welchem Umfang Sie welche Expertise benötigen – und greifen dabei flexibel auf unser gesamtes Expertenteam zu, auch kurzfristig oder in Ad-hoc-Situationen. Durch den flexiblen und skalierbaren Ressourceneinsatz entstehen keine Ausfallzeiten, und Kapazitäten können jederzeit an aktuelle Anforderungen angepasst werden – auch im Notfall oder bei unerwarteten Engpässen. Versicherungen und Finanzunternehmen profitieren von direkten Kosteneinsparungen von bis zu 50 %, ohne interne Aufwände oder Ressourcenbindung.
Unsere Leistungen im Überblick
- IKT-Risikomanagement
- IKT-Vorfallmanagement
- DOR-Testprogramm
- Security Assessments
- Security Awareness
- Internes Kontrollsystem (IKS)
IKT-Risikomanagement
Wir übernehmen das IKT-Risikomanagement für Sie – von der kontinuierlichen Verbesserung der DOR-Strategie und Nachverfolgung der Zielerreichung bis zur Pflege Ihrer Informationssicherheitsleitlinie und Sicherheitsrichtlinien. Wir beraten bei der Festlegung der Risikotoleranzschwelle, identifizieren laufend alle relevanten IKT-Risiken und initiieren geeignete Maßnahmen zur Risikobehandlung sowie zum Umgang mit Restrisiken. Zudem bereiten wir das Reporting für das Leitungsorgan vor und stellen durch regelmäßige Überprüfungen die Wirksamkeit des IKT-Risikomanagementrahmens sicher.
IKT-Vorfallmanagement
Wir übernehmen das IKT-Vorfallsmanagement für Sie – von der schnellen Unterstützung oder vollständigen Übernahme bei der Bearbeitung, Meldung und Dokumentation von IKT-Vorfällen bis hin zur Einhaltung aller regulatorischen Fristen. Wir kontrollieren und pflegen regelmäßig die Kriterien zur Erkennung von IKT-Vorfällen, aktualisieren die Richtlinie zum IKT-Vorfallmanagement und setzen Verfahren zur Ermittlung und Aufbereitung von Schäden um. Zudem bereiten wir die Ergebnisberichterstattung für das Leitungsorgan professionell auf und unterstützen Sie dabei, Geschäftsunterbrechungen zu minimieren und Sanktionsrisiken zu vermeiden.
DOR-Testprogramm
Wir übernehmen für Sie das DOR-Testprogramm – von der Erarbeitung eines strukturierten Testplans zur Überprüfung der digitalen operationellen Resilienz bis zur Überwachung der Durchführung geeigneter Tests, wie Quellcodeprüfungen, Schwachstellenscans, Netzwerksicherheitsbewertungen, Überprüfungen der physischen Sicherheit und Penetrationstests. Darüber hinaus bereiten wir die Ergebnisberichterstattung für das Leitungsorgan auf und stellen sicher, dass alle Erkenntnisse transparent dokumentiert und gezielt in Verbesserungsmaßnahmen überführt werden.
Security Assessments
Wir übernehmen für Sie die Durchführung von Security Assessments – von der Überwachung der Umsetzung Ihrer Sicherheitsrichtlinien bis zur regelmäßigen Analyse und Bewertung von Veränderungen in der IKT-Umgebung. Wir prüfen kontinuierlich, ob Anpassungen in der Geschäfts- oder DOR-Strategie im IKT-Gesamtrisikoprofil berücksichtigt werden, führen regelmäßige Bedrohungsanalysen durch und initiieren sowie kontrollieren den Soll-Ist-Abgleich. So stellen wir sicher, dass Sicherheitsrisiken frühzeitig erkannt und gezielt adressiert werden.
Security Awareness
Wir übernehmen für Sie den Aufbau und die Umsetzung von Security-Awareness-Programmen. Dazu gehören die Entwicklung und Initiierung wirkungsvoller Maßnahmen zur Sensibilisierung für IKT-Sicherheit, digitale operationelle Resilienz, Business Continuity Management und Dienstleistersteuerung. Wir bereiten Schulungen vor, führen sie durch und übernehmen auch die Nachbereitung – einschließlich spezieller Trainings für das Leitungsorgan. Zudem messen wir den Erfolg der Programme und bereiten die Ergebnisse für das Reporting auf.
Internes Kontrollsystem (IKS)
Wir übernehmen für Sie die Weiterentwicklung Ihres Internen Kontrollsystems – von der Überarbeitung bestehender und der Entwicklung neuer Kontrollen bis zur Überwachung der Umsetzung aller Kontrollhandlungen. Zudem übersetzen wir neue rechtliche Anforderungen in wirksame interne Kontrollen und bereiten die Ergebnisberichterstattung für das Leitungsorgan professionell auf. So stellen wir sicher, dass Ihr Kontrollsystem aktuell, wirksam und insbesondere regulatorisch konform bleibt.
Unser Fazit
Mit dem Managed Service gewinnen Versicherungen und Finanzunternehmen maximale Flexibilität, minimieren Fehlerquellen und sichern die Qualität ihrer Ergebnisse nachhaltig. Durch skalierbare Betriebsmodelle lassen sich Fixkosten senken, während gleichzeitig volle Transparenz über den Ressourceneinsatz gewährleistet ist. Zudem ermöglicht das globale PwC-Netzwerk umfassende Unterstützung bei rechtlichen, technischen und organisatorischen Fragestellungen.
Sie entscheiden selbst, in welchem Umfang und auf welche Weise Sie unsere Services nutzen – wir stellen sicher, dass die benötigten Kapazitäten jederzeit verfügbar sind. Dank transparenter monatlicher Abrechnung und flexibler Kündigungsfristen behalten Sie die volle Kontrolle über Aufwand und Kosten. So verbinden Sie Planungssicherheit mit der Flexibilität, die moderne Finanzorganisationen heute brauchen.
Jetzt handeln und Wettbewerbsvorteile sichern!
Kontaktieren Sie uns jetzt!
