Feedback

Gepostet am 06. Mai 2024 von  Norman Nehls, Partner bei Severn Consultancy; Sinem Duygu Aydin, Consultant bei Severn Consultancy 🕐 5 min Lesezeit

Sind Ihre IT-Dienstleister bereits „DORA ready“?

Die Verordnung über die digitale operationale Resilienz im Finanzsektor (DORA) zielt darauf ab, europaweite Regelungen zur Cybersicherheit zu harmonisieren und den Schutz vor Cyberrisiken zu erhöhen. Zu diesen Cyberrisiken gehören auch Risiken, die entlang der Auslagerungskette ausschlaggebend sind. Die DORA-Verordnung erstreckt sich damit nicht nur auf Finanzdienstleister, sondern auch auf Unternehmen, die IKT-Dienstleistungen für die Finanzindustrie bereitstellen. Darüber hinaus werden globale IT-Dienstleister, die als "kritisch" eingestuft werden, künftig direkt durch die Aufsicht überwacht.

Im Vergleich zu bisherigen Regelungen der MaRisk und BAIT wird mit den DORA-Vorgaben der Begriff IKT-Dienstleister deutlich weiter gefasst. Unter den neuen Rechtsrahmen fallen somit Software- und Hardwareanbieter, Datendienste, Cloud-Provider, Dienstleister zur IT-Betriebsunterstützung (HelpDesk, IT-Sicherheit, IT-Wartung), aber auch IT-Projektunterstützung und IT-Beratungsdienstleistungen.


Lesen Sie dazu auch unseren ersten Teil der Serie


Vorgaben zum IKT-Drittparteienrisiko im Überblick

Die Anforderungen an das Management zum IKT-Drittparteienrisiko werden im Kapitel V Artikel 28 bis 30 der DORA Verordnung beschrieben und umfassen konkrete Vorgaben für eine Drittdienstleister-Strategie, Due-Diligence-Prüfung und Risikoanalyse, Inventarisierung der Dienstleister sowie erweiterte Vertragsanforderungen. Ferner werden diese Vorgaben durch zwei technische Regulierungsstandards (RTS) und einen Implementierungsstandard (ITS) konkretisiert (siehe Abbildung).

Der Auslagerungsbegriff neu definiert

Mit den DORA-Vorgaben entfällt der bisherige Auslagerungsbegriff gemäß MaRisk bzw. BAIT. DORA unterscheidet nicht mehr nach wesentlichen bzw. nicht wesentlichen Auslagerungen, sondern stellt auf kritische oder wichtige Funktionen ab. Insbesondere IT-Fremdbezüge, wie bspw. Datendienste oder Softwareprovider, erhalten damit eine deutlich höhere Bedeutung, sofern deren Ausfall die Geschäftstätigkeiten erheblich beeinträchtigen würde Für fachliche Auslagerungen bleibt die bisherige Regelungswelt (noch) erhalten, für IT-Auslagerungen gilt ab Januar 2025 die neue Systematik gemäß DORA. Für viele Finanzinstitute bedeutet dies eine Doppelbelastung, sofern Synergien aus den heutigen Vorgaben zu den neuen DORA Anforderungen nicht genutzt werden.

Informationsregister und Vertragsanforderungen im Griff behalten

Um Risiken aus der Auslagerung von IT-Dienstleistungen umfassender und detaillierter bewerten zu können, bringt die DORA zahlreiche neue Anforderungen an das Konzentrationsrisiko sowie die Inventarisierung in einem neuen „Informationsregister“ mit sich. Währenddessen das heutige Auslagerungsregister überschaubare Informationen bereithält, fordert DORA neu eine Datenbank mit insgesamt 15 einzelnen Sheets und mehr als 50 neuen Datenpunkten, von denen einzelne heute im Institut nicht vorliegen. Der Aufbau des Informationsregisters wie auch vertragliche neue Anforderungen erfordern die Mitwirkung der IKT-Dienstleister. Für eine zeitgerechte Umsetzung ist es daher unabdingbar, die relevanten IT-Dienstleister frühzeitig in die eigenen Umsetzungsmaßnahmen zum IKT-Drittparteienrisiko einzubinden. 

Um schnell und zuverlässig einen Überblick über die notwendigen Anpassungen an den Verträgen mit IT-Dienstleistern zu erhalten, hilft die folgende Checkliste Zum Dokument

‘Dry run’ to prepare for DORA:

Die Europäischen Aufsichtsbehörden planen die freiwillige Durchführung einer „Trockenübung“ zur Implementierung der Digital Operational Resilience Act (DORA). Im Mai 2024 wird die freiwillige Erhebung von Informationen über IKT-Auslagerungen gestartet. Im Rahmen dieses Probelaufs können die beteiligten Finanzunternehmen im Juli und August 2024 ihr bis dahin vorbereitetes Informationsregister gemäß DORA an die zuständige Aufsicht geben.  

Weitere Informationen erhalten Sie im Factsheet.

Zusammenfassung

Aufbauend auf den bisherigen Erfahrungen von Severn in der Analyse und Umsetzung der DORA Vorgaben im IKT-Drittparteienrisiko sehen wir insbesondere folgende Herausforderungen und Problemfelder

  • Erstellung einer Strategie zum IKT-Drittparteienrisiko (Verweis aus der IT-Strategie, langfristige Orientierung, Definition von Zielen und KPI‘s) 

  • Identifizierung kritischer oder wichtiger IKT-Funktionen sowie damit verbundener KT-Dienstleister (Erweiterung der bisherigen Business-Impact-Analyse) 

  • Erhöhte Anforderungen an die Weiterverlagerung (Vergabe von Unteraufträgen), u.a. Risikobewertung, Transparenz über die komplette Auslagerungskette und Überwachung dieser 

  • Neubewertung von IT-Fremdbezügen und Erfassung zusätzlicher Informationen 

  • Erhebung zusätzlicher Daten und Informationen zu IKT-Dienstleistern zur Pflege des Informationsregisters (hoher Aufwand und Mitwirkungspflicht der IKT-Dienstleister) 

  • Ergänzende Anforderungen an die Vertragsgestaltung mit IKT-Drittdienstleistern, die kritische oder wichtige Funktionen unterstützen (zeitintensive Nachverhandlungen und Mitwirkungspflicht der IKT-Dienstleister notwendig) 

  • Regelmäßige Berichterstattung (mind. jährlich) zu IKT-Dienstleistern (Anzahl neuer Vereinbarungen, Kategorien von IKT-Dienstleistern, Art der Vereinbarung und Relevanter IKT-Funktionen), Meldung von neuen / geänderten IKT-Dienstleistungen, Bereitstellung des Informationsregisters im standardisierten Format (auf Anfrage)

Kommen Sie mit uns ins Gespräch

Ab sofort erhalten Sie regelmäßig eine Blogserie zu DORA. Diese Serie dient dazu, Sie bestmöglich auf den verbindlichen Anwendungstermin der DORA am 17. Januar 2025 vorzubereiten. DORA ist ein entscheidender Meilenstein für Unternehmen und Organisationen, um ihre digitale Betriebsbereitschaft zu bewerten und zu verbessern. Die Blogserie wird Ihnen wertvolle Einblicke, Tipps und Best Practices bieten, um die Umsetzung in Ihrem Institut zu begleiten.

Gern steht Ihnen für individuelle Rückfragen unser DORA Expertenteam zu Verfügung

 Sind Ihre IT-Dienstleister bereits „DORA ready“?

 Quo vadis Geldwäscheparadies? Das neue Bundesamt (BBF) – Ein struktureller Neuanfang im Kampf gegen Geldwäsche

 Serie zur Retail Investment Strategy der EU-Kommission (Neue Pflichten in Anlageberatung und beratungsfreiem Geschäft)

 DORA - Der Countdown läuft

 Serie zur Retail Investment Strategy der EU-Kommission (Provisionsverbot Teil 2)

Login 



Passwort vergessen?

Das Search-Center ist exklusiv für unsere Kunden. Darin haben Sie Zugriff auf eine umfassende Sammlung von relevanten Gesetzen, Richtlinien, Verordnungen und Merkblättern. Mit der komfortablen Suchfunktion finden Sie schnell die für Sie relevanten Informationen.

Sie wollen einen vollen Zugang zu Regupedia.de? Dann werden Sie unser Kunde und nehmen mit uns Kontakt auf.

Login 



Passwort vergessen?

Newsletter abonnieren


















Captcha*

Bitte beachten Sie, dass Sie zur Anmeldung eine dienstliche E-Mail benötigen. Außerdem können wir Anmeldungen von Branchendienstleistern nicht berücksichtigen.