Gepostet am 06. Mai 2024 von
Die Anforderungen an das Management zum IKT-Drittparteienrisiko werden im Kapitel V Artikel 28 bis 30 der DORA Verordnung beschrieben und umfassen konkrete Vorgaben für eine Drittdienstleister-Strategie, Due-Diligence-Prüfung und Risikoanalyse, Inventarisierung der Dienstleister sowie erweiterte Vertragsanforderungen. Ferner werden diese Vorgaben durch zwei technische Regulierungsstandards (RTS) und einen Implementierungsstandard (ITS) konkretisiert (siehe Abbildung).
Mit den DORA-Vorgaben entfällt der bisherige Auslagerungsbegriff gemäß MaRisk bzw. BAIT. DORA unterscheidet nicht mehr nach wesentlichen bzw. nicht wesentlichen Auslagerungen, sondern stellt auf kritische oder wichtige Funktionen ab. Insbesondere IT-Fremdbezüge, wie bspw. Datendienste oder Softwareprovider, erhalten damit eine deutlich höhere Bedeutung, sofern deren Ausfall die Geschäftstätigkeiten erheblich beeinträchtigen würde Für fachliche Auslagerungen bleibt die bisherige Regelungswelt (noch) erhalten, für IT-Auslagerungen gilt ab Januar 2025 die neue Systematik gemäß DORA. Für viele Finanzinstitute bedeutet dies eine Doppelbelastung, sofern Synergien aus den heutigen Vorgaben zu den neuen DORA Anforderungen nicht genutzt werden.
Um Risiken aus der Auslagerung von IT-Dienstleistungen umfassender und detaillierter bewerten zu können, bringt die DORA zahlreiche neue Anforderungen an das Konzentrationsrisiko sowie die Inventarisierung in einem neuen „Informationsregister“ mit sich. Währenddessen das heutige Auslagerungsregister überschaubare Informationen bereithält, fordert DORA neu eine Datenbank mit insgesamt 15 einzelnen Sheets und mehr als 50 neuen Datenpunkten, von denen einzelne heute im Institut nicht vorliegen. Der Aufbau des Informationsregisters wie auch vertragliche neue Anforderungen erfordern die Mitwirkung der IKT-Dienstleister. Für eine zeitgerechte Umsetzung ist es daher unabdingbar, die relevanten IT-Dienstleister frühzeitig in die eigenen Umsetzungsmaßnahmen zum IKT-Drittparteienrisiko einzubinden.
Um schnell und zuverlässig einen Überblick über die notwendigen Anpassungen an den Verträgen mit IT-Dienstleistern zu erhalten, hilft die folgende Checkliste Zum Dokument
Die Europäischen Aufsichtsbehörden planen die freiwillige Durchführung einer „Trockenübung“ zur Implementierung der Digital Operational Resilience Act (DORA). Im Mai 2024 wird die freiwillige Erhebung von Informationen über IKT-Auslagerungen gestartet. Im Rahmen dieses Probelaufs können die beteiligten Finanzunternehmen im Juli und August 2024 ihr bis dahin vorbereitetes Informationsregister gemäß DORA an die zuständige Aufsicht geben.
Weitere Informationen erhalten Sie im Factsheet.
Aufbauend auf den bisherigen Erfahrungen von Severn in der Analyse und Umsetzung der DORA Vorgaben im IKT-Drittparteienrisiko sehen wir insbesondere folgende Herausforderungen und Problemfelder:
Erstellung einer Strategie zum IKT-Drittparteienrisiko (Verweis aus der IT-Strategie, langfristige Orientierung, Definition von Zielen und KPI‘s)
Identifizierung kritischer oder wichtiger IKT-Funktionen sowie damit verbundener KT-Dienstleister (Erweiterung der bisherigen Business-Impact-Analyse)
Erhöhte Anforderungen an die Weiterverlagerung (Vergabe von Unteraufträgen), u.a. Risikobewertung, Transparenz über die komplette Auslagerungskette und Überwachung dieser
Neubewertung von IT-Fremdbezügen und Erfassung zusätzlicher Informationen
Erhebung zusätzlicher Daten und Informationen zu IKT-Dienstleistern zur Pflege des Informationsregisters (hoher Aufwand und Mitwirkungspflicht der IKT-Dienstleister)
Ergänzende Anforderungen an die Vertragsgestaltung mit IKT-Drittdienstleistern, die kritische oder wichtige Funktionen unterstützen (zeitintensive Nachverhandlungen und Mitwirkungspflicht der IKT-Dienstleister notwendig)
Regelmäßige Berichterstattung (mind. jährlich) zu IKT-Dienstleistern (Anzahl neuer Vereinbarungen, Kategorien von IKT-Dienstleistern, Art der Vereinbarung und Relevanter IKT-Funktionen), Meldung von neuen / geänderten IKT-Dienstleistungen, Bereitstellung des Informationsregisters im standardisierten Format (auf Anfrage)
Ab sofort erhalten Sie regelmäßig eine Blogserie zu DORA. Diese Serie dient dazu, Sie bestmöglich auf den verbindlichen Anwendungstermin der DORA am 17. Januar 2025 vorzubereiten. DORA ist ein entscheidender Meilenstein für Unternehmen und Organisationen, um ihre digitale Betriebsbereitschaft zu bewerten und zu verbessern. Die Blogserie wird Ihnen wertvolle Einblicke, Tipps und Best Practices bieten, um die Umsetzung in Ihrem Institut zu begleiten.
Gern steht Ihnen für individuelle Rückfragen unser DORA Expertenteam zu Verfügung