Donnerstag, 2. Mai 2024

DORA-Umsetzung: Hilfe, mein Dienstleister steigt aus!

Third Party Management

Pia Streicher, Managing Consultant & Topic Lead, IT-Security, ADWEKO Consulting GmbH

Wer sich schon etwas intensiver mit DORA befasst hat, wird merken: An das Management von IKT-Drittdienstleistern werden hohe Anforderungen gestellt. Schon in der Vergangenheit haben aufsichtsrechtliche Anforderungen Preissteigerungen nach sich gezogen, vor allem kleinere Dienstleister haben das Handtuch geworfen und andere vielleicht „blind“ die Vorgaben akzeptiert – in der Wirksamkeitsprüfung zeigte sich aber, dass es an der Umsetzung hapert.

Was ist ein IKT-Drittdienstleister?

Es fängt bereits mit der Begrifflichkeit an. In Abgrenzung zum IT-Dienstleister werden unter dem Akronym „IKT“ auch Kommunikationstechnologien mit einbezogen. DORA definiert diesen Begriff als „digitale Dienste und Datendienste, die über IKT-Systeme einem oder mehreren internen oder externen Nutzerinnen und Nutzern dauerhaft bereitgestellt werden“[1]. Genauer zu definieren ist hier vor allem der Begriff „dauerhaft“, über den der ein oder andere Dienstleister wohl auszuschließen sein wird.

In Anhang III des finalen Entwurfs der technischen Implementierungsstandards zum Informationsregister[2] findet sich eine Liste mit Dienstleistungen, die unter die Begrifflichkeit fallen. Schon bei der Lektüre wird bewusst – das Feld wird breiter.

Was muss in der Governance und der schriftlich fixierten Ordnung angepasst werden?

Die elementare Botschaft von DORA ist: Das IKT-Drittparteienrisikomanagement gehört zum IKT-Risikomanagement und ist dort als Bestandteil zu verorten[3]. Außerdem muss eine Funktion existieren, die verantwortlich ist für die dokumentierte Überwachung von Vereinbarungen mit und Risikoexpositionen durch IKT-Drittdienstleister.

Darüber hinaus ist eine Strategie zum Umgang mit dem IKT-Drittparteienrisiko[4] nötig, die auch eine Multivendorstrategie[5] umfassen kann. Benötigt wird ferner eine Vorgabe im Kontext der Vertragsbeziehungen zu Dienstleistern, die kritische und wichtige Funktionen unterstützen, sowie zur generellen Nutzung von IKT-Drittdienstleistungen[6].

Der bekannte Grundsatz, dass die Verantwortung für ausgelagerte Tätigkeiten beim Institut verbleibt,[7] sowie der Grundsatz der Verhältnismäßigkeit[8] gelten selbstverständlich auch unter DORA.

Verträge anpassen und den Überblick behalten

Die Anforderungen an die Vertragsgestaltung sind von DORA klar definiert[9] und setzen auch einen hohen Standard für Sachverhalte an, die bislang nicht als Auslagerung, Ausgliederung oder Outsourcing definiert wurden.

Anhand des Informationsregisters müssen IKT-Drittdienstleister akribisch erfasst und regelmäßig an die BaFin gemeldet werden. Dabei gilt es aufzuzeigen, welche Prozesse und welche kritischen und wichtigen Funktionen von IKT-Drittdienstleistern abhängig sind[10].

Was, wenn der Dienstleister die Anforderungen nicht erfüllen will?

Grundsätzlich steigen mit DORA die Anforderungen an Ausstiegsstrategien[11]. Im Idealfall befasst man sich bereits vor der Anpassung der Bestandsverträge – und natürlich vor dem Einkauf neuer Dienstleistungen – mit dem Exit. Steigt der Dienstleister dann aus, kann man über die bereits durchdachte Ausstiegsstrategie eine alternative Lösung herbeiführen.

Wie zuvor genannt, greift der Grundsatz der Verhältnismäßigkeit auch weiterhin. Startet man also mit den risikobehafteten IKT-Dienstleistungen, werden hier auch heute schon höhere Standards gelten. Das Risiko, dass ein Dienstleister die neuen Anforderungen nicht erfüllen kann oder will, besteht voraussichtlich vor allem bei kleineren Dienstleistern. Können diese nicht ersetzt werden, sollte der höchstmögliche Standard angelegt werden; für die nicht umsetzbaren Themen können kurz-, mittel- und langfristige Maßnahmen geplant werden. Dazu sollten die offenen Punkte transparent ins Risikomanagement einfließen und bewertet werden.

PRAXISTIPPS

Starten Sie mit der Risikoanalyse. Bewerten Sie die bestehenden Dienstleistungen neu. Sind es IKT-Dienstleistungen? Wie kritisch sind Sie? Welche Prozesse werden unterstützt? Sind kritische und wichtige Funktionen betroffen?
Risikoorientierter Ansatz. Gehen Sie auf Basis der verbundenen Risiken vor. Für Neuverträge lohnt es sich, frühzeitig auf die neuen Anforderungen umzusteigen. Bei der Anpassung des Bestandes sollten die wichtigsten Dienstleistungen erkannt und mit diesen begonnen werden.
Das Informationsregister als Chance. Die Dokumentation aller IKT-Dienstleistungen inklusive der Verbindung zu Prozessen und Funktionen ist eine Chance, mehr Transparenz über die eigenen Prozesse und Abhängigkeiten zu gewinnen.
Seien Sie mutig. Stand heute kann nicht final bewertet werden, welche Interpretation und Umsetzung aufsichtlich „richtig“ ist. Dokumentieren und begründen Sie Ihre Entscheidungen und lassen Sie sich nicht übermäßig von Unsicherheiten bremsen.

[1] Art. 3 Abs. 1 Nr. 21 DORA.

[2] Veröffentlichung der ESAs; https://www.eba.europa.eu/activities/single-rulebook/regulatory-activities/operational-resilience/implementing-technical

[3] Art. 28 Abs. 1 DORA.

[4] Art. 28 Abs. 2 DORA.

[5] Art. 6 Abs. 9 DORA.

[6] Art. 28 Abs. 2 DORA, in einem RTS detailliert: Veröffentlichung der ESAs; https://www.eba.europa.eu/activities/single-rulebook/regulatory-activities/operational-resilience/regulatory-technical-1

[7] Art. 28 Abs. 1 lit. a) DORA.

[8] Art. 28 Abs. 1 lit. b) DORA.

[9] Art. 30 DORA.

[10] Art. 28 Abs. 3 DORA.

[11] Art. 28 Abs. 8 DORA.

Beitragsnummer: 22599

Ein eigenes MeinFCH-Konto ist zwingend Voraussetzung, wenn Sie über unseren Online-Shop eine Bestellung auslösen möchten. Das Konto benötigen Sie, wenn Sie selbst ein Online-Seminar live verfolgen oder Ihre Seminardokumentation bzw. Ihre personalisierte Teilnahmebestätigung herunterladen möchten. Bitte geben Sie Ihre MeinFCH-Login-Daten niemals an dritte Personen weiter. Wir empfehlen Ihnen die Nutzung dieser Browser: Google Chrome, Mozilla Firefox oder Microsoft Edge. Bitte erlauben Sie außerdem Pop-Ups auf unserer Seite.

Anmelden

Bitte melden Sie sich an, um folgende Seite nutzen zu können.

E-Mail-Adresse

Passwort

Angemeldet bleiben

🔒 Sichere SSL-Verschlüsselung

Passwort vergessen?

Neu bei MeinFCH?
Jetzt registrieren!

E-Mail-Adresse

Passwort eingeben

Passwort bestätigen

Passwortlänge: 0 Zeichen

Gültigkeit: -

Sicherheit: -

Ihr sicheres Passwort muss folgende Merkmale besitzen:

Groß- und Kleinschreibung

Zahlen

Sonderzeichen (!$%&#)

mindestens 8 Zeichen

Ja, ich möchte ein Kundenkonto eröffnen und akzeptiere die Datenschutzerklärung.

🔒Sichere SSL-Verschlüsselung

Loggen Sie sich ein, um unsere Favoritenfunktion zu nutzen:

Beitrag teilen:

Produkte zum Thema:

Auslagerungen und Dienstleister-Steuerung 2. Auflage

119,00 € inkl. 7 %

Fachtagung IT-Regulatorik 2024 – Fokusthema DORA

1.500,00 € exkl. 19 %

09.10.2024 - 10.10.2024

Beiträge zum Thema:

Machen statt warten! – Sind Banken heute schon startklar für DORA?

Im Beitrag geht es um DORA-Anforderungen & reguläre IKT-Risikomanagementrahmenwerk (RMF), deren RTS größere Prozess-Auswirkungen in Instituten haben können.

13.05.2024

DORA umsetzen: So gelingt effizientes Management der IKT-Dienstleister

Um DORA-Berichtspflichten nachweislich und ressourcenschonend zu erfüllen, gilt es, Auslagerungsprozesse durchdacht zu digitalisieren.

02.05.2024

DORA: Fokus auf die IKT-Dienstleister

Im ersten Schritt sollten alle Banken frühzeitig prüfen welche Auslagerungen, Fremdbezüge tatschlich IKT-relevant sind

10.03.2024

Analoge Anwendung von § 288 I 1 BGB auf verspätete Kontoentsperrung

Ein Kunde hat einen Schadensersatzanspruch nach § 288 I 1 BGB , wenn ihm der Zugriff auf sein Kontoguthaben wg. verspätete Freigabe verwehrt wurde.

21.03.2024