Oliver Michelmann, Bankgeschäftlicher Fachprüfer, Deutsche Bundesbank
Mit dem Digital Operational Resilience Act (DORA) bringt die Europäische Union ein Regelwerk auf den Weg, das die IT-Resilienz in Finanzinstituten stärkt und insbesondere Auslagerungen strenger reguliert. Dies betrifft sämtliche Dienstleistungen von Drittanbietern, die in den internen IT-Betrieb integriert sind, und fordert von Finanzinstituten eine verbesserte Risikokontrolle sowie die Sicherstellung umfassender Resilienz. Gerade im Bereich des Risikomanagements stellt dies Banken vor erhebliche Herausforderungen, da sie verstärkte Kontrollprozesse und Anpassungen ihrer bestehenden Outsourcing-Strategien umsetzen müssen.
Erweiterte Anforderungen an die Überwachung und Vertragsgestaltung
Eine der größten Herausforderungen, die DORA für das Risikomanagement bei Auslagerungen mit sich bringt, liegt in der Anpassung der vertraglichen Grundlagen. Finanzinstitute müssen sicherstellen, dass alle Drittanbieter vertraglich an hohe Sicherheits- und Prüfstandards gebunden sind. Dazu zählen regelmäßige Sicherheitsaudits und Penetrationstests, die mindestens alle drei Jahre durchgeführt werden müssen. Zusätzlich müssen Institute sicherstellen, dass in Verträgen weitreichende Zugriffs- und Kontrollrechte verankert sind, die es ihnen ermöglichen, kritische Systeme und Dienstleistungen durchgehend zu überwachen. Diese Vertragsnachverhandlungen können sich als aufwendig gestalten, vor allem bei bestehenden Verträgen mit Dienstleistern, die möglicherweise weniger strenge Sicherheitsrichtlinien haben.
Umfassende Überwachung von IKT-Dienstleistern
Eine weitere Herausforderung liegt in der Einstufung der Auslagerungen als „kritisch“ oder „nicht-kritisch“. Diese Klassifizierung ist entscheidend für die Umsetzung der Anforderungen, doch sie gestaltet sich in der Praxis oft als komplex. DORA fordert Institute auf, die Kritikalität einer Dienstleistung anhand des potenziellen Schadens im Falle eines Ausfalls zu bewerten. Diese Bewertung erfordert umfassende Risikoanalysen und die regelmäßige Überprüfung der Klassifizierung, was die Prozesse im Risikomanagement erweitert und spezifiziert.
DORA verlangt zudem, dass Finanzinstitute ein detailliertes Informationsregister führen, in dem alle Drittanbieter und deren Kritikalität festgehalten werden. So können mögliche Abhängigkeiten und Risiken frühzeitig erkannt und bewertet werden. Kritische Dienstleister, die essenzielle IKT-Dienste bereitstellen, müssen dabei nun einer intensiveren Überwachung unterzogen werden. Finanzinstitute sind verpflichtet, den gesamten Dienstleistungspfad zu kontrollieren – also nicht nur den direkten Dienstleister, sondern auch dessen Subunternehmer. Dies erhöht den Kontrollaufwand, da Banken sicherstellen müssen, dass jede Ebene der Dienstleisterkette denselben regulatorischen Standards gerecht wird.
Exit-Strategien und Notfallpläne
Zu den besonders anspruchsvollen Anforderungen gehört die Implementierung von Exit-Strategien und Notfallplänen für jeden kritischen Drittanbieter. Diese Notfallpläne müssen eine schnelle Wiederaufnahme der Dienstleistungen ermöglichen und dürfen in ihrer Dokumentation keinen Interpretationsspielraum lassen. Finanzinstitute sind angehalten, regelmäßig umfassende Tests dieser Notfallmaßnahmen durchzuführen, um sicherzustellen, dass die Pläne in einer realen Krisensituation effektiv greifen. Die Implementierung und das regelmäßige Testen solcher Notfallpläne sind zeit- und kostenintensiv, erfordern aber eine detaillierte Abstimmung zwischen den Finanzinstituten und ihren Drittanbietern.
Fazit
DORA bringt für das Risikomanagement im Zusammenhang mit Auslagerungen erhebliche Herausforderungen mit sich, die über die bisherigen Anforderungen hinausgehen. Banken sind gezwungen, ihre Kontrollmechanismen zu erweitern, neue Prozesse zur kontinuierlichen Überwachung einzuführen und intensive Vertragsanpassungen vorzunehmen. Langfristig bietet DORA jedoch auch die Chance, eine robuste und widerstandsfähige Struktur zu etablieren, die die Risiken im Zusammenhang mit Drittanbietern mindert und die Cyber-Resilienz stärkt.
PRAXISTIPPS
- Überprüfen Sie alle bestehenden Verträge mit Drittanbietern und stellen Sie sicher, dass diese DORA-konforme Prüfungsrechte, Audit- und Sicherheitsanforderungen enthalten.
- Erfassen Sie alle kritischen und nicht-kritischen Dienstleister in einem detaillierten Informationsregister, um Transparenz über potenzielle Risiken zu schaffen.
- Entwickeln Sie praxisnahe Exit-Strategien für kritische Drittanbieter und testen Sie regelmäßig die Notfallpläne, um die Resilienz zu gewährleisten.
Beitragsnummer: 22829