DORA: Auswirkungen auf effektives IT-Risikomanagement und die Zusammenarbeit mit Drittanbietern bei IT-Auslagerungen im Finanzsektor

DORA-Verordnung: Neue IT-Risiken im Finanzsektor effektiv managen.

Kategorie
DORA (Digital Operational Resilience Act) Compliance Methodik Technologien & Innovationen Managed Services
Schlagwörter
DORA IT-Risikomanagement Finanzsektor EU-Verordnung IT-Sicherheit Drittanbieter IT-Auslagerung IT-Governance Compliance
Empfohlene Beiträge
KI - mehr als LLMs: Neue Wege in der Last-Mile-Zustellung
DORA-Anforderungen erfüllen: So gelingt modernes IT Service Management
DORA - Echte Chance für Finanzunternehmen oder doch nur notwendiges Übel?

DORA: Auswirkungen auf effektives
IT-Risikomanagement und die Zusammenarbeit mit Drittanbietern bei IT-Auslagerungen im Finanzsektor

DORA, die neue EU-Verordnung, bringt weitreichende Änderungen für Finanzinstitute, die IT-Dienstleistungen auslagern. Die Verordnung stellt neue Anforderungen an die Sicherheit, Belastbarkeit und Transparenz von IT-Systemen, die von Instituten und ihren Drittanbietern erfüllt werden müssen, einschließlich Governance, Risikomanagementprozessen und technischer Sicherheit. Institute müssen ihre Zusammenarbeit mit Drittanbietern neu bewerten und sicherstellen, dass diese die neuen Anforderungen erfüllen. Andernfalls drohen Sanktionen durch die Aufsichtsbehörden.
 

Was ist DORA?

Der "Digital Operational Resilience Act" (DORA) ist eine Verordnung der Europäischen Union zur Stärkung der IT-Sicherheit. Die Verordnung gilt für eine Vielzahl von Finanzinstituten, darunter Kreditinstitute, Zahlungsinstitute, E-Geld-Institute, Wertpapierfirmen und Krypto-Asset-Plattformen.

DORA schafft einen verbindlichen und umfassenden Rahmen für das Management von Risiken im Zusammenhang mit Informations- und Kommunikationstechnologien im EU-Finanzsektor. Die Verordnung legt technische Standards fest, die von Finanzinstituten und ihren kritischen Technologie-Dienstleistern bis zum 17. Januar 2025 umgesetzt werden müssen.  

Ziel von DORA ist es, die Widerstandsfähigkeit digitaler Systeme und Dienste in der Europäischen Union zu erhöhen. DORA soll dazu beitragen, dass digitale Systeme und Dienste auch in Krisensituationen wie Cyberangriffen, Naturkatastrophen oder technischen Ausfällen funktionsfähig bleiben.

 

DORA: Effektives Risikomanagement bei IT-Auslagerungen - Vier Checks zur Auswahl des richtigen IT-Service-Providers

DORA schafft einen verbindlichen und umfassenden Rahmen für das Management von Risiken im Zusammenhang mit Informations- und Kommunikationstechnologien im EU-Finanzsektor. Die Verordnung legt technische Standards fest, die von Finanzinstituten und ihren kritischen Technologie-Dienstleistern bis zum 17. Januar 2025 umgesetzt werden müssen. 

Ziel von DORA ist es, die Widerstandsfähigkeit digitaler Systeme und Dienste in der Europäischen Union zu erhöhen. DORA soll dazu beitragen, dass digitale Systeme und Dienste auch in Krisensituationen wie Cyberangriffen, Naturkatastrophen oder technischen Ausfällen funktionsfähig bleiben.

 

Risikomanagement im Kontext von IT-Auslagerungen

Die meisten Finanzinstitute haben zumindest Teile ihrer IT-Dienstleistungen ausgelagert. Um auch in diesem Kontext die DORA-Anforderungen an das Risikomanagement erfolgreich umsetzen zu können, ist ein hohes Bewusstsein für die regulatorischen Anforderungen auch auf Seiten der IT-Dienstleister unabdingbar. Wir stellen Ihnen vier einfache Checks zur Verfügung, mit denen Sie sich schnell einen ersten Überblick über die Eignung eines IT-Dienstleisters zur Abbildung der regulatorischen Anforderungen an das Risikomanagement nach DORA verschaffen können.

 

DORA Check 1: Berichterstattung

Um die Anforderungen von DORA zu erfüllen, müssen Institute unter anderem Risikomanagementsysteme implementieren, die ein konfigurierbares Berichtswesen ermöglichen, so dass separate Berichte sowohl für ihre Kunden als auch für die Aufsichtsbehörden erstellt werden können. Soweit Institute Dienstleistungen ausgelagert haben, sollten sich auch die Outsourcing-Partner nahtlos in diesen Prozess integrieren. Der Dienstleister sollte bereit sein, kundenspezifische Ableitungen aus dem eigenen Risikomanagementsystem vorzunehmen und zyklisch, z.B. quartalsweise, einen kundenspezifischen Risikobericht an das auslagernde Institut zu liefern. Definierte Maßnahmen zur Risikosteuerung sollten in engem Austausch zwischen Institut und Dienstleister abgestimmt werden können.

 

DORA Check 2: Three Lines of Defense

Um sicherzustellen, dass das IKT-Risiko effektiv gemanagt und überwacht wird, sollte vom Dienstleister eine unabhängige Kontrollfunktion benannt werden, die wiederum zyklisch durch Revisionstätigkeiten überprüft wird. “Three lines of defense“ ist hier das Stichwort. Dabei handelt es sich um Best Practices des Weltverbandes der Wirtschaftsprüfer, dem Institute of Internal Auditors (IIA). Die erste „Verteidigungslinie“ bildet das operative Management, das dafür verantwortlich ist, dass Risiken im Rahmen des Tagesgeschäfts identifiziert, bewertet, kontrolliert und entsprechend reduziert werden. Darüber hinaus stellt das operative Management die Übereinstimmung der Aktivitäten mit den Unternehmenszielen sicher. Die zweite „Verteidigungslinie“ umfasst Risikomanagement-, Controlling- und Compliance-Funktionen zur Stärkung und Kontrolle der ersten „Verteidigungslinie“. Diese Linie sollte von der Geschäftsleitung implementiert werden. Die „dritte Verteidigungslinie“ stellt die Interne Revision als objektive und unabhängige Prüfungs- und Beratungsinstanz dar. In dieser Funktion unterstützt die Interne Revision das Management, die Führungskräfte und die Aufsichtsorgane und gibt Sicherheit über die Angemessenheit und Wirksamkeit der Überwachungs-, Risikomanagement- und Kontrollstrukturen.

 

DORA Check 3: IKT Risikomanagementrahmen

Um sich nahtlos in die Kontrollprozesse des Instituts zu integrieren, sollte ein Dienstleister ein IKT-Risikomanagement-Rahmenwerk als Teil seines Risikomanagementsystems implementiert haben.  

Dieses Rahmenwerk sollte mindestens Strategien, Leitlinien und Richtlinien enthalten, die geeignet sind, die Vermögenswerte ordnungsgemäß und angemessen zu schützen. Das IKT-Risikomanagement sollte in den Kontrollprozessen angemessen berücksichtigt werden (siehe Check 2).

 

DORA Check 4: Management Weiterbildung

Zu den Anforderungen an IT-Dienstleister im Bereich des Risikomanagements gehört auch die regelmäßige Weiterbildung des Managements zu regulatorischen Themen. Diese Überprüfung zeigt schnell, welche Nachhaltigkeit bei der Umsetzung der regulatorischen Anforderungen von den Dienstleistern erwartet werden kann.

Diese kompakte Zusammenfassung stellt zwar keine umfassende Checkliste für die Bewertung potenzieller Service-Provider dar, bietet jedoch eine schnelle Möglichkeit für eine erste Einschätzung. Wenn Sie mit wenigen Fragen eine erste DORA-Risikobewertung vornehmen möchten, dann stellen diese vier Überprüfungsaspekte ein guter erster Ansatz.

 

DORA: Auswirkungen auf IT-Auslagerungen und die Zusammenarbeit mit Drittanbietern

DORA soll einen einheitlichen Reifegrad für IT-Outsourcing in der Europäischen Union sicherstellen. Die Verordnung hat erhebliche Auswirkungen auf das IT-Outsourcing, da sowohl die Finanzinstitute als auch ihre Drittanbieter von Technologiedienstleistungen europaweit strenge Anforderungen erfüllen müssen, um die betriebliche Ausfallsicherheit zu gewährleisten und IKT-bezogene Risiken zu mindern. Betroffene Institute müssen ein umfassendes IKT-Risikomanagement entwickeln, ihre IKT-Kooperationen mit Dritten überdenken und zumindest ihre Verträge mit IKT-Drittanbietern überarbeiten. Wichtig ist, dass auch bei IT-Outsourcing die Verantwortung stets beim auslagernden Institut verbleibt.

 

IKT-Dienstleister im Gültigkeitsbereich von DORA

In den Anwendungsbereich von DORA fallen auch alle IKT-Dienstleister. Darunter sind alle Dienstleister zu verstehen, die digitale Dienste und Datendienste mittels Informations- und Kommunikationstechnologien einem oder mehreren internen oder externen Nutzern dauerhaft zur Verfügung stellen. Beispiele für Dienstleistungen sind die Vermietung von Hard- und Software, Datenanalysen, Betriebsunterstützung oder IKT-Beratung. Klassische analoge Telefondienste fallen nicht darunter.  

Für Finanzinstitute ist es wichtig, einen klaren Überblick über diese Dienstleister zu haben. DORA fordert eine Unterscheidung der IKT-Dienstleister in kritische und nicht kritische Dienstleister. Als Faustregel kann davon ausgegangen werden, dass Dienstleister, die einen systemischen Einfluss auf die Stabilität, Kontinuität oder Qualität der Erbringung von Finanzdienstleistungen haben, als kritische IKT-Dienstleister einzustufen sind. Dies gilt auch für IKT-Dienstleister, deren Substituierbarkeit mangels Alternativen aufgrund von Marktengpässen oder der Komplexität einer Migration nicht gegeben ist. Die meisten Anforderungen von DORA beziehen sich ausschließlich auf kritische IKT-Dienstleister.  

Die als kritisch eingestuften IKT-Dienstleister werden von europäischen Behörden beaufsichtigt, was aber im Umkehrschluss nicht bedeutet, dass diese Aufsicht die Anforderungen der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) vollständig abbildet. Sie ist daher klar von der Aufsicht über Finanzinstitute zu unterscheiden. Institute sind daher nicht von der Überwachung ihrer IKT-Dienstleister durch DORA befreit, auch wenn diese als kritisch eingestuft werden. Hilfreich ist jedoch, dass DORA den Finanzinstituten die Möglichkeit bietet, Übersichten einzusehen, die den Umsetzungsstand der aufsichtsrechtlichen Empfehlungen für kritische IKT-Dienstleister transparent machen.

 

DORA: So müssen Unternehmen im Finanzsektor IT-Auslagerungen überdenken

Vertragliche Vereinbarungen mit IKT-Dienstleistern sind im Rahmen des IKT-Risikomanagements einer erweiterten Risikobewertung zu unterziehen, um das Drittparteienrisiko weiter zu minimieren. Alle Prozesse, die von externen IKT-Dienstleistern abhängen, sind zu identifizieren und zu dokumentieren, sofern sie kritische oder wichtige Funktionen erbringen. Für die kritischen Dienstleister sind Risikobewertungen durchzuführen, die folgende Betrachtungen umfassen.

 

DORA Risikobewertungen Level 1:

  • Insolvenzrisiken: Das Risiko der Insolvenz oder Zahlungsunfähigkeit von Vertragspartnern oder Subunternehmern.
  • Konzentrationsrisiken: Aus einer zu starken Konzentration von Ressourcen oder Geschäftsaktivitäten können Risiken entstehen.
  • Risiken aus Ketten der Unterauftragsvergaben: Insbesondere in Bezug auf die Qualität und Sicherheit von Dienstleistungen können Gefahren aus komplexen Unterauftragsketten resultieren.
  • Datenschutzrisiken in Drittländern: Risiken durch Datenverarbeitung in Ländern mit möglicherweise unzureichenden Datenschutzstandards.
  • Rechtsrisiken in Drittländern: Mögliche Risiken aufgrund von rechtlicher Unsicherheit oder Inkompatibilität mit den Rechtsordnungen anderer Länder.

 

DORA Risikobewertungen Level 2:

  • Reputationsrisiken: Risiken, die die Wahrnehmung und die Reputation einer Organisation beeinflussen.
  • Operationelle Risiken: Dazu gehören Gefahren im Zusammenhang mit den täglichen betrieblichen Abläufen, wie technische Ausfälle, menschliche Fehler und Prozessstörungen.
  • Risiken bzgl. des Standorts der Datenverarbeitung: Auch die Wahl bestimmter Standorte für die Datenverarbeitung kann Risiken mit sich bringen, wie geopolitische und infrastrukturelle Aspekte.
  • Risiken beim Schutz von vertraulichen und personenbezogenen Daten: Risiken, die sich aus unzureichenden Sicherheitsvorkehrungen und aus der Praxis des Datenschutzes ergeben.
  • Rechtsrisiken: Gefahren aus rechtlichen Verpflichtungen, Regelungen oder Unsicherheiten.
  • ESG Risiken: Risiken aus den Bereichen Umwelt, Soziales und Governance, die Auswirkungen auf die langfristige Nachhaltigkeit und die Unternehmensführung haben.
  • IKT Risiken: Risiken im Zusammenhang mit Informations- und Kommunikationstechnologien, einschließlich Cybersecurity-Bedrohungen
  • Weitere Risiken aus dem Finanzdienstleistungsrecht: Risiken, die sich aus spezifischen Vorschriften und Anforderungen im Finanzdienstleistungssektor ergeben können.

 

Effektive Bewältigung des IKT-Konzentrationsrisikos unter DORA-Richtlinien: Ansätze und Überwachungsstrategien

Ein besonderes Augenmerk ist gemäß DORA auf das IKT-Konzentrationsrisiko zu legen. Obwohl in Deutschland bereits Anstrengungen unternommen wurden, um den Bereich des Outsourcings zu adressieren, wie z. B. die EBA-Leitlinien zum Outsourcing 2019 und die ESMA-Leitlinien zum Outsourcing an Cloud-Anbieter 2021, muss die Eindämmung systemischer Risiken, die durch eine begrenzte Anzahl kritischer IKT-Drittdienstleister ausgelöst werden, weiter optimiert werden. Es muss ein geeigneter Aufsichtsrahmen geschaffen werden, der eine kontinuierliche Überwachung kritischer IKT-Dienstleister sicherstellt.  

Ein wichtiger Bestandteil der Überwachung ist ein regelmäßiger Kommunikationsaustausch mit den kritischen IKT-Dienstleistern, einschließlich einer kontinuierlichen Risiko- und Schwachstellenberichterstattung.  

Vertragliche Vereinbarungen dürfen nur mit IKT-Dienstleistern geschlossen werden, die angemessene Informationssicherheitsstandards einhalten. Ein hoher Integrationsgrad der Informationssicherheits-Managementsysteme zwischen Institut und IKT-Dienstleister ist hierbei hilfreich.

Sofern die Auslagerung einen hohen Grad an technischer Komplexität aufweist, dürfen Audits bei IKT-Dienstleistern nur von internen oder externen Auditoren durchgeführt werden, die über die notwendigen Fähigkeiten und Kenntnisse verfügen, um die entsprechenden Audits und Bewertungen effektiv durchzuführen.

Für den Fall des Ausfalls eines kritischen IKT-Dienstleisters sind erprobte Ausstiegsstrategien und Übergangspläne vorzuhalten, die eine nahtlose Fortführung der Geschäftsprozesse ermöglichen. Gleiches gilt für den Fall einer Vertragskündigung. Die Exit-Strategien müssen sicherstellen, dass Übergänge ohne Unterbrechung des Geschäftsbetriebs, ohne Einschränkung der Erfüllung regulatorischer Anforderungen und ohne Beeinträchtigung der Kontinuität und Qualität der vom Institut erbrachten Dienstleistungen erfolgen können.

Darüber hinaus sind weitere wesentliche vertragliche Regelungen in DORA vorgeschrieben.

 

Unser Leitfaden für IT-Auslagerungen

Die vielfältigen, auch in der Öffentlichkeit geführten Diskussionen der letzten Jahre haben gezeigt, dass die Bereitschaft global agierender Dienstleister, das strenge europäische Regelwerk vollständig abzubilden, oft gering ist. Die in der Regel attraktiven und günstigen Tarifmodelle können daher mit einem erheblichen Risiko hinsichtlich der Abdeckung der regulatorischen Anforderungen verbunden sein. Eine sinnvolle risikobasierte Vorgehensweise bei der Auswahl und Zusammenarbeit mit Dienstleistern kann eine angemessene Antwort auf diese Herausforderung sein.  

Eine effektive risikobasierte Outsourcing-Strategie sieht vor, dass weniger risikobehaftete IT-Dienstleistungen weiterhin an global agierende Unternehmen ausgelagert werden, während kritische und risikobehaftete IT-Dienstleistungen an spezialisierte Anbieter vergeben werden. Diese Anbieter haben sich verpflichtet, die europäischen regulatorischen Anforderungen zu erfüllen und diese auch als wesentliche strategische Komponente in ihrer Unternehmensausrichtung verankert. Bei richtiger Anwendung erhalten Institute eine kosteneffiziente Outsourcing-Strategie, die mit der Erfüllung anspruchsvoller europäischer regulatorischer Anforderungen wie z.B. DORA einhergeht.

 

Ihre Herausforderung sind auch unsere: Setzen Sie auf unsere jahrelange Erfahrung im reguliertem Umfeld

Angesichts der Tatsache, dass die Einhaltung strenger aufsichtsrechtlicher Anforderungen nicht nur eine Option, sondern eine Notwendigkeit ist, stehen Finanzinstitute vor großen Herausforderungen. Die Auswahl des richtigen IT-Dienstleisters ist dabei keine leichte Aufgabe. Hier setzt Seven Principles an: Als spezialisierter IT-Service-Provider im regulierten Finanzumfeld bieten wir Ihnen nicht nur die Sicherheit, die europäischen regulatorischen Anforderungen vollumfänglich zu erfüllen, sondern auch die Gewissheit, dass Ihr IT-Outsourcing effizient und risikobewusst gemanagt wird.

Unsere Expertise und unsere Verpflichtung zur Einhaltung der DORA-Richtlinien stellen sicher, dass Ihre Outsourcing-Strategie nicht nur kosteneffizient, sondern auch risikominimiert ist. Wir verstehen die spezifischen Herausforderungen und Bedürfnisse Ihres Unternehmens und bieten maßgeschneiderte Lösungen, die eine nahtlose Integration in Ihre bestehenden Prozesse ermöglichen. Mit uns an Ihrer Seite können Sie sicher sein, dass Ihr IT-Outsourcing nicht nur den aktuellen Anforderungen entspricht, sondern auch zukunftssicher ist.

Setzen Sie auf eine partnerschaftliche Zusammenarbeit, die auf Vertrauen, Kompetenz und einem hohen Maß an Compliance basiert. Lassen Sie uns gemeinsam sicherstellen, dass Ihr IT-Outsourcing Ihre Geschäftsziele unterstützt, ohne dabei die regulatorischen Anforderungen aus den Augen zu verlieren. Kontaktieren Sie uns noch heute, um zu erfahren, wie wir Ihr Unternehmen auf dem Weg in eine sichere und konforme IT-Zukunft unterstützen können.

Sie haben Fragen zu DORA? Kontaktieren Sie uns!

Wir sind Ihr zuverlässiger Partner für IT-Dienstleistungen. Unser erfahrenes Team steht Ihnen zur Seite, um Ihre Anforderungen zu erfüllen und Ihre Ziele zu erreichen.

Kontakt aufnehmen

Weitere Themen für Sie

DORA-konforme Managed Services
Tailored Services
IT-Service Provider
Referenzen
Zurück