DORA und die operative Zusammenarbeit mit Managed Service Providern 

Der Finanzsektor steht mit dem Digital Operational Resilience Act (DORA) vor einer der größten regulatorischen Herausforderungen der letzten Jahre. Mit DORA setzt die Europäische Union neue Maßstäbe, um die Widerstandsfähigkeit von Finanzinstituten gegenüber IT-Risiken zu erhöhen. Banken, Versicherungen und Finanzdienstleister müssen sich darauf einstellen, dass künftig höhere Anforderungen an ihre digitale Betriebsstabilität gestellt werden. 

Ein besonderer Fokus liegt auf der Zusammenarbeit mit IKT-Drittdienstleistern, insbesondere Managed Service Providern (MSP), die kritische und wichtige Funktionen unterstützen. Entscheidend ist: Auch wenn IT-Services ausgelagert werden, bleibt die Verantwortung beim Finanzinstitut – und damit letztlich bei der Geschäftsleitung, die sogar persönlich haftbar gemacht werden kann. Um dieser Verantwortung gerecht zu werden, verlangt DORA die Etablierung eines zentralen Auslagerungsmanagements. Dazu gehören eine klare Governance, ein effektives Management des Drittparteienrisikos sowie die strategische und operative Steuerung von Dienstleistern. 

Drei Schlüsselfaktoren sind dabei entscheidend, um die regulatorischen Anforderungen zu erfüllen: Verantwortung, Standardisierung und Nachvollziehbarkeit. Diese Faktoren sind essenziell, um nicht nur Compliance sicherzustellen, sondern auch die operative Resilienz des Instituts zu stärken. 

In diesem Blogbeitrag gehen wir auf die wichtigsten grundlegenden Aspekte in der operativen Zusammenarbeit mit Managed Service Providern ein.
 

Verantwortung: Der Auftraggeber bleibt in der Pflicht  

Ein häufiger Irrtum ist die Annahme, dass mit der Beauftragung eines Managed Service Providers (MSP) auch die Verantwortung für ausgelagerte IT-Prozesse übertragen wird. DORA stellt jedoch klar, dass die Finanzinstitute uneingeschränkt für die Einhaltung der regulatorischen Anforderungen auch in der Zusammenarbeit mit IKT-Drittdienstleistern verantwortlich bleiben. 

Daher müssen Banken, Versicherungen und Finanzdienstleister operative Mechanismen implementieren, um Verantwortlichkeiten in der Zusammenarbeit mit MSPs klar zu definieren, nachvollziehbar zu dokumentieren und regelmäßig zu überprüfen. Dies umfasst neben einer präzisen Vertragsgestaltung und Haftungsklärung auch die Definition geeigneter Zusammenarbeitsmodelle sowie deren Integration in die operativen IT-Service-Prozesse. 

Es empfiehlt sich, ein Modell der Zusammenarbeit zu wählen, das maximale Transparenz für das Finanzunternehmen gewährleistet. Dabei sollte angestrebt werden, dass sensible Daten entweder gar nicht oder nur unter strenger Kontrolle in die Umgebung des Dienstleisters übergehen. Nur so lassen sich Risiken minimieren und die regulatorischen Anforderungen effektiv erfüllen. 
 

Prozess-Ownership und rollenbasiertes Arbeiten 

Für eine DORA-konforme Steuerung operativer Prozesse ist eine eindeutige Prozessverantwortung unerlässlich. Die Prozess-Ownership muss innerhalb des Finanzunternehmens liegen und darf nicht an externe Dienstleister delegiert werden.  

Um Dienstleister effektiv einzubinden, empfiehlt es sich, rollenbasierte Strukturen zu etablieren, in denen operative Aufgaben, Verantwortlichkeiten und insbesondere Übergänge klar definiert sind. Regelmäßige Audits und Überprüfungen stellen sicher, dass diese Verantwortlichkeiten konsequent eingehalten und dokumentiert werden.
 

Kulturveränderung und Prozessorientierung 

DORA stellt nicht nur technische Anforderungen, sondern verlangt tiefgreifende organisatorische und kulturelle Veränderungen. Finanzinstitute müssen eine starke Risikokultur etablieren, in der sich alle Beteiligten ihrer Verantwortung bewusst sind und aktiv zur Einhaltung regulatorischer Vorgaben beitragen. 

Die Umsetzung der Maßnahmen, die aufgrund von DORA definiert werden, setzt ein Umdenken in der gesamten Organisation voraus. Informelle oder personenabhängige Arbeitsweisen müssen durch prozessorientierte Strukturen ersetzt werden. Entscheidend ist, dass alle Beteiligten den Mehrwert und die Notwendigkeit dieser Veränderungen verstehen. Dies kann durch klare Kommunikation, gezielte Schulungsmaßnahmen und die konsequente Integration der neuen Arbeitsweisen in die Unternehmenskultur sichergestellt werden.
 

Standardisierung: Effizienz und Compliance durch strukturierte Abläufe 

Die hohe Transparenz, die DORA fordert, kann nur erreicht werden, wenn Abläufe formalisiert und standardisiert werden. Dies bezieht sich auch auf den Umgang mit IT-Dienstleistern. Ohne klar strukturierte Prozesse, definierte Schnittstellen und standardisierte Kontrollmechanismen ist eine effiziente und regelkonforme Zusammenarbeit kaum möglich.
 

Nutzung gängiger Frameworks 

Ein systematischer Standardisierungsansatz kombiniert bewährte Frameworks wie ITIL für das Service-Management, COBIT für die IT-Governance, ISO 27001 für die Informationssicherheit und das NIST Cybersecurity Framework für IT-Sicherheitsrichtlinien. Diese Standards bieten praxiserprobte Methoden zur Risikominimierung und Einhaltung regulatorischer Anforderungen. Die Anwendung von bekannten Prozessstandards lohnt sich, um Missverständnisse zu reduzieren und auf einem einheitlichen Wording aufzubauen.
 

Technologische Unterstützung und Compliance-Tools 

Der gezielte Einsatz spezialisierter Technologieplattformen optimiert die Steuerung und Kontrolle von Compliance-Prozessen. GRC-Software (Governance, Risk & Compliance) ermöglicht ein strukturiertes Management regulatorischer Anforderungen, während SIEM-Systeme (Security Information and Event Management) sicherheitskritische Ereignisse in Echtzeit überwachen. Automatisierte Audit- und Reporting-Tools erleichtern die Dokumentation, verbessern die Nachvollziehbarkeit und erhöhen die Transparenz von Compliance-Maßnahmen.
 

Automatisierungspotenziale erkennen und ausschöpfen 

Ein weiterer Erfolgsfaktor der Standardisierung ist die Automatisierung wiederkehrender Prozesse. Unternehmen sollten gezielt analysieren, welche Prozesse sich für eine IT-gestützte Automatisierung eignen - sei es durch Echtzeit-Compliance-Checks, automatisiertes IT-Service-Monitoring oder standardisierte Audit-Reports. Neben der Effizienzsteigerung trägt die Automatisierung dazu bei, menschliche Fehler zu minimieren und die Prozesssicherheit zu erhöhen. Entscheidend ist eine strategische Herangehensweise: Prozesse sollten zuerst optimiert und dann automatisiert werden, um ineffiziente Strukturen nicht zu verfestigen.
 

Integration des Dienstleisters 

Insgesamt erhöht DORA die Transparenz gegenüber Dienstleistern: Diese werden nicht mehr nur in wesentliches Outsourcing und sonstigen Fremdbezug unterteilt. Stattdessen muss vertraglich und operativ klar definiert werden, ob und in welchem Umfang sie kritische oder wichtige Funktionen unterstützen. 

In der betrieblichen Praxis fordert DORA von Finanzinstituten einen sorgfältigen Umgang mit Drittdienstleistern, insbesondere Managed Service Providern. Es hat sich bewährt, dass der Dienstleister vertraglich verpflichtet wird, die Prozesse und Systeme des Kunden zu nutzen. In diesem Fall müssen die Service Mitarbeiter des Dienstleisters - ebenso wie interne Mitarbeiter - hinsichtlich des Servicemodells, der Rollen und Verantwortlichkeiten entsprechend geschult werden. Auch die Einhaltung des Prozesses und die Dokumentationspflicht seitens des Dienstleisters muss durch das Finanzunternehmen überwacht werden. Sollte es nicht möglich sein, dass der Dienstleister die Prozesse und Systeme des Instituts nutzt, ist eine enge Prozessverzahnung und ggf. eine Ticketkopplung wichtig.
 

Kontinuierlicher Verbesserungsprozess und Prozessmonitoring  

Ein effektives Prozessmanagement erfordert einen kontinuierlichen Verbesserungsprozess sowie ein systematisches Monitoring. Dazu gehört sowohl die Bewertung der Prozessqualität anhand messbarer Kennzahlen als auch das Einholen von qualitativem Feedback - sowohl von den Anwendern als auch von den Leistungserbringern. Die regelmäßige Anpassung der Prozesse an verschärfte regulatorische Anforderungen oder erhaltenes Feedback ist unerlässlich und sollte in der Verantwortung des Prozesseigners im Finanzinstitut liegen.
 

Nachvollziehbarkeit: Essenziell für regulatorische Compliance 

Ein zentrales Grundelement von DORA ist die eindeutige Nachvollziehbarkeit aller relevanten Prozesse und Entscheidungen. Eine fehlende oder unzureichende Dokumentation kann zu Compliance-Verstößen führen und erhebliche Sanktionen nach sich ziehen. Daher ist eine strukturierte und vollständige Dokumentation essenziell, um regulatorische Anforderungen zu erfüllen.
 

Dokumentation als Grundlage 

Alle Prozessschritte müssen lückenlos dokumentiert, prüfbar und jederzeit nachvollziehbar sein. Das umfasst sowohl die übergeordnete Prozessdokumentation als auch operative Aufzeichnungen während der Durchführung. Moderne Systeme bieten die Möglichkeit, Prozesse elektronisch zu signieren und auf diese Weise nachvollziehbare Verantwortlichkeiten zu schaffen. Dazu gehören: 

• Prozessbeschreibungen und Verantwortlichkeiten, die regelmäßig überprüft und aktualisiert werden müssen. 

• Aufzeichnungen über IT-Risiken und deren Behandlung, einschließlich Maßnahmen zur Risikominderung. 

• Dokumentation aller MSP-Leistungen und -Vereinbarungen, ergänzt durch klare Eskalations- und Reaktionsmechanismen.
   

Klare Arbeitsanweisungen 

Regulatorische Anforderungen können nur erfüllt werden, wenn die Mitarbeiterinnen und Mitarbeiter klare und verständliche Arbeitsanweisungen erhalten. Neben schriftlichen Anweisungen sollten digitale Workflows und automatisierte Freigabeprozesse eingesetzt werden. Dies minimiert Fehlerquellen, erleichtert Audits und stellt die Nachvollziehbarkeit der Compliance sicher.
 

Kontinuierliche Anwenderschulungen 

Regelmäßige Schulungen gewährleisten, dass alle Beteiligten über die aktuellen regulatorischen Anforderungen informiert sind und die relevanten Prozesse korrekt umsetzen. Ein gut geschultes Team ist der beste Schutz vor Compliance-Verstößen. 

Gezielte Sensibilisierungsprogramme zu IT-Sicherheit und Compliance - etwa durch Webinare, Workshops oder E-Learning-Kurse - fördern ein besseres Risikobewusstsein und unterstützen eine praxisnahe Umsetzung sicherheitskritischer Prozesse. 

Technische Schulungen zu Monitoring- und Dokumentationstools, insbesondere zu SIEM-Systemen und GRC-Software, helfen den Mitarbeitenden, automatisierte Systeme effizient zu nutzen und Compliance-Anforderungen lückenlos nachzuvollziehen.
 

Verantwortung übernehmen, Standards setzen, Transparenz schaffen 

DORA stellt Finanzunternehmen vor neue regulatorische Herausforderungen, insbesondere im Umgang mit MSPs. Trotz der Auslagerung von IT-Dienstleistungen bleibt die Verantwortung vollumfänglich beim Finanzinstitut. Ein effektives Third Party Risk Management, klare Governance-Regeln und transparente Prozesse sind unerlässlich. 

Die Automatisierung von Compliance-Prozessen steigert nicht nur die Effizienz, sondern minimiert auch Fehler und erhöht die Prozesssicherheit. Gleichzeitig erfordert DORA eine stärkere Risikokultur, prozessorientiertes Arbeiten sowie regelmäßige Schulungen und Audits. Unternehmen, die frühzeitig Maßnahmen umsetzen, stärken ihre digitale Resilienz und sichern sich langfristig Wettbewerbsvorteile.