COMPLIANCE AUF HÖCHSTEM NIVEAU

Ihr DORA-konformer Managed Service Provider (MSP) für Finanzunternehmen

7P ist Ihr Partner für DORA-konforme IT-Services in Deutschland. Unser spezifisches Leistungsangebot umfasst den Support und den Betrieb von komplexen Individuallösungen ebenso wie von Standardlösungen. Für Finanzunternehmen bieten wir maßgeschneiderte IT-Services, mit denen Sie für das nächste Audit bestens gerüstet sind.

Was ist DORA? 

Der Digital Operational Resilience Act (DORA), offiziell als Verordnung (EU) 2022/2554 bekannt, ist ein zentrales Gesetz zur Stärkung der digitalen operationellen Resilienz im Finanzsektor. Diese umfassende Verordnung befasst sich mit Cybersicherheits-, Informations- und Kommunikationstechnologierisiken (IKT-Risiken) und fördert die Stärkung des europäischen Finanzmarkts gegenüber Cyber-Security-Risiken und IKT-Vorfällen. Mit der Einführung von DORA wird ein Regelwerk für den gesamten Finanzsektor geschaffen, das wesentlich zur Gewährleistung der Sicherheit und Stabilität der Finanzsysteme beiträgt. 

Wichtige Stichtage und warum sofortiges Handeln erforderlich ist
DORA tritt in Kraft


Die DORA-Verordnung ist am 17. Januar 2023 in Kraft getreten. Finanzunternehmen müssen innerhalb von zwei Jahren, also bis Januar 2025, vollständig DORA-konform sein. 

Umsetzungsfristen und wichtige Meilensteine: 

1. Halbjahr 2024: Veröffentlichung der ersten Reihe von Regulatory Technical Standards (RTS) und Implementing Technical Standards (ITS) einschließlich des IKT Risk Management Frameworks und operativer Sicherheit. 

2. Halbjahr 2024: Veröffentlichung der zweiten Reihe von RTS und ITS zur Meldung von IKT-Vorfällen und Anforderungen an das Testen der digitalen operationellen Resilienz. 

2025: Die Anforderungen sind ab Anfang 2025 durchsetzbar. 

Aufgrund der genannten Fristen und der komplexen Anforderungen ist es für Unternehmen im Finanzsektor unerlässlich, bereits jetzt mit der Umsetzung der erforderlichen Maßnahmen zu beginnen. Insbesondere das IKT-Risikomanagement rückt in den Fokus, da es eine zentrale Säule der DORA-Anforderungen darstellt. 

Sofortige Maßnahmen unter DORA: Was Sie jetzt tun müssen 

DORA formuliert nicht nur regulatorische Anforderungen, sondern etabliert auch einen verbindlichen Gesetzestext. Dieser liefert im Rahmen der RTS und ITS weitere Vorgaben und Definitionen, die anzuwenden sind. Verstöße gegen DORA werden mit Bußgeldern sanktioniert und als Gesetzesverstöße geahndet. Darüber hinaus sehen die Vorgaben ein Meldewesen vor, das Risiken und Verstöße öffentlich auf der Homepage der BaFin kommuniziert.  

DORA nimmt die Geschäftsleitung persönlich in die Pflicht. Der Ernst der Lage sollte allen betroffenen Finanzinstituten wie Banken, Versicherungen, Leasinggesellschaften, Zahlungsdienstleistern und Kreditinstituten bewusst sein. Vielerorts wurden bereits Projekte zur Optimierung der eigenen IT-Strukturen gestartet.

Eine wichtige Maßnahme ist die Entwicklung einer Strategie im Rahmen des IKT-Risikomanagements, wie mit dem IKT-Drittparteienrisiko umgegangen werden soll. In diesem Zusammenhang müssen Bestandsprovider und alle zukünftigen Auslagerungspartner geprüft werden, um sicherzustellen, dass die IKT-Drittdienstleister alle notwendigen Anforderungen erfüllen.

Viele Finanzunternehmen vertrauen uns bereits.
Tun Sie es auch!  

Jetzt mit Experten sprechen!

Unsere Kompetenzen im Bereich der Managed Services (MS) für Finanzunternehmen:

ISAE 3402 Typ 2 Bericht: Dieser international anerkannte Reporting-Standard dient der umfassenden Überwachung und Kontrolle von Dienstleistern. Mit ihm soll eine hohe Qualität und Sicherheit bei der Auslagerung von Dienstleistungen gewährleistet werden, indem er das interne Kontrollsystem des Dienstleistungsunternehmens überprüft. Der ISAE 3402 Typ 2 Report dient als detaillierter Nachweis der Abbildung regulatorischer Anforderungen. Er umfasst die Prüfung des Kontrolldesigns, der Implementierung der Kontrollen sowie der tatsächlichen Durchführung.

Erfahren Sie mehr zum Thema in unserem aktuellen Whitepaper "Reporting nach ISAE 3402 als Lösung für die Steuerung von IT-Dienstleistern in der Finanzdienstleistung".

Jetzt Whitepaper erhalten!

Als IKT-Drittanbieter haben wir den Risikomanagementrahmen, den Sie als Finanzunternehmen vorweisen müssen, nicht nur verstanden, sondern auch verinnerlicht. Teile davon haben wir bereits in unserer eigenen Organisation etabliert. Gerne integrieren wir uns auf Wunsch auch in Ihr Melde- und Berichtswesen.

Als mittelständisches Unternehmen sind wir in der Lage, flexibel auf Ihre Bedürfnisse einzugehen und Ihnen persönliche Ansprechpartner in Deutschland zur Verfügung zu stellen. Neben unserem Hauptsitz in Köln sind wir mit mehreren Standorten in Deutschland sowie in anderen EU-Ländern vertreten. So gewährleisten wir die Nähe zu unseren Kunden und rekrutieren bei Bedarf standortübergreifend.

Als Finanzunternehmen fordert DORA von Ihnen, dass Sie Ihren IKT-Dienstleister kontrollieren und überwachen, und zwar nicht nur in einer initialen Due Diligence Phase, sondern auch kontinuierlich während der Vertragslaufzeit. Deshalb haben Sie im Rahmen von DORA das Recht, die Leistung des IKT-Drittdienstleisters laufend zu überwachen (Art. 30 Abs. 3). Dies umfasst auch Prüfungen durch Dritte sowie Vor-Ort-Inspektionen und Audits.  

Selbstverständlich lassen auch wir uns auditieren und gewähren Ihnen transparente Einblicke in die 7P-Strukturen.

Mit Hilfe der Kolleginnen und Kollegen aus den europäischen Standorten können wir auf Wunsch einen Rund-um-die-Uhr Service garantieren –  selbstverständlich unter Einhaltung strenger regulatorischer Vorgaben.

Dabei werden im Mixed-Shore-Modell Teams zusammengestellt, die aus Kolleginnen und Kollegen aus Deutschland und dem europäischen Ausland bestehen. Sehr gerne stellen wir deutschsprachige Ansprechpartner zur Verfügung, die für die tägliche Kommunikation und persönliche Zusammenarbeit zuständig sind.  

Auch unsere Standorte im europäischen Ausland werden regelmäßig auditiert, um die hohen Sicherheitsstandards zu gewährleisten. 

Als Finanzunternehmen sind Sie gemäß DORA verpflichtet, Ihren Dienstleister und die gesamte Lieferkette – auch im Falle einer Weiterverlagerung – über die gesamte Lieferkette hinweg zu kontrollieren und zu überwachen. Dies erschwert häufig die Zusammenarbeit mit Dienstleistern, die Unterauftragnehmer einsetzen. Wir von 7P setzen bei unseren Serviceteams ausschließlich auf eigene Mitarbeitende. Denn uns ist nicht nur ein transparentes Liefermodell wichtig, sondern auch, dass wir unsere  Beratungs- und Serviceleistungen mit dem notwendigen 7P-Mindset erbringen. 

Das Besondere an unserem Kooperationsmodell ist die Anpassung an Ihre umgebung und die nahtlose Integration in Ihre Prozesse durch professionelles ITSM. Dadurch erhalten Sie maximale Transparenz über unsere Leistungen. Auch Exit-Strategien lassen sich realistischer abbilden und testen, da die Intellectual Property immer bei Ihnen bleibt. Wir arbeiten mit unseren Teams auf Ihren Systemen, nutzen Ihre Prozesse und dokumentieren das Wissen in Ihrer Wissensdatenbank. Gleichzeitig unterstützen wir Sie gerne dabei, Ihre Prozesse weiterzuentwickeln und auf eine optimale Steuerung Ihrer Dienstleister auszurichten. Unsere Expertise in den Bereiche DevOps und AI bzw. AIOps ist dabei ein entscheidender Vorteil. 

Erfahren Sie mehr zum Thema in unserem aktuellen Whitepaper "IT-Service-Management leicht gemacht".

Jetzt Whitepaper erhalten

Zur eigenen Absicherung und als Mehrwert für unsere Kunden, haben wir als Kontrollinstanz eine unabhängige und objektive Interne Revision im eigenen Unternehmen etabliert. Sie prüft die Unternehmensführung und die internen 7P-Prozesse, unterstützt beim Risikomanagement sowie der Compliance und berät im Bereich Governance.

Das sind unsere Zertifikate

Als mittelständisches Unternehmen sind wir sehr flexibel und können unsere Prozesse selbst an höchste Compliance-Anforderungen ausrichten. Wir arbeiten nach ISO-Standards und werden dabei durch automatisierte Tests und Audits unterstützt. Wir sind nach ISO 9001, 27001 und ISAE zertifiziert, etabliert und auditiert. Zudem erfüllen wir freiwillig zum Beispiel bankaufsichtliche Anforderungen an die IT nach MaRisk / BAIT und bieten ein von Wirtschaftsprüfungsgesellschaften erstelltes Reporting nach dem Standard ISAE 3402 Typ 2 an.

Buchen Sie Ihre kostenfreie Erstberatung!

Als DORA IT-Dienstleister stehen wir Ihnen gerne für weitere Informationen zu unseren DORA-konformen Managed Services zur Verfügung. Sichern Sie sich jetzt eine kostenlose Erstberatung. Wir freuen uns darauf, mit Ihnen über Ihre individuellen Anforderungen zu sprechen.

Weitere Themen für Sie