Wie Firmen ihr IT-Drittparteienrisiko nach Dora managen sollten

Um den Finanzsektor besser gegen Cyberrisiken zu schützen, hat die Europäische Union die sogenannte Dora-Verordnung ins Leben gerufen. Dora steht für Digital Operational Resilience Act. Und mehr als 3.600 Unternehmen hierzulande werden sie im nächsten Jahr anwenden müssen, berichtet die Finanzaufsicht Bafin. Davon sind etwa Versicherungen und Rückversicherungen, Versicherungsvermittler, Rückversicherungsvermittler und Versicherungsvermittler in Nebentätigkeit betroffen.

Kern von Dora ist dabei ein besseres Risikomanagement im Bereich der Informations- und Kommunikationstechnologie (IKT). Es soll vor allem gewährleisten, dass die Unternehmen widerstandsfähig gegen Cybergefahren werden – und dass ihre Prozesse auch während eines Störungsfalls und danach aufrechterhalten werden können.

Mehr zum Thema

D&O-Versicherungen

Warum Managerhaftpflichtpolicen jetzt nachjustiert werden sollten

Vermittler und die GKV, Senioren und „Dora“

Hören Sie jetzt Folge 177 unseres Podcasts „Die Woche“

Probealarm für Banken und Versicherer geplant

Wie die Bafin Cybergefahren in den Griff kriegen will

D&O-Versicherungen

Warum Managerhaftpflichtpolicen jetzt nachjustiert werden sollten

Vermittler und die GKV, Senioren und „Dora“

Hören Sie jetzt Folge 177 unseres Podcasts „Die Woche“

Probealarm für Banken und Versicherer geplant

Wie die Bafin Cybergefahren in den Griff kriegen will

Ab dem 17. Januar 2025 müssen betroffene Unternehmen die Dora-Vorschriften vollumfänglich anwenden. Spätestens mit der Veröffentlichung der einzelnen technischen Regulierungs- und Implementierungsstandards (RTS beziehungsweise ITS) zeigte sich, wie komplex und umfangreich die einzelnen Anforderungen sind. Eine der größten Herausforderungen dabei: das Management des IKT-Drittparteienrisikos, welches bei der Nutzung von IKT-Dienstleistungen entstehen kann.

Wichtige oder kritische Funktionen

Die Einstufung der ausgegliederten Funktionen als „kritisch oder wichtig“ ist eine der bedeutendsten Anforderungen im Bereich des Managements von Drittparteienrisiken. Daran knüpft der Gesetzgeber eine ganze Reihe von weiteren Regelungen.

Artikel 3 Nummer 22 DORA-VO nennt die Kriterien für die Einstufung einer an IKT-Drittdienstleister ausgegliederten Funktion als „kritisch oder wichtig“. Im Vordergrund stehen erhebliche Beeinträchtigungen der finanziellen Leistungsfähigkeit, die gefährdete Fortführung der Geschäftstätigkeit sowie die mangelnde Einhaltung regulatorischer Anforderungen, die durch einen Ausfall einer Funktion entstünden.

Eine unternehmensindividuelle Auslegung der Begriffe ist zwingend erforderlich. Die Finanzunternehmen müssen bestimmen, welche Funktionen als „kritisch oder wichtig“ einzustufen sind. Unternehmen sollten die in diesem Zuge ausgearbeiteten Definitionen in eine schriftlich fixierte Ordnung aufnehmen, um eine einheitliche unternehmens-/ konzernweite Anwendung sicherzustellen.

Leitlinie definieren

Im Rahmen der Nutzung von IKT-Dienstleistungen zur Unterstützung „kritischer oder wichtiger“ Funktionen ist eine Leitlinie zu definieren. Ein gesonderter Regulierungsstandard präzisiert die einzelnen Anforderungen an diese Leitlinie unter Nennung entsprechender Prozesse, Verfahren und Maßnahmen, die im Bereich des Risikomanagements aufzusetzen sind. Damit werden spezielle Anforderungen an den gesamten Lebenszyklus – von Vertragsverhandlungen bis zur Kündigung eines Vertrages – im Zusammenhang mit Ausgliederungen solcher IKT-Funktionen definiert.

• <
• 1
• 2
• zur Startseite
• >