Wie Firmen ihr IT-Drittparteienrisiko nach Dora managen sollten

Vertragliche Vereinbarungen

Artikel 30 DORA-VO gibt die einzelnen Mindestvertragsinhalte an, welche bei allen vertraglichen Vereinbarungen mit IKT-Drittdienstleistern zu berücksichtigen sind. Unterstützt ein IKT-Drittdienstleister eine „kritische oder wichtige“ Funktion, müssen zusätzliche Inhalte in den Vertrag mit dem Dienstleister aufgenommen werden. Die Anforderungen gelten sowohl für bestehende als auch für künftige Verträge, sodass Nachverhandlungen und Anpassungen bestehender Verträge erforderlich sind.

Informationsregister

Mit Einführung der Verpflichtung zur Erstellung und laufenden Aktualisierung eines Informationsregisters nach Artikel 28 Absatz 3 DORA-VO für IKT-Drittdienstleistungen und der regelmäßigen Berichterstattung an zuständige Behörden, zielt der europäische Gesetzgeber auf mehr Transparenz in puncto Konzentrationsrisiken.

Die ersten Informationsregister sind ab Januar 2025 bei der BaFin einzureichen. Ende Juni informierte die Aufsicht im Rahmen einer gesonderten Veranstaltung über die ersten Details bezüglich der im Informationsregister zu erfassenden Daten sowie über den geplanten Meldeweg. Dabei wurde deutlich, wie bedeutsam eine vorherige Einstufung einer ausgegliederten Funktion für die Aggregation der Daten ist. Denn nur im Falle einer „kritischen oder wichtigen“ Funktion müssen Angaben zu den vermeintlich unübersichtlichen Sub-Dienstleister-Ketten erfasst werden.

Hier spielen der risikobasierte Ansatz und das Proportionalitätsprinzip eine wichtige Rolle. Bei der Erfassung der Angaben zu Sub-Dienstleistern ist also stets zu hinterfragen, für wie kritisch deren Dienstleistung im Kontext der gesamten Dienstleistungskette gehalten wird. Als Meldeweg wird die Bafin das bekannte MV-Portal nutzen.

Die neuen Anforderungen ergänzen die bestehenden nationalen Anforderungen im Bereich des Outsourcings. Das wird zu erhöhten Aufwänden im Bereich Outsourcing-Management führen. Eine frühzeitige Anpassung der Prozesse und die Einführung geeigneter technischer Lösungen für das Outsourcing-Management ist der richtige Weg, um Dora-Konformität zu erlangen und erforderliche Daten konsistent, prüfungssicher und schnell zur Verfügung stellen zu können.

Fazit und Ausblick

Zahlreiche neue Dora-Anforderungen an das Management des IKT-Drittparteienrisikos zwingen Finanzunternehmen dazu, dieses Thema im Rahmen ihrer Organisation neu zu strukturieren und betroffene Prozesse kritisch zu würdigen. Die Einstufung ausgegliederter Funktionen hinsichtlich ihrer Kritikalität spielt dabei eine zentrale Rolle.

Die bestehenden nationalen Anforderungen an Ausgliederungen bleiben bestehen. Eine Erleichterung hat die Bafin zumindest in Aussicht gestellt – laut letzten öffentlichen Verlautbarungen werden die aufsichtlichen Anforderungen an die IT der Bafin (BAIT, ZAIT, KAIT, VAIT, kurz: XAIT) außer Kraft gesetzt.

Über die Autoren

Alina Renkas ist Wirtschaftsprüferin und Senior Managerin im Bereich IT Audit & Advisory im Versicherungsteam bei Forvis Mazars am Standort München.

Christian Pilgrim ist Manager im Bereich IT Audit & Advisory im Versicherungsteam bei Forvis Mazars am Standort Hamburg.

• <
• 1
• 2
• zur Startseite
• >