Ein kostenloser Informationsservice des unabhängigen Deutschen Outsourcing Verbandes.e.V.
EU-Verordnung DORA – Fokus Outsourcing
Julius Freiherr Grote, Managing Partner, EQVITES Advisory, Deutschland
November 2024
Der Digital Operational Resilience Act (DORA) der EU stellt eine umfassende regulatorische Maßnahme dar, um die digitale Resilienz im europäischen Finanzsektor ab Anfang des nächsten Jahres zu stärken. Mit der Einführung von DORA werden verbindliche Anforderungen für Finanzinstitute formuliert, die IKTDienstleistungen auslagern oder auf Drittanbieter zurückgreifen.
Auf diese Weise wird Instituten eine solide Basis für den Umgang mit operationellen und technologischen Risiken geboten. Vendormanager, Auslagerungsbeauftragte oder Providermanager von Finanzinstituten sind zentrale Zielgruppen von Kapitel V der Verordnung, die eine noch engere Überwachung ausgelagerter IKT-Dienstleistungen an IKTDienstleister erfordert. Der vorliegende Artikel skizziert wesentliche Bestandteile der Verordnung mit Fokus auf das Outsourcing im Kontext des IKT-Drittparteienrisikomanagements.
DORA im Überblick
Die DORA-Verordnung wurde Ende 2022 verabschiedet und wird ab Mitte Januar 2025 in Kraft treten. Ihr Ziel ist es, den europäischen Finanzsektor widerstandsfähiger gegenüber Cyberangriffen und anderen operationellen Risiken zu machen.
Dabei soll eine konsistente Anwendung von Sicherheitsanforderungen innerhalb der EUMitgliedstaaten sichergestellt werden. Die Verordnung betrifft Banken, Versicherungen, Zahlungsdienstleister, Krypto-Dienstleister und weitere Institutionen im Finanzsektor sowie deren IKTDienstleister, die durch die verbindlichen Vorgaben zu einem einheitlichen Sicherheitsstandard verpflichtet werden.
Die Verordnung im engeren Sinne besteht im Wesentlichen aus fünf Kapiteln, die Standards für den Umgang mit IKT-Risiken zur Stärkung der operationalen Resilienz im Finanzsektor festlegen. Ergänzt wird diese Struktur durch insgesamt 14 Level-2-Rechtstexte, (Regulatory Technical Standards/RTS bzw. Implementation Technical Standards/ ITS), die detaillierte Vorgaben für technische und operationelle Standards ausgewählter einzelner DORA-Anforderungen enthalten.
Im Aufbau der Verordnung wird besonderer Wert auf ein solides Rahmenwerk sowohl für ein IKTRisikomanagements als auch für ein IKT-Drittparteienrisikomanagements gelegt.
Die Kapitel II bis VI behandeln die Anforderungen an die Governance dieses IKT-Risikomanagements sowie die Behandlung und Meldung von IKT-Sicherheitsvorfällen. Ferner werden Vorgaben für die Durchführung bedrohungsorientierter Penetrationstests (thread led penetration testing/ TLPT) sowie Maßnahmen zur Erhöhung der Sicherheit im Rahmen von Auslagerungen an IKT-Drittdienstleister definiert.
Ein zentrales Element der Verordnung stellen Vorgaben zu Risikomanagementsystemen und Meldepflichten für Sicherheits vorfälle dar. DORA betont, dass Institute spezifische Systeme und Maßnahmen zur Risikoidentifikation und -minderung implementieren müssen, die auch die Anzeige von Sicherheitsvorfällen innerhalb vorgegebener Fristen an die BaFin beinhalten. Dabei stehen das Management von IKTDrittparteienrisiken und die Sicherstellung einer effektiven und überprüfbaren Steuerung ausgelagerter IKT-Dienstleistungen im Mittelpunkt.
DORA im Outsourcing
Die Verordnung enthält detaillierte Anforderungen an das Management von Risiken, die durch die Auslagerung von IKTDienstleistungen entstehen. Da Auslagerungen bereits seit längerer Zeit in Finanzinstituten stetig zunehmen, ist es für Institute im Finanzsektor essenziell, klare Prozesse zur Steuerung und Überwachung ausgelagerter IKTDienstleistungen zu etablieren. Ein hierfür relevantes Risikomanagement postuliert Maßnahmen zur systematischen Identifikation, Bewertung und Minderung der mit einem Outsourcing verbundenen Risiken, besonders wachsender Konzentrations- oder Weiterverlagerungsrisiken.
Institute sind verpflichtet, derartige Risikoanalysen sowohl von IKT-Dienstleistern (due diligences) als auch von IKTDienstleistungen durchzuführen. Auf diese Weise können sie potenzielle Schwachstellen frühzeitiger erkennen und notwendige Maßnahmen zur Risikominderung einleiten. Dies schließt u.a. die Verpflichtung ein, Sicherheitsoder Compliance-Maßnahmen von IKT-Dienstleistern u.a. durch Audits oder Vor-Ort Inspektionen regelmäßig zu überprüfen und bei Bedarf anzupassen.
Eine weitere Anforderung im Kontext des Outsourcings stellt die neue Erstellung eines Informationsregister dar. Institute, die Leistungen an IKT-Dienstleister auslagern, haben ergänzend zum weiterhin zu pflegenden Auslagerungsregister ein Informationsregister zu führen, in dem alle relevanten Informationen über IKT-Dienstleister und an sie ausgelagerte IKT-Dienstleistungen dokumentiert werden. Dieses Register dient besonders den Europäischen Aufsichtsbehörden als Werkzeug, um u.a. einerseits Transparenz über Weiterverlagerungsketten zu erhöhen und andererseits frühzeitiger drohende Konzentrationsrisiken besonders bei global agierenden IKTDienstleistern festzustellen.
Für das Vertragsmanagement schreibt DORA vor, dass Institute detaillierte vertragliche Vereinbarungen mit ihren IKTDienstleistern treffen müssen. Derartige Vereinbarungen mussten betroffene Institute bisher primär für Auslagerungen von IKTDienstleistungen, nicht aber für Fremdbezüge einhalten. Eine IKTDienstleistung gem.
DORA geht jedoch über die in Deutschland bis dato gebräuchliche Definition einer Auslagerung gem. MaRisk hinaus. Ferner steigen die Mindestvertragsanforderungen zusätzlich an, falls eine ausgelagerte IKT-Dienstleistung eine aus Sicht des jeweiligen Instituts kritsche oder wichtige Funktion unterstützt. In diesen Fällen sind zusätzliche Vertragsanforderungen mit Blick auf bspw. erweiterte Prüfrechte, Berichtspflichten des IKTDienstleisters, Notfallplänen oder Ausstiegsstrategien zu berücksichtigen.
Lesen Sie den Artikel weiter in der Ausgabe
Der Artikel enthält weitere Informationen, die Sie ab Seite 28 lesen können. Die Ausgabe steht zum kostenlosen Download zur Verfügung.
Bitte füllen Sie nebenstehendes Formular aus, um den Downloadlink sofort per E-Mail zu erhalten.
Wir verwenden Ihre Information nur für gelegentliche Hinweise (ca. 3-4x im Jahr) auf Veröffentlichungen oder Initiativen, die für Sie von Interesse sein könnten. Sie können die E-Mails jederzeit abbestellen.
Das Vendormanagement Journal ist eine Veröffentlichung des Deutschen Outsourcing Verbandes e.V.
Veröffentlichen
Wir laden Sie ein im Vendormanagement Journal zu veröffentlichen. Wir sind an Fachbeiträgen von Verantwortlichen interessiert, die mit dem Management von externen Serviceprovider betraut sind oder dazu beraten. Kontakt: office@outsourcing-verband.org
Impressum