BaFin - Navigation & Service

Stand:geändert am 04.07.2024 Management des IKT-Drittparteienrisikos

Die BaFin informiert über Kapitel V, Abschnitt I, Artikel 28 bis 30 DORA

DORA hat auch die Risiken im Blick, die durch die Nutzung von IKT-Dienstleistungen mit IKT-Drittdienstleistern entstehen können. Von den Finanzunternehmen verlangt DORA eine Einschätzung und Überwachung der IKT-Drittparteienrisiken – und zwar während des gesamten Lebenszyklus des Bezugs.

Eine wichtige Voraussetzung hierfür ist, dass schon vor Vertragsabschluss eine Risikoanalyse und Due-Diligence stattfindet. Dabei sollen die Finanzunternehmen zum Beispiel berücksichtigen, wie abhängig sie von dem jeweiligen IKT-Drittdienstleister sind und welche Risiken aus der Vertragsbeziehung entstehen könnten. Auch zu den vertraglichen Bestimmungen formuliert DORA Anforderungen: Die Verordnung legt zum Beispiel fest, dass der Vertragspartner des Finanzunternehmens sich verpflichten muss, bei IKT-Vorfällen betreffend der bezogenen Dienstleistungen Unterstützung zu leisten. Außerdem müssen die Finanzunternehmen bei kritischen oder wichtigen Funktionen eine Ausstiegsstrategie vorweisen können.

Ihre abgeschlossenen IKT-Vertragsbeziehungen müssen die Finanzunternehmen in ein Informationsregister eintragen. Dieses Register erfüllt mehrere Funktionen: Erstens ist es für die Finanzunternehmen ein praktisches Instrument, um ihre IKT-Drittparteienrisiken strukturiert zu managen. Zweitens dient es der Aufsicht als Grundlage, um die kritischen IKT-Drittdienstleister bestimmen zu können. Damit liefern die Informationen aus dem Register einen wesentlichen Input für das europäische Überwachungsrahmenwerk für kritische IKT-Drittdienstleister.

Was müssen Sie wissen?

Der Fragenkatalog vermittelt, ohne Anspruch auf Vollständigkeit, einen ersten Überblick über die wichtigsten Fragestellungen und deren Umsetzung. Dieser Fragenkatalog wird fortlaufend aktualisiert.

Was sind IKT-Dienstleistungen im Sinne von DORA?

„IKT-Dienstleistungen“ sind digitale Dienste und Datendienste, die über IKT-Systeme einem oder mehreren internen oder externen Nutzerinnen und Nutzern dauerhaft bereitgestellt werden, einschließlich Hardware als Dienstleistung und Hardwaredienstleistungen. Dazu gehört auch die technische Unterstützung durch den Hardwareanbieter mittels Software- oder Firmware- Aktualisierungen , mit Ausnahme herkömmlicher analoger Telefondienste (Art. 3 Absatz 1 Nr. 21 DORA).

Zusatzinformationen

Delegierte Verordnung (EU) 2024/1773 der Kommission vom 13. März 2024 zur Ergänzung der Verordnung (EU) 2022/2554 des Europäischen Parlaments und des Rates durch technische Regulierungsstandards zur Spezifizierung des detaillierten Inhalts der Leitlinie für vertragliche Vereinbarungen über die Nutzung von IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen, die von IKT-Drittdienstleistern bereitgestellt werden (Art. 28 Abs. 10 DORA)

Finaler Entwurf zur Erstellung einer Standardvorlage für das Informationsregister (Art. 28 Abs. 9)

Konsultationsentwurf des RTS zur Spezifizierung von Elementen bei der Untervergabe von kritischen oder wichtigen Funktionen (Art. 30 Abs. 5)

Veranstaltung „IT-Aufsicht im Finanzsektor: Was bedeutet DORA in der Praxis?" vom 5. Dezember 2023

Fanden Sie den Beitrag hilfreich?

Wir freuen uns über Ihr Feedback

Es hilft uns, die Webseite kontinuierlich zu verbessern und aktuell zu halten. Bei Fragen, für deren Beantwortung wir Sie kontaktieren sollen, nutzen Sie bitte unser Kontaktformular. Hinweise auf tatsächliche oder mögliche Verstöße gegen aufsichtsrechtliche Vorschriften richten Sie bitte an unsere Hinweisgeberstelle.

Wir freuen uns über Ihr Feedback