Stand:geändert am 04.07.2024 Management des IKT-Drittparteienrisikos
Die BaFin informiert über Kapitel V, Abschnitt I, Artikel 28 bis 30 DORA
DORA hat auch die Risiken im Blick, die durch die Nutzung von IKT-Dienstleistungen mit IKT-Drittdienstleistern entstehen können. Von den Finanzunternehmen verlangt DORA eine Einschätzung und Überwachung der IKT-Drittparteienrisiken – und zwar während des gesamten Lebenszyklus des Bezugs.
Eine wichtige Voraussetzung hierfür ist, dass schon vor Vertragsabschluss eine Risikoanalyse und Due-Diligence stattfindet. Dabei sollen die Finanzunternehmen zum Beispiel berücksichtigen, wie abhängig sie von dem jeweiligen IKT-Drittdienstleister sind und welche Risiken aus der Vertragsbeziehung entstehen könnten. Auch zu den vertraglichen Bestimmungen formuliert DORA Anforderungen: Die Verordnung legt zum Beispiel fest, dass der Vertragspartner des Finanzunternehmens sich verpflichten muss, bei IKT-Vorfällen betreffend der bezogenen Dienstleistungen Unterstützung zu leisten. Außerdem müssen die Finanzunternehmen bei kritischen oder wichtigen Funktionen eine Ausstiegsstrategie vorweisen können.
Ihre abgeschlossenen IKT-Vertragsbeziehungen müssen die Finanzunternehmen in ein Informationsregister eintragen. Dieses Register erfüllt mehrere Funktionen: Erstens ist es für die Finanzunternehmen ein praktisches Instrument, um ihre IKT-Drittparteienrisiken strukturiert zu managen. Zweitens dient es der Aufsicht als Grundlage, um die kritischen IKT-Drittdienstleister bestimmen zu können. Damit liefern die Informationen aus dem Register einen wesentlichen Input für das europäische Überwachungsrahmenwerk für kritische IKT-Drittdienstleister.
Was müssen Sie wissen?
Der Fragenkatalog vermittelt, ohne Anspruch auf Vollständigkeit, einen ersten Überblick über die wichtigsten Fragestellungen und deren Umsetzung. Dieser Fragenkatalog wird fortlaufend aktualisiert.