DORA hat auch die Risiken im Blick, die durch die Nutzung von IKT-Dienstleistungen mit IKT-Drittdienstleistern entstehen können. Von den Finanzunternehmen verlangt DORA eine Einschätzung und Überwachung der IKT-Drittparteienrisiken – und zwar während des gesamten Lebenszyklus des Bezugs.

Eine wichtige Voraussetzung hierfür ist, dass schon vor Vertragsabschluss eine Risikoanalyse und Due-Diligence stattfindet. Dabei sollen die Finanzunternehmen zum Beispiel berücksichtigen, wie abhängig sie von dem jeweiligen IKT-Drittdienstleister sind und welche Risiken aus der Vertragsbeziehung entstehen könnten. Auch zu den vertraglichen Bestimmungen formuliert DORA Anforderungen: Die Verordnung legt zum Beispiel fest, dass der Vertragspartner des Finanzunternehmens sich verpflichten muss, bei IKT-Vorfällen betreffend der bezogenen Dienstleistungen Unterstützung zu leisten. Außerdem müssen die Finanzunternehmen bei kritischen oder wichtigen Funktionen eine Ausstiegsstrategie vorweisen können.

Ihre abgeschlossenen IKT-Vertragsbeziehungen müssen die Finanzunternehmen in ein Informationsregister eintragen. Dieses Register erfüllt mehrere Funktionen: Erstens ist es für die Finanzunternehmen ein praktisches Instrument, um ihre IKT-Drittparteienrisiken strukturiert zu managen. Zweitens dient es der Aufsicht als Grundlage, um die kritischen IKT-Drittdienstleister bestimmen zu können. Damit liefern die Informationen aus dem Register einen wesentlichen Input für das europäische Überwachungsrahmenwerk für kritische IKT-Drittdienstleister.

Was müssen Sie wissen?

Der Fragenkatalog vermittelt, ohne Anspruch auf Vollständigkeit, einen ersten Überblick über die wichtigsten Fragestellungen und deren Umsetzung. Dieser Fragenkatalog wird fortlaufend aktualisiert.