DORA hat auch die Risiken im Blick, die durch die Nutzung von IKT-Dienstleistungen mit IKT-Drittdienstleistern entstehen können. Von den Finanzunternehmen verlangt DORA eine Einschätzung und Überwachung der IKT-Drittparteirisiken – und zwar während des gesamten Lebenszyklus des Bezugs.

Eine wichtige Voraussetzung hierfür ist, dass schon vor Vertragsabschluss eine Risikoanalyse und Due-Diligence stattfindet. Dabei sollen die Finanzunternehmen zum Beispiel berücksichtigen, wie abhängig sie von dem jeweiligen IKT-Drittdienstleister sind und welche Risiken aus der Vertragsbeziehung entstehen könnten. Auch zu den vertraglichen Bestimmungen formuliert DORA Anforderungen: Die Verordnung legt zum Beispiel fest, dass der Vertragspartner des Finanzunternehmens sich verpflichten muss, bei IKT-Vorfällen betreffend der bezogenen Dienstleistungen Unterstützung zu leisten. Außerdem müssen die Finanzunternehmen bei kritischen oder wichtigen Funktionen eine Ausstiegsstrategie vorweisen können.

Ihre abgeschlossenen IKT Vertragsbeziehungen müssen die Finanzunternehmen in ein Informationsregister eintragen. Dieses Register erfüllt mehrere Funktionen: Erstens ist es für die Finanzunternehmen ein praktisches Instrument, um ihre IKT-Drittparteirisiken strukturiert zu managen. Zweitens dient es der Aufsicht als Grundlage, um die kritischen IKT-Drittdienstleister bestimmen zu können. Damit liefern die Informationen aus dem Register einen wesentlichen Input für das europäische Überwachungsrahmenwerk für kritische IKT-Drittdienstleister.

Was müssen Sie wissen?

Der Fragenkatalog vermittelt, ohne Anspruch auf Vollständigkeit, einen ersten Überblick über die wichtigsten Fragestellungen und deren Umsetzung. Dieser Fragenkatalog wird fortlaufend aktualisiert.