Alina Renkas und Christian Pilgrim von der Prüfungs- und Beratungsgesellschaft Forvis Mazars. © Forvis Mazars
  • Von Redaktion
  • 16.07.2024 um 12:11
artikel drucken artikel drucken
lesedauer Lesedauer: ca. 02:55 Min

Die sogenannte Dora-Verordnung der EU soll den Finanzsektor besser vor Cyberrisiken schützen – die Anforderungen an die Unternehmen sind aber nicht ohne. Was insbesondere in puncto IT-Drittparteienrisiko zu tun ist, schreiben Alina Renkas und Christian Pilgrim von der Prüfungs- und Beratungsgesellschaft Forvis Mazars.

Um den Finanzsektor besser gegen Cyberrisiken zu schützen, hat die Europäische Union die sogenannte Dora-Verordnung ins Leben gerufen. Dora steht für Digital Operational Resilience Act. Und mehr als 3.600 Unternehmen hierzulande werden sie im nächsten Jahr anwenden müssen, berichtet die Finanzaufsicht Bafin. Davon sind etwa Versicherungen und Rückversicherungen, Versicherungsvermittler, Rückversicherungsvermittler und Versicherungsvermittler in Nebentätigkeit betroffen.

Kern von Dora ist dabei ein besseres Risikomanagement im Bereich der Informations- und Kommunikationstechnologie (IKT). Es soll vor allem gewährleisten, dass die Unternehmen widerstandsfähig gegen Cybergefahren werden – und dass ihre Prozesse auch während eines Störungsfalls und danach aufrechterhalten werden können.

Ab dem 17. Januar 2025 müssen betroffene Unternehmen die Dora-Vorschriften vollumfänglich anwenden. Spätestens mit der Veröffentlichung der einzelnen technischen Regulierungs- und Implementierungsstandards (RTS beziehungsweise ITS) zeigte sich, wie komplex und umfangreich die einzelnen Anforderungen sind. Eine der größten Herausforderungen dabei: das Management des IKT-Drittparteienrisikos, welches bei der Nutzung von IKT-Dienstleistungen entstehen kann.

Wichtige oder kritische Funktionen

Die Einstufung der ausgegliederten Funktionen als „kritisch oder wichtig“ ist eine der bedeutendsten Anforderungen im Bereich des Managements von Drittparteienrisiken. Daran knüpft der Gesetzgeber eine ganze Reihe von weiteren Regelungen.

Artikel 3 Nummer 22 DORA-VO nennt die Kriterien für die Einstufung einer an IKT-Drittdienstleister ausgegliederten Funktion als „kritisch oder wichtig“. Im Vordergrund stehen erhebliche Beeinträchtigungen der finanziellen Leistungsfähigkeit, die gefährdete Fortführung der Geschäftstätigkeit sowie die mangelnde Einhaltung regulatorischer Anforderungen, die durch einen Ausfall einer Funktion entstünden.

Eine unternehmensindividuelle Auslegung der Begriffe ist zwingend erforderlich. Die Finanzunternehmen müssen bestimmen, welche Funktionen als „kritisch oder wichtig“ einzustufen sind. Unternehmen sollten die in diesem Zuge ausgearbeiteten Definitionen in eine schriftlich fixierte Ordnung aufnehmen, um eine einheitliche unternehmens-/ konzernweite Anwendung sicherzustellen.

Leitlinie definieren

Im Rahmen der Nutzung von IKT-Dienstleistungen zur Unterstützung „kritischer oder wichtiger“ Funktionen ist eine Leitlinie zu definieren. Ein gesonderter Regulierungsstandard präzisiert die einzelnen Anforderungen an diese Leitlinie unter Nennung entsprechender Prozesse, Verfahren und Maßnahmen, die im Bereich des Risikomanagements aufzusetzen sind. Damit werden spezielle Anforderungen an den gesamten Lebenszyklus – von Vertragsverhandlungen bis zur Kündigung eines Vertrages – im Zusammenhang mit Ausgliederungen solcher IKT-Funktionen definiert.

kommentare

Hinterlasse eine Antwort

kommentare

Hinterlasse eine Antwort

Pfefferminzia Logo rgb
Suche
Close this search box.
Zuletzt hinzugefügt
Wie die Zukunft der bAV aussieht
Handelsblatt Jahrestagung bAV 2024

Wie die Zukunft der bAV aussieht

Vermittler müssen und wollen sich weiterbilden
AfW-Vermittlerbarometer: Nachhaltigkeit

Vermittler müssen und wollen sich weiterbilden

Zuletzt hinzugefügt
„Honorarberatung ist hochflexibel“
„Lass mal reden“ mit Honorarkonzept

„Honorarberatung ist hochflexibel“

„In fünf Jahren sterben Online-Abschlussstrecken aus“
„Lass mal reden“ mit Ralf Pispers, Personal Business Machine (PBM)

„In fünf Jahren sterben Online-Abschlussstrecken aus“

Skip to content