Alina Renkas und Christian Pilgrim von der Prüfungs- und Beratungsgesellschaft Forvis Mazars. © Forvis Mazars
  • Von Redaktion
  • 16.07.2024 um 12:11
artikel drucken artikel drucken
lesedauer Lesedauer: ca. 02:55 Min

Die sogenannte Dora-Verordnung der EU soll den Finanzsektor besser vor Cyberrisiken schützen – die Anforderungen an die Unternehmen sind aber nicht ohne. Was insbesondere in puncto IT-Drittparteienrisiko zu tun ist, schreiben Alina Renkas und Christian Pilgrim von der Prüfungs- und Beratungsgesellschaft Forvis Mazars.

Vertragliche Vereinbarungen

Artikel 30 DORA-VO gibt die einzelnen Mindestvertragsinhalte an, welche bei allen vertraglichen Vereinbarungen mit IKT-Drittdienstleistern zu berücksichtigen sind. Unterstützt ein IKT-Drittdienstleister eine „kritische oder wichtige“ Funktion, müssen zusätzliche Inhalte in den Vertrag mit dem Dienstleister aufgenommen werden. Die Anforderungen gelten sowohl für bestehende als auch für künftige Verträge, sodass Nachverhandlungen und Anpassungen bestehender Verträge erforderlich sind.

Informationsregister

Mit Einführung der Verpflichtung zur Erstellung und laufenden Aktualisierung eines Informationsregisters nach Artikel 28 Absatz 3 DORA-VO für IKT-Drittdienstleistungen und der regelmäßigen Berichterstattung an zuständige Behörden, zielt der europäische Gesetzgeber auf mehr Transparenz in puncto Konzentrationsrisiken.

Die ersten Informationsregister sind ab Januar 2025 bei der BaFin einzureichen. Ende Juni informierte die Aufsicht im Rahmen einer gesonderten Veranstaltung über die ersten Details bezüglich der im Informationsregister zu erfassenden Daten sowie über den geplanten Meldeweg. Dabei wurde deutlich, wie bedeutsam eine vorherige Einstufung einer ausgegliederten Funktion für die Aggregation der Daten ist. Denn nur im Falle einer „kritischen oder wichtigen“ Funktion müssen Angaben zu den vermeintlich unübersichtlichen Sub-Dienstleister-Ketten erfasst werden.

Hier spielen der risikobasierte Ansatz und das Proportionalitätsprinzip eine wichtige Rolle. Bei der Erfassung der Angaben zu Sub-Dienstleistern ist also stets zu hinterfragen, für wie kritisch deren Dienstleistung im Kontext der gesamten Dienstleistungskette gehalten wird. Als Meldeweg wird die Bafin das bekannte MV-Portal nutzen.

Die neuen Anforderungen ergänzen die bestehenden nationalen Anforderungen im Bereich des Outsourcings. Das wird zu erhöhten Aufwänden im Bereich Outsourcing-Management führen. Eine frühzeitige Anpassung der Prozesse und die Einführung geeigneter technischer Lösungen für das Outsourcing-Management ist der richtige Weg, um Dora-Konformität zu erlangen und erforderliche Daten konsistent, prüfungssicher und schnell zur Verfügung stellen zu können.

Fazit und Ausblick

Zahlreiche neue Dora-Anforderungen an das Management des IKT-Drittparteienrisikos zwingen Finanzunternehmen dazu, dieses Thema im Rahmen ihrer Organisation neu zu strukturieren und betroffene Prozesse kritisch zu würdigen. Die Einstufung ausgegliederter Funktionen hinsichtlich ihrer Kritikalität spielt dabei eine zentrale Rolle.

Die bestehenden nationalen Anforderungen an Ausgliederungen bleiben bestehen. Eine Erleichterung hat die Bafin zumindest in Aussicht gestellt – laut letzten öffentlichen Verlautbarungen werden die aufsichtlichen Anforderungen an die IT der Bafin (BAIT, ZAIT, KAIT, VAIT, kurz: XAIT) außer Kraft gesetzt.

Über die Autoren

Alina Renkas ist Wirtschaftsprüferin und Senior Managerin im Bereich IT Audit & Advisory im Versicherungsteam bei Forvis Mazars am Standort München.

Christian Pilgrim ist Manager im Bereich IT Audit & Advisory im Versicherungsteam bei Forvis Mazars am Standort Hamburg.

kommentare

Hinterlasse eine Antwort

kommentare

Hinterlasse eine Antwort

Pfefferminzia Logo rgb
Suche
Close this search box.
Zuletzt hinzugefügt
Wie die Zukunft der bAV aussieht
Handelsblatt Jahrestagung bAV 2024

Wie die Zukunft der bAV aussieht

Vermittler müssen und wollen sich weiterbilden
AfW-Vermittlerbarometer: Nachhaltigkeit

Vermittler müssen und wollen sich weiterbilden

Zuletzt hinzugefügt
„Honorarberatung ist hochflexibel“
„Lass mal reden“ mit Honorarkonzept

„Honorarberatung ist hochflexibel“

„In fünf Jahren sterben Online-Abschlussstrecken aus“
„Lass mal reden“ mit Ralf Pispers, Personal Business Machine (PBM)

„In fünf Jahren sterben Online-Abschlussstrecken aus“

Skip to content