Fachwissen DORA - IKT-Dienstleistungskategorien

FATCA Abgeltungssteuer Berater Profil Projekt Experte Bank Versicherung Freiberufler Freelancer www.hettwer-beratung.de

Erweiterte Definition und Kategorien von IKT-Dienstleistungen unter DORA

Der Digital Operational Resilience Act (DORA) erweitert und präzisiert die Anforderungen an IKT-Dienstleistungen erheblich. Im Vergleich zu bisherigen Standards wie MaRisk und BAIT stellt DORA spezifische Anforderungen, um die digitale Resilienz im Finanzsektor zu stärken und Risiken besser zu managen.

Definition von „IKT-Dienstleistungen“ gemäß DORA (Art. 3 Nr. 21)

IKT-Dienstleistungen umfassen digitale Dienste und Datendienste, die kontinuierlich über IKT-Systeme an interne oder externe Nutzer bereitgestellt werden. Diese Definition schließt auch Hardware-Dienstleistungen und technische Unterstützung durch Anbieter (z.B. Software- und Firmware-Updates) ein. Ausgenommen von dieser Definition sind lediglich herkömmliche analoge Telefondienste.

Neue Kategorien von IKT-Dienstleistungen nach DORA

Die technischen Regulierungsstandards (ITS) zu Art. 28.9 DORA definieren spezifische Bereiche der IKT-Dienstleistungen, die Finanzunternehmen für ihre IKT-Risikomanagementstrategie berücksichtigen müssen. Die folgenden Kategorien (S01-S19) sind verpflichtend zu dokumentieren und zu bewerten:

    S01: IKT-Projektmanagement
            Unterstützung bei Projekten mit IT-Schwerpunkt, z.B. PMO-Dienste.

    S02: IKT-Entwicklung

Programmierung und Software-Design

S03: IKT-Helpdesk und First-Level-Support

            First-Level-Support für Mitarbeitende und Kunden

    S04: IKT-Sicherheitsmanagementdienste
            Sicherheitsmaßnahmen und Forensik

    S05: Datenbereitstellung
            Bereitstellung von Daten für Geschäftsprozesse

    S06: Datenanalyse
            Analyse- und Berichterstattungsdienste

    S07: IKT-Infrastruktur und Hosting-Dienste

    S08: Computation

    S09: Non-Cloud-Datenspeicherung (neu)

    S10: Telekommunikation

    S11: Netzwerk-Infrastruktur

    S12: Hardware und physische Geräte

    S13: Softwarelizenzen (exkl. SaaS)

    S14: IKT-Betriebsmanagement

    S15: IKT-Consulting (neu)

    S16: IKT-Risikomanagement

    S17: Cloud-Services: IaaS

    S18: Cloud-Services: PaaS

    S19: Cloud-Services: SaaS

Interpretation und Anwendung der IKT-Dienstleistungskategorien

Interpretation der IKT-Dienstleistungskategorien S01-S19 gemäß DORA

Die Digital Operational Resilience Act (DORA) führt im Rahmen der IKT-Risikomanagementanforderungen eine detaillierte Klassifizierung der IKT-Dienstleistungen ein. In Anlage III zum Informationsregister (ITS zu Art. 28 Abs. 9 DORA) werden insgesamt 19 Kategorien (S01 bis S19) definiert, die unter die DORA-relevanten IKT-Dienstleistungen fallen.

Wesentliche Aspekte der IKT-Dienstleistungskategorien:

Definition von IKT-Dienstleistungen
Laut Art. 3 Nr. 21 DORA umfassen IKT-Dienstleistungen alle digitalen Dienste und Datendienste, die über IKT-Systeme an interne oder externe Nutzer kontinuierlich bereitgestellt werden.
Konkretisierte DSGVO-Interpretationen
Für eine genauere Einordnung und praktische Umsetzung enthält der Kurzleitfaden zusätzliche Erläuterungen und Beispiele zu den jeweiligen Kategorien. Dabei werden auch Datenschutzaspekte gemäß DSGVO berücksichtigt.
Charakter und Dauerhaftigkeit der Leistungen
Der Charakter der Dienstleistung gemäß DORA wird betont und steht im Vordergrund.
Leistungen gelten als dauerhaft, wenn sie über einen Zeitraum von mehr als 12 Monaten erbracht werden. Auch unterbrochene Leistungen, wie z. B. eine jährliche Prüfung, gelten als dauerhaft.
Auslegungsbedürftige Definitionen
Neben den allgemeinen Definitionen in ITS Art. 28 (9) wurden weitere, detaillierte Interpretationen und Beispiele entwickelt, die eine präzise Zuordnung von Leistungen ermöglichen.

Diese Kategorien geben Finanzunternehmen klare Richtlinien zur Identifizierung und Bewertung von IKT-Dienstleistungen in Bezug auf deren Relevanz für die digitale Resilienz und DSGVO-Konformität.