Fachwissen DORA - Management von Drittparteienrisiken

DORA schreibt zudem ein transparentes Berichtswesen vor, das regelmäßig über die Einhaltung der Sicherheitsanforderungen informiert und die Entscheidungsfindung auf Managementebene unterstützt. Im Falle eines Sicherheitsvorfalls stellt das Eskalationsprotokoll sicher, dass alle relevanten Akteure schnell informiert werden und umgehend auf kritische Ereignisse reagieren können. Die Einhaltung der Meldepflichten gemäß DORA ermöglicht eine gezielte und schnelle Reaktion, um die Auswirkungen von Vorfällen, die durch Drittanbieter verursacht wurden, zu minimieren.

Die kontinuierliche Überwachung der Einhaltung der Sicherheitsstandards bei Drittanbietern ist ein zentraler Bestandteil der DORA-Anforderungen. Sie gewährleistet, dass potenzielle Schwachstellen oder Verstöße frühzeitig erkannt und unmittelbar adressiert werden können. Dies ist besonders relevant für Unternehmen, die auf cloudbasierte oder IT-intensive Dienstleistungen angewiesen sind. DORA verlangt, dass Unternehmen regelmäßig ihre Partner und Dienstleister hinsichtlich Sicherheitsanforderungen und der digitalen Resilienz prüfen, um ein hohes Schutzniveau aufrechtzuerhalten.

DORA schreibt ein transparentes Berichtswesen vor, das regelmäßige Informationen zur Einhaltung der Sicherheitsanforderungen bereitstellt und die Entscheidungsfindung auf Managementebene unterstützt. Ein klar definiertes Eskalationsprotokoll stellt sicher, dass im Falle eines Sicherheitsvorfalls alle relevanten Akteure schnell informiert werden und sofortige Maßnahmen ergreifen können. Die Einhaltung der Meldepflichten gemäß DORA ermöglicht eine gezielte und schnelle Reaktion, um die Auswirkungen von sicherheitskritischen Vorfällen, die durch Drittanbieter verursacht wurden, zu minimieren und die operative Stabilität des Unternehmens zu gewährleisten.

Gemäß DORA ist das Leitungsorgan verantwortlich für die Festlegung und Überwachung von Strategien, Richtlinien und Verfahren im Zusammenhang mit IKT-Drittparteienrisiken. Dazu gehört, sicherzustellen, dass das Unternehmen über die notwendigen Ressourcen und Prozesse verfügt, um IKT-Risiken, insbesondere durch Drittanbieter, effektiv zu identifizieren, zu bewerten und zu steuern. Das Leitungsorgan muss gewährleisten, dass alle Maßnahmen zur Risikoüberwachung und -steuerung etabliert sind, um die digitale Resilienz des Unternehmens aufrechtzuerhalten.

vgl. Artikel 3, Ziffer 30 das „Leitungsorgan“ sowie Artikel 5, Ziffer 2 "Aufgaben des Leitungsorgans"

IKT-Dienstleistungen umfassen digitale und Datendienste, die über IKT-Systeme dauerhaft für interne oder externe Nutzer bereitgestellt werden. Dazu gehören auch Hardware-as-a-Service und hardwarebezogene Dienstleistungen, einschließlich technischer Unterstützung durch den Anbieter, z. B. durch Software- oder Firmware-Updates. Ausgenommen sind herkömmliche analoge Telefondienste. Ein typisches Beispiel für IKT-Dienstleistungen ist die Bereitstellung von Cloud-Diensten für die Datenverarbeitung und -speicherung.

Die DORA-Verordnung definiert, welche IKT-Dienstleistungen als kritisch oder wichtig für die Finanzstabilität gelten. Diese Einstufung hilft Finanzunternehmen dabei, zu erkennen, auf welche IKT-Dienstleistungen bei der Risikosteuerung besonderes Augenmerk gelegt werden muss. Für Unternehmen wie Banken und Sparkassen ist es entscheidend, die mit diesen kritischen oder wichtigen IKT-Dienstleistungen verbundenen Risiken sorgfältig zu bewerten und zu steuern.

Unter DORA müssen Finanzinstitute sicherstellen, dass die von ihnen genutzten kritischen oder wichtigen IKT-Dienstleistungen spezifische Anforderungen erfüllen, insbesondere in den Bereichen Informationssicherheit, Kontinuität und Verfügbarkeit der Dienstleistungen. Diese Standards sind entscheidend, um die operative Resilienz und Stabilität des Unternehmens zu gewährleisten.

Im Anhang III des ITS „Register of Information“ ist eine vollständige Liste der IKT-Dienstleistungen aufgeführt, die unter die DORA-Regelungen fallen. Diese Liste dient Unternehmen als Leitfaden, um sicherzustellen, dass alle relevanten IKT-Dienstleistungen den DORA-Standards entsprechen.

Ein „IKT-Drittdienstleister“ ist ein Unternehmen, das spezialisierte IKT-Dienstleistungen bereitstellt. Dies können sowohl große IT-Konzerne als auch kleinere spezialisierte Anbieter sein. Die Zusammenarbeit mit diesen Dienstleistern ermöglicht es Unternehmen, ihre IT-Infrastruktur zu erweitern und innovative Lösungen zu nutzen. Gleichzeitig birgt sie spezifische Risiken, die es sorgfältig zu steuern gilt.

Die DORA-Verordnung verlangt von Finanzunternehmen, die Risiken, die mit der Nutzung von IKT-Drittdienstleistern verbunden sind, gründlich zu identifizieren und zu bewerten. Dies umfasst eine detaillierte Analyse möglicher Risiken und die Festlegung von Maßnahmen zur Risikominderung. Ziel ist es, potenzielle Bedrohungen frühzeitig zu erkennen und gezielt abzusichern, um die Stabilität des Unternehmens zu gewährleisten.

Unternehmen müssen sicherstellen, dass sie über geeignete Prozesse und Verfahren verfügen, um Risiken im Zusammenhang mit IKT-Drittdienstleistern wirksam zu managen. Dazu gehört die regelmäßige Überprüfung und Überwachung der Dienstleister, um sicherzustellen, dass alle IKT-Dienstleistungen zuverlässig, sicher und gemäß den DORA-Standards erbracht werden.

Ein „direkter IKT-Drittdienstleister“ ist ein IKT-Dienstleister, mit dem eine vertragliche Vereinbarung besteht, um spezifische Dienstleistungen für ein Finanzunternehmen zu erbringen. Dazu gehören sowohl externe Anbieter als auch gruppeninterne Dienstleister, die IKT-Leistungen entweder direkt für das Unternehmen oder indirekt für andere Unternehmen innerhalb derselben Gruppe bereitstellen.

In der „IKT-Dienstleistungskette“ wird der direkte IKT-Drittdienstleister immer auf Rang 1 geführt, was bedeutet, dass er der erste Ansprechpartner für das Unternehmen ist. Finanzunternehmen, wie z. B. Banken und Sparkassen, müssen sicherstellen, dass die Leistungen dieses direkten Dienstleisters regelmäßig überwacht und kontrolliert werden, um eine zuverlässige und sichere Dienstleistungserbringung zu gewährleisten.

Gemäß DORA sind Finanzunternehmen verpflichtet, die gesamte IKT-Dienstleistungskette zu überwachen, was sowohl direkte IKT-Drittdienstleister als auch deren Unterauftragnehmer umfasst. Diese Überwachung beinhaltet:

• Überprüfung der vertraglichen Vereinbarungen mit dem Dienstleister,
• Risikoanalyse zur Bewertung potenzieller Risiken, die mit der Nutzung des Dienstleisters verbunden sind,
• Sicherstellung, dass alle Anforderungen der DORA-Verordnung eingehalten werden.

Unternehmen müssen geeignete Prozesse und Verfahren etablieren, um die Leistungen der direkten IKT-Drittdienstleister effektiv zu kontrollieren und sicherzustellen, dass alle relevanten Sicherheits- und Resilienzstandards erfüllt werden. Diese umfassende Überwachung gewährleistet, dass Finanzinstitute die notwendigen Schutzmaßnahmen gegen potenzielle Risiken entlang der gesamten IKT-Dienstleistungskette implementieren können.

Ein „gruppeninterner IKT-Dienstleister“ ist ein Unternehmen, das Teil einer Finanzgruppe ist und überwiegend IKT-Dienstleistungen für Finanzinstitute innerhalb derselben Gruppe oder für Unternehmen bereitstellt, die zu einem gemeinsamen institutsbezogenen Sicherungssystem gehören. Dazu zählen Mutterunternehmen, Tochterunternehmen, Zweigniederlassungen oder andere Unternehmen im gemeinsamen Eigentum oder unter gemeinsamer Kontrolle.

Dienstleister innerhalb einer Finanzgruppe, wie beispielsweise innerhalb der Sparkassenfinanzgruppe, gelten als Gruppendienstleister und unterliegen spezifischen Erleichterungen und Verhältnismäßigkeitsanforderungen. Die DORA-Verordnung enthält spezielle Regelungen für die Nutzung solcher gruppeninternen IKT-Dienstleister, um sicherzustellen, dass sie die notwendigen Sicherheitsstandards einhalten und die digitale Resilienz der gesamten Gruppe nicht gefährden.

Finanzunternehmen müssen gewährleisten, dass die Nutzung gruppeninterner IKT-Dienstleister den DORA-Standards entspricht. Dazu gehören:

• Sorgfältige Bewertung und Steuerung der Risiken, die mit der Nutzung dieser internen Dienstleister verbunden sind,
• Sicherstellung, dass die IKT-Dienstleistungen den gleichen hohen Sicherheitsstandards entsprechen wie die Leistungen externer IKT-Drittdienstleister.

Ein kritischer IKT-Drittdienstleister ist ein Dienstleister, der gemäß Artikel 31 der DORA-Verordnung von den European Supervisory Authorities (ESA) als kritisch eingestuft wurde. Diese Einstufung erfolgt durch den gemeinsamen Ausschuss der ESA und betrifft Dienstleister, deren Ausfall die Stabilität des gesamten Finanzsystems erheblich gefährden könnte.

Kritische IKT-Drittdienstleister sind verantwortlich für die Bereitstellung von essentiellen IKT-Dienstleistungen, die für die Funktionsfähigkeit und Sicherheit des Finanzsystems unerlässlich sind. Aufgrund ihrer Bedeutung unterliegen sie besonderen Sicherheitsanforderungen und strengen Überwachungsmaßnahmen durch die ESA.

Die DORA-Verordnung stellt besondere Anforderungen an kritische IKT-Drittdienstleister, die Folgendes umfassen:

• Einhaltung spezifischer Sicherheitsstandards: Kritische Dienstleister müssen hohe Anforderungen an Informationssicherheit und Resilienz erfüllen.
  
  
• Enger Austausch mit Aufsichtsbehörden: Die Zusammenarbeit mit den ESA und die Bereitstellung relevanter Informationen sind Pflicht, um Transparenz und kontinuierliche Kontrolle sicherzustellen.
  
  
• Verpflichtung zur regelmäßigen Berichterstattung: Kritische IKT-Drittdienstleister müssen regelmäßige Berichte über ihre Sicherheitsmaßnahmen und -standards vorlegen, um die Einhaltung der DORA-Vorgaben zu dokumentieren.

Ein „Unterauftragnehmer“ ist ein IKT-Drittdienstleister, einschließlich gruppeninterner Dienstleister, der IKT-Leistungen für einen anderen IKT-Drittdienstleister in derselben „IKT-Dienstleistungskette“ erbringt. In dieser Kette steht der Unterauftragnehmer stets auf einem höheren Rang als der direkte IKT-Drittdienstleister (Rang 1).

Gemäß DORA sind Finanzunternehmen verpflichtet, die gesamte IKT-Dienstleistungskette zu überwachen, um sicherzustellen, dass alle beteiligten Dienstleister, einschließlich Unterauftragnehmer, den erforderlichen Sicherheitsstandards entsprechen. Diese Anforderungen umfassen:

• Überwachung der IKT-Dienstleistungskette: Unternehmen müssen sicherstellen, dass alle Dienstleister in der Kette – von direkten Anbietern bis zu Unterauftragnehmern – strenge Sicherheitsstandards einhalten.
  
  
• Sicherheitsmaßnahmen zum Schutz von Kundendaten: Unterauftragnehmer müssen über die notwendigen Schutzmechanismen verfügen, um die Daten des Unternehmens und seiner Kunden vor Cyberbedrohungen zu schützen.
  
  
• Effektive Kontrolle und Überwachungsprozesse: Unternehmen müssen geeignete Prozesse und Verfahren implementieren, um die Leistungen der Unterauftragnehmer regelmäßig zu prüfen und die Einhaltung der vereinbarten Standards sicherzustellen.

Die Lieferkette für IKT-Dienstleistungen umfasst eine Reihe von vertraglichen Vereinbarungen, die mit der Bereitstellung von IKT-Diensten für ein Finanzinstitut verbunden sind. Diese Kette beginnt beim direkten IKT-Drittdienstleister, der die Hauptverantwortung für die Dienstleistung trägt und möglicherweise weitere Unterauftragnehmer einsetzt, um bestimmte Komponenten der IKT-Leistungen zu liefern.

Beispiel einer IKT-Dienstleistungskette: Ein Cloud-Dienst wird von einem externen Anbieter (direkter IKT-Drittdienstleister) bereitgestellt, der zur Erbringung der vollständigen Leistung weitere Unternehmen (Unterauftragnehmer) für einzelne Servicekomponenten beauftragt.

Finanzinstitute müssen die gesamte Lieferkette für IKT-Dienstleistungen überwachen, um sicherzustellen, dass alle involvierten Dienstleister – einschließlich Unterauftragnehmer – die erforderlichen Sicherheitsstandards erfüllen. Dies beinhaltet:

• Risikoanalyse für jeden Teil der Kette
  Identifikation und Bewertung der spezifischen Risiken, die mit jedem Dienstleister und Unterauftragnehmer verbunden sind.
  
  
• Kontrolle und Überwachung der Dienstleister
  Etablierung von Prozessen und Verfahren, um die Leistung und Sicherheitsstandards aller Akteure in der Lieferkette kontinuierlich zu kontrollieren.

1. Rechtsanalyse
   
   • Prüfung und Interpretation der DORA-Vorgaben für das Unternehmen.
   • Beratung zur rechtskonformen Umsetzung der Anforderungen.
2. Lieferantenauswahl
   
   • Sorgfältige Prüfung und Auswahl potenzieller Dienstleister auf Basis von Sicherheits- und Resilienzkriterien.
3. Vertragsgestaltung
   
   • Einbindung von DORA-konformen Sicherheitsklauseln in Verträge mit Dienstleistern.
   • Sicherstellung der Einhaltung regulatorischer Anforderungen in allen Vereinbarungen.
4. Meldepflichten
   
   • Unterstützung bei der Erfüllung gesetzlicher Meldepflichten.
   • Koordination mit Aufsichtsbehörden bei rechtlichen Fragestellungen.
5. Haftungsfragen
   
   • Beratung zu Haftungsrisiken im Kontext von DORA.
   • Entwicklung von Strategien zur Risikominimierung in der Zusammenarbeit mit Drittanbietern.
6. Regelmäßige Audits
   
   • Durchführung regelmäßiger Audits zur Überprüfung der Einhaltung von Sicherheitsstandards entlang der gesamten Lieferkette.

Durch ein strukturiertes und umfassendes Management der Drittparteienrisiken können Unternehmen die Resilienz ihrer IT-Infrastruktur stärken und sicherstellen, dass externe Partner die hohen Anforderungen an die IT-Sicherheit erfüllen. Ein klarer Fokus auf Identifikation, Überwachung und Eskalation im Umgang mit Drittanbieter-Risiken unterstützt Unternehmen dabei, die Anforderungen von DORA effektiv umzusetzen und eine sichere, widerstandsfähige Geschäftsgrundlage zu schaffen.

Der „Rang“ beschreibt die Position eines IKT-Drittdienstleisters innerhalb der IKT-Dienstleistungskette. Jeder IKT-Drittdienstleister erhält einen numerischen Rang, der als ganze Zahl definiert ist und mindestens den Wert „1“ hat. Der direkte IKT-Drittdienstleister steht stets an erster Stelle (Rang 1), während Unterauftragnehmer in den darauffolgenden Rängen geführt werden.

Der Rang hilft, die verschiedenen Ebenen in der IKT-Dienstleistungskette klar zu kennzeichnen und die Abhängigkeiten zwischen den Dienstleistern übersichtlich darzustellen. Dieses System ist ein zentrales Element im Informationsregister und ermöglicht es Finanzinstituten, die Beziehungen und Verantwortlichkeiten innerhalb der Dienstleisterkette strukturiert zu dokumentieren.

Eine „kritische oder wichtige Funktion“ ist eine Funktion, deren Ausfall die finanzielle Leistungsfähigkeit eines Finanzunternehmens oder die Fortführung seiner Geschäftstätigkeiten erheblich beeinträchtigen könnte. Ebenso umfasst dies Funktionen, deren Unterbrechung, fehlerhafte Ausführung oder Nichterfüllung die Einhaltung von Zulassungsbedingungen und gesetzlichen Verpflichtungen des Unternehmens bedrohen würde.

Zu den kritischen oder wichtigen Funktionen zählen etwa:

•     Zahlungsverkehrsabwicklung
•     Kreditgeschäft
•     Verwaltung von Kundendaten

Der Ausfall solcher Funktionen kann zu schwerwiegenden Konsequenzen führen, darunter erhebliche finanzielle Verluste, Reputationsschäden und rechtliche Probleme.

Unternehmen müssen sicherstellen, dass ihre kritischen oder wichtigen Funktionen angemessen geschützt sind. Insbesondere bedeutet dies:

• Risikobewertung und Steuerung
  Die Risiken im Zusammenhang mit der Nutzung von IKT-Drittdienstleistern für diese Funktionen müssen gründlich identifiziert, bewertet und gesteuert werden.
  
  
• Sicherstellung der Prozesse und Verfahren
  Unternehmen benötigen Prozesse und Verfahren, um die kontinuierliche Überwachung und Risikokontrolle für IKT-Drittdienstleistungen, die kritische Funktionen betreffen, sicherzustellen.

Das IKT-Drittparteienrisiko beschreibt potenzielle Risiken, die für ein Finanzunternehmen durch die Nutzung von IKT-Dienstleistungen entstehen können, welche von externen IKT-Drittdienstleistern oder deren Unterauftragnehmern bereitgestellt werden. Diese Risiken können sowohl durch direkte Vereinbarungen als auch durch Auslagerungen entstehen.

Typische IKT-Drittparteienrisiken umfassen:

• Sicherheitslücken in der IT-Infrastruktur des Dienstleisters
• Unzureichende Sicherheitsvorkehrungen, die Daten oder Geschäftsprozesse gefährden könnten
• Ausfälle von IKT-Diensten, die die Verfügbarkeit und Zuverlässigkeit beeinträchtigen

Finanzunternehmen sind verpflichtet, die IKT-Drittparteienrisiken umfassend zu bewerten und geeignete Maßnahmen zur Risikominderung zu ergreifen. Dies umfasst:

• Risikobewertung und -management
  Identifikation, Bewertung und Steuerung der Risiken, die mit der Nutzung von IKT-Drittdienstleistern verbunden sind.
  
  
• Implementierung von Überwachungsprozessen
  Sicherstellen, dass geeignete Prozesse und Verfahren zur regelmäßigen Überwachung und Kontrolle der Risiken vorhanden sind.

Das IKT-Drittparteienrisikomanagement umfasst wichtige Grundprinzipien, die für alle ausgelagerten Funktionen im Zusammenhang mit IKT-Dienstleistungen, insbesondere bei der Unterstützung kritischer oder wichtiger Funktionen, gelten. Diese Prinzipien regeln die Abhängigkeiten von IKT-Drittdienstleistern und schaffen klare Verantwortlichkeiten innerhalb des Unternehmens.

Das Unternehmen bleibt stets vollständig verantwortlich für die Einhaltung und Erfüllung aller Verpflichtungen gegenüber seinen Kunden, die aus den vertraglichen Vereinbarungen mit IKT-Drittdienstleistern resultieren. Auch wenn bestimmte IKT-Dienstleistungen ausgelagert werden, liegt die letzte Verantwortung beim Unternehmen.

Die internen Zuständigkeiten für vertragliche Vereinbarungen mit IKT-Drittdienstleistern umfassen:

• Genehmigung der Vereinbarungen
• Verwaltung und regelmäßige Überprüfung der Verträge
• Umsetzung der vertraglich festgelegten Anforderungen
• Kontrolle zur Einhaltung der Vereinbarungen
• Dokumentation aller relevanten Prozesse und Schritte

Das Unternehmen stellt sicher, dass die verantwortlichen Personen über die notwendigen Fähigkeiten, Erfahrungen und Kenntnisse verfügen, um die Überwachung und Steuerung der vertraglichen Vereinbarungen effektiv auszuführen. So wird gewährleistet, dass alle Vereinbarungen mit IKT-Drittdienstleistern professionell und im Einklang mit den regulatorischen Vorgaben betreut werden.

Das Management des IKT-Drittparteienrisikos orientiert sich am Grundsatz der Verhältnismäßigkeit und passt sich an die Größe und das Risikoprofil des Unternehmens an. Dieser Grundsatz gewährleistet, dass die Maßnahmen zur Risikosteuerung den spezifischen Anforderungen und Gegebenheiten des Unternehmens entsprechen, ohne unverhältnismäßig ressourcenintensiv zu sein.

Bei der Anwendung des Verhältnismäßigkeitsprinzips sind folgende Faktoren zu berücksichtigen:

• Art, Ausmaß und Komplexität der Abhängigkeiten von IKT-Dienstleistungen
  Je nach Grad der Komplexität und dem Ausmaß der IKT-bezogenen Abhängigkeiten sind die Risikomanagementmaßnahmen anzupassen.
  
  
• Risiken durch vertragliche Vereinbarungen
  Die potenziellen Risiken, die aus Verträgen mit IKT-Dienstleistern entstehen, werden im Kontext der Kritikalität oder Relevanz der jeweiligen Prozesse oder Funktionen bewertet. Dabei wird auch der potenzielle Einfluss auf die Kontinuität und Verfügbarkeit der Finanzdienstleistungen auf Einzel- und Gruppenebene berücksichtigt.

Im Rahmen des IKT-Drittparteienrisikomanagements wird regelmäßig eine umfassende Überprüfung der Risiken durchgeführt, die mit vertraglichen Vereinbarungen über die Nutzung von IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen verbunden sind. Die Überprüfung erfolgt auf Basis des Gesamtrisikoprofils sowie des Umfangs und der Komplexität der Unternehmensdienstleistungen.

Bevor vertragliche Vereinbarungen mit potenziellen Drittanbietern geschlossen werden, führt das Unternehmen eine Ex-ante-Risikobewertung durch. Diese Analyse identifiziert und bewertet alle relevanten Risiken, die im Zusammenhang mit den geplanten Vereinbarungen für die Unterstützung kritischer oder wichtiger Funktionen stehen. Ein besonderer Fokus liegt dabei auf dem IKT-Konzentrationsrisiko.

Im Zuge der Risikobewertung wird das Unternehmen prüfen, ob der geplante Vertrag folgende Kriterien erfüllt:

• Ersetzbarkeit des Dienstleisters
  Kann der IKT-Drittdienstleister bei Bedarf ohne Weiteres ersetzt werden?
  
  
• Vertragsvielfalt und Verflechtungen
  Bestehen mehrere Verträge mit diesem Dienstleister zur Unterstützung kritischer Funktionen, oder sind andere IKT-Drittdienstleister eng mit ihm verbunden?

Das Unternehmen wägt dabei Nutzen und Kosten alternativer Lösungen ab und stellt sicher, dass die ausgewählte Lösung den geschäftlichen Anforderungen entspricht und im Einklang mit der Strategie für das IKT-Drittparteienrisikomanagement nach DORA steht.

Zusätzlich prüft das Unternehmen im Rahmen der vertraglichen Vereinbarungen:

• Unterauftragsvergabe
  Ob der IKT-Drittdienstleister die Dienstleistungen an andere Anbieter im In- oder Ausland vergibt und welche Vorteile oder Risiken diese Unterauftragsvergabe mit sich bringt.
  
  
• Insolvenzrechtliche Bestimmungen
  Die rechtlichen Rahmenbedingungen im Insolvenzfall des IKT-Drittdienstleisters, insbesondere im Hinblick auf die Wiederherstellung von Daten.
  
  
• Datenschutz-Compliance
  Die Einhaltung der Datenschutzvorschriften, insbesondere wenn der IKT-Drittdienstleister in einem Drittland ansässig ist.
  
  
• Überwachung der Unterauftragskette
  Ob lange oder komplexe Ketten von Unterauftragnehmern die Überwachung und Kontrolle der vereinbarten Funktionen beeinträchtigen könnten und inwiefern die zuständige Behörde die Aufsicht gewährleisten kann.

Die erste Risikobewertung für eine vertragliche Vereinbarung wird immer vor Vertragsabschluss durchgeführt. Dadurch stellt das Unternehmen sicher, dass alle potenziellen Risiken gründlich geprüft und die erforderlichen Maßnahmen zur Risikominderung getroffen werden, bevor ein Vertrag eingegangen wird.

Die Überwachungsfunktion ist ein wesentlicher Bestandteil des IKT-Drittparteienrisikomanagements und stellt sicher, dass alle vertraglichen Vereinbarungen mit IKT-Drittanbietern wirksam überwacht werden. Diese Funktion gewährleistet, dass das Unternehmen seine rechtlichen und regulatorischen Anforderungen erfüllt und eine umfassende Kontrolle über ausgelagerte IKT-Dienstleistungen behält.

Die Überwachungsfunktion bewertet kontinuierlich:

• Ressourcen des IKT-Drittdienstleisters
  Ob der Dienstleister über ausreichende Ressourcen verfügt, um die Einhaltung der rechtlichen und regulatorischen Anforderungen zu gewährleisten.
  
  
• Zuständigkeiten innerhalb des Managements
  Welches Mitglied der Geschäftsleitung für die Überwachung der vertraglichen Vereinbarungen verantwortlich ist.
  
  
• Zusammenarbeit mit Kontrollfunktionen
  Wie das verantwortliche Mitglied mit den internen Kontrollfunktionen zusammenarbeitet, wenn es nicht Teil dieser Funktionen ist.
  
  
• Berichterstattung an das Leitungsorgan
  Art und Häufigkeit der Berichterstattung sowie die Dokumente, die dem Leitungsorgan regelmäßig übermittelt werden.

Die Überwachungsfunktion sieht eine laufende Überwachung potenzieller und tatsächlicher Interessenkonflikte vor, um sicherzustellen, dass keine Interessenkonflikte die Integrität der Überwachung beeinträchtigen

Wenn eine IKT-Dienstleistung für kritische oder wichtige Funktionen an Unterauftragnehmer vergeben wird, überwacht das Unternehmen die gesamte IKT-Unterauftragskette sorgfältig.

Diese Überwachung umfasst:

• Dokumentation der Unterauftragskette
  Basierend auf den vom IKT-Drittdienstleister bereitgestellten Informationen wird die gesamte Kette dokumentiert.
  
  
• Bedingungen für Unterauftragsvergabe
  Die Bedingungen für die Vergabe von Unteraufträgen werden überprüft, ggf. auch durch Einsicht in die Verträge zwischen dem IKT-Drittdienstleister und den Unterauftragnehmern.
  
  
• Leistungsindikatoren
  Die wichtigsten Leistungsindikatoren werden überwacht, um sicherzustellen, dass die Bedingungen der gesamten Unterauftragskette eingehalten werden.

Alle IKT-Dienstleistungen, die kritische oder wichtige Funktionen unterstützen und von IKT-Drittanbietern erbracht werden, unterliegen einer unabhängigen Überprüfung. Diese Dienstleistungen werden zudem in den Prüfungsplan der Internen Revision aufgenommen, um eine zusätzliche Sicherheitsschicht zu gewährleisten.

Für die Auswahl und Bewertung potenzieller IKT-Drittdienstleister, die kritische oder wichtige Funktionen unterstützen, setzt das Unternehmen auf ein strukturiertes und verhältnismäßiges Verfahren. Dieses Verfahren gewährleistet eine sorgfältige und transparente Risikoprüfung sowie eine umfassende Dokumentation aller Schritte.

Zentrale Instrumente für die Risikoermittlung:

• Einordnung und Abgrenzung des Dienstleistungsbezugs
• Bewertung von Schutzbedarf und Kritikalität
• Risikobewertung gemäß DORA-Anforderungen
• Bewertung von Unterbeauftragungen
• Szenarioanalyse einschließlich operationellem Risiko (OpRisk)

Zusätzliche Instrumente zur Steuerung und Überwachung:

• Ausstiegsprozesse: Vorgehensweise zur sicheren Beendigung von Dienstleistungsbeziehungen
• Übersicht der Steuerungs- und Überwachungsmaßnahmen
• Dokumentation der Steuerungs- und Überwachungsmaßnahmen
• Behandlung von Schlechtleistungen: Maßnahmen zur Reaktion auf Leistungsdefizite
• Vertrags-Checkliste: Strukturierte Überprüfung aller relevanten Vertragsbestandteile

Diese Instrumente bilden die Grundlage für die Erstbewertung eines geplanten IKT-Dienstleistungsbezugs, insbesondere wenn wichtige oder kritische Funktionen betroffen sind. Die Risikobewertung erfolgt vor Abschluss der vertraglichen Vereinbarungen und wird im Rahmen regelmäßiger Überprüfungen sowie anlassbezogener Kontrollen eingesetzt

Bei der Nutzung von IKT-Dienstleistungen, die kritische oder wichtige Funktionen unterstützen und von IKT-Drittdienstleistern erbracht werden, werden umfassende Anforderungen an die Verwaltung und Überwachung dieser Dienste gestellt. Der Lebenszyklus der vertraglichen Vereinbarung gliedert sich in verschiedene Hauptphasen, die auf den zentralen Prinzipien, Zuständigkeiten und Verfahren basieren.

1. Governance
   • Festlegung von Governance-Prinzipien (Art. 3)
   • Anwendung des Verhältnismäßigkeitsprinzips (Art. 4) je nach Größe und Risikoprofil
   • Dokumentation und Aufbewahrungspflichten für Vereinbarungen
     
     
2. Planung
   • Durchführung Ex-ante-Risikoanalysen (Art. 6), um potenzielle Risiken zu identifizieren
   • Due Diligence-Prozess zur gründlichen Prüfung des IKT-Dienstleisters
   • Einbindung von Interessenkonflikten in die Planungsphase
     
     
3. Prozess zur Entscheidungsfindung
   • Einbindung der Geschäftsleitung (Art. 5) in den Entscheidungsprozess
   • Prüfung der Kontrollfunktionen und Einbindung in die Entscheidungsfindung
     
     
4. Implementierung
   • Vertragliche Regelungen zur Verantwortlichkeit (Art. 9)
   • Protokollierung und Ausgestaltung der verbindlichen Anforderungen für den Dienstleister
     
     
5. Überwachung & Management
   • Laufende Überwachung der Dienstleistung und des Dienstleisters (Art. 10)
   • Kontrolle und Anpassung der Servicequalität durch regelmäßige Überprüfungen und Audits
   • Management von Schlechtleistungen und Gewährleistung der Betriebsstabilität
     
     
6. Ausstieg & Beendigung
   • Ausstiegspläne (Art. 11) für den geregelten Ausstieg oder die Beendigung der Dienstleistung
   • Entwicklung von realistischen Szenarien und Plänen, um den Ausstieg effizient und risikoarm zu gestalten

Für die Nutzung von IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen müssen Unternehmen im Finanzsektor – basierend auf den Anforderungen des Digital Operational Resilience Act (DORA) – umfassende Maßnahmen zur Auswahl, Überwachung und dem Management von IKT-Drittanbietern ergreifen. Diese Maßnahmen decken den gesamten Lebenszyklus der vertraglichen Vereinbarungen ab.

Bevor ein Vertrag mit einem IKT-Drittanbieter abgeschlossen wird, führt das Unternehmen eine gründliche Bewertung durch, die folgende Aspekte umfasst:

• Bezug zur Funktion
  Identifikation, ob die Dienstleistung eine kritische oder wichtige Funktion unterstützt.
  
  
• Aufsichtsrechtliche Anforderungen
  Sicherstellung, dass alle regulatorischen Bedingungen für die Vergabe erfüllt sind.
  
  
• Risikoanalyse
  Bewertung relevanter Risiken, einschließlich des IKT-Konzentrationsrisikos, das durch die Partnerschaft erhöht werden könnte.
  
  
• Due Diligence
  Prüfung der Eignung des potenziellen IKT-Drittanbieters hinsichtlich Informationssicherheit und Compliance.
  
  
• Interessenkonflikte
  Analyse und Steuerung von tatsächlichen und potenziellen Interessenkonflikten, insbesondere bei gruppeninternen Dienstleistern.
  
  
• Kooperation und Zugriff
  Sicherstellung, dass das Unternehmen, Prüfer und Behörden Zugang zu Daten und Räumlichkeiten haben.

Vertragliche Vereinbarungen werden nur mit IKT-Drittanbietern geschlossen, die angemessene Standards für Informationssicherheit einhalten. Falls kritische oder wichtige Funktionen betroffen sind, muss der Drittanbieter die aktuellsten und höchsten Qualitätsstandards gewährleisten. Außerdem definiert das Unternehmen auf Basis eines risikobasierten Ansatzes die Häufigkeit und Bereiche der Audits sowie der Inspektionen.

Bei komplexen vertraglichen Vereinbarungen wird sichergestellt, dass die internen oder externen Auditoren über die erforderlichen Fähigkeiten und Kenntnisse verfügen, um die Audits wirksam durchzuführen.

Im Rahmen der Risikobewertung wird geprüft, ob:

• Der IKT-Drittanbieter problemlos ersetzbar ist.
• Ein IKT-Konzentrationsrisiko auf Unternehmensebene besteht, insbesondere bei mehrfachen Vereinbarungen mit dem gleichen Anbieter.

Im Ergebnis werden Nutzen und Kosten alternativer Lösungen abgewogen, um die beste Lösung zur Unterstützung der Resilienzstrategie zu finden.

Für alle IKT-Dienstleistungen, die kritische oder wichtige Funktionen betreffen, werden Ausstiegsstrategien erstellt. Diese Strategien berücksichtigen:

• Fehlerrisiken des IKT-Drittanbieters
• Verschlechterung der Dienstleistungsqualität
• Unterbrechungen der Geschäftstätigkeit aufgrund von Mängeln der Bereitstellung

Ausstiegsstrategien und Notfallpläne stellen sicher, dass das Unternehmen ohne Unterbrechung der Geschäftstätigkeit oder Beeinträchtigung der Servicequalität aus vertraglichen Vereinbarungen ausscheiden kann.

Das Unternehmen überprüft regelmäßig die vertraglichen Vereinbarungen, insbesondere im Hinblick auf:

• Insolvenzrisiken des Drittanbieters und Notfallmaßnahmen zur Datenwiederherstellung.
• Einhaltung der Datenschutzvorschriften bei Drittanbietern aus dem Ausland.
• Unterauftragsvergabe und deren Risiken, insbesondere bei Ketten von Unteraufträgen in Drittländern.

Die Ausstiegspläne sind realistisch, basieren auf plausiblen Szenarien und werden regelmäßig getestet, um eine optimale Vorbereitung auf den Ernstfall sicherzustellen.

Bei der Beauftragung von IKT-Drittdienstleistern zur Unterstützung wichtiger und kritischer Funktionen legt das Unternehmen besonderen Wert auf die Einhaltung zentraler Vertragsbestimmungen. Diese Maßnahmen gewährleisten, dass alle gesetzlichen und regulatorischen Anforderungen erfüllt werden und eine klare Grundlage für die Zusammenarbeit geschaffen wird.

Zentrale Vertragsanforderungen:

1.     Schriftliche Dokumentation
   • Alle vertraglichen Vereinbarungen werden schriftlich festgehalten und berücksichtigen sowohl nationale als auch europäische Vorschriften. Die Dokumentation kann in Papierform oder als dauerhaftes, zugängliches digitales Dokument erfolgen.
2.     Klare Zuweisung von Rechten und Pflichten
   • Die Rechte und Pflichten beider Vertragsparteien werden eindeutig definiert, um eine klare Verantwortungsstruktur zu schaffen.
3.     Vereinbarung zur Dienstleistungsgüte
   • Es wird eine Vereinbarung über die erwartete Dienstleistungsgüte getroffen, um sicherzustellen, dass die Qualität der IKT-Dienstleistung den Anforderungen entspricht.
4.     Dokumentation wesentlicher Änderungen
   • Wesentliche Änderungen an der vertraglichen Vereinbarung werden in einem schriftlichen, datierten und von allen Parteien unterzeichneten Dokument festgehalten. Zudem wird das Verfahren für die Erneuerung und Anpassung der Vertragsbedingungen klar definiert.

Bei der Nutzung von IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen legt DORA erhöhte Anforderungen an die Unterbeauftragung durch IKT-Drittdienstleister fest. Dies umfasst eine erweiterte Vertragsprüfung, die auch Unterauftragnehmer berücksichtigt, die für die Erbringung der Dienstleistung relevant sind.

Im Rahmen der Risikoprüfung werden folgende Faktoren berücksichtigt:

• Sitz des Unterauftragnehmers und ggf. dessen Muttergesellschaft
• Anzahl der beteiligten Unterauftragnehmer
• Art der ausgetauschten Daten sowie der Ort der Datenverarbeitung und -speicherung
• Zugehörigkeit des Unterauftragnehmers zur gleichen Unternehmensgruppe
• Übertragbarkeit der Dienstleistung auf einen anderen Unterauftragnehmer und damit verbundene technologische Anforderungen
• Auswirkungen von Störungen auf die Kontinuität und Verfügbarkeit der Dienste
• Schwierigkeit der Wiedereingliederung des Dienstes bei Störungen
• Konzentrationsrisiken auf Unternehmensebene

Eine IKT-Dienstleistung darf nur unter bestimmten Bedingungen von einem IKT-Drittdienstleister an einen Unterauftragnehmer vergeben werden. Dazu gehört:

• Due Diligence durch den IKT-Drittdienstleister
  Der Drittdienstleister muss sicherstellen, dass er die betriebliche und finanzielle Leistungsfähigkeit potenzieller Unterauftragnehmer überprüfen kann. Der Due-Diligence-Prozess des IKT-Drittdienstleisters wird durch das Unternehmen bewertet.
  
  
• Information und Einbeziehung in Entscheidungsprozesse
  Der IKT-Drittdienstleister muss das Unternehmen informieren und in Entscheidungsprozesse zur Unterauftragsvergabe einbinden.
  
  
• Vertragsübernahme
  Relevante Vertragsklauseln sollten in die Unterauftragsvereinbarungen integriert werden, um die Einhaltung rechtlicher Verpflichtungen sicherzustellen.
  
  
• Fähigkeiten zur Überwachung
  Der Drittdienstleister muss die Ressourcen und Fähigkeiten besitzen, um seine Unterauftragnehmer zu überwachen und die Einhaltung von Informationssicherheitsstandards sicherzustellen.

Das Unternehmen selbst muss über ausreichende Ressourcen, Fachkenntnisse und eine geeignete Organisationsstruktur verfügen, um die IKT-Dienstleistung beim Unterauftragnehmer direkt zu überwachen und zu kontrollieren. Falls eine direkte Überwachung nicht möglich ist, können externe Prüfbescheinigungen oder Poolprüfungen herangezogen werden, sofern diese aktuell und relevant sind.

Zusätzlich berücksichtigt das Unternehmen:

• Auswirkungen eines Ausfalls des Unterauftragnehmers auf die digitale Resilienz und finanzielle Stabilität, einschließlich möglicher Einsprungrechte.
  
  
• Geografische Risiken
  Standortbezogene Risiken der Unterauftragnehmer in Bezug auf die Dienstleistung.
  
  
• Konzentrationsrisike
  Ob mehrfach vertragliche Vereinbarungen mit dem IKT-Drittdienstleister oder verbundenen Anbietern bestehen.
  
  
• Prüfungs-, Informations- und Zugangsrechte
  Sicherstellung, dass keine Hindernisse für die Ausübung dieser Rechte durch Behörden oder das Unternehmen bestehen.

Alle genannten Anforderungen sollten idealerweise in die vertraglichen Vereinbarungen mit dem IKT-Drittdienstleister aufgenommen werden. Für die Durchführung der erforderlichen Prüfungen und Plausibilitätsprüfungen setzt das Unternehmen geeignete Instrumente (z. B. zur Risikoermittlung) ein, um die Konformität der Unterbeauftragung mit den regulatorischen Vorgaben sicherzustellen.

Das IKT-Konzentrationsrisiko beschreibt die Abhängigkeit eines Finanzunternehmens von einem oder mehreren kritischen IKT-Drittdienstleistern. Diese Abhängigkeit kann problematisch werden, wenn die Nichtverfügbarkeit, der Ausfall oder andere Defizite bei diesen Dienstleistern die Fähigkeit des Unternehmens gefährden, kritische oder wichtige Funktionen zu erfüllen. Ein hohes IKT-Konzentrationsrisiko kann zudem erhebliche finanzielle Verluste oder sogar negative Auswirkungen auf die finanzielle Stabilität der gesamten Union zur Folge haben.

Um das IKT-Konzentrationsrisiko zu minimieren, sollten Finanzinstitute folgende Strategien verfolgen:

• Diversifizierung der Dienstleister
  Nutzung mehrerer Anbieter für kritische IKT-Dienste, um die Abhängigkeit von einzelnen Dienstleistern zu verringern.
  
  
• IKT-Infrastruktur diversifizieren
  Redundanzen schaffen und unterschiedliche Technologien einsetzen, um das Risiko von Systemausfällen zu senken.
  
  
• Entwicklung von Notfallplänen
  Sicherstellen, dass Notfallstrategien vorhanden sind, die bei einem Ausfall eines wichtigen Dienstleisters schnell umgesetzt werden können.

Ein IKT-Dienstleister gilt als geeignet, wenn er die notwendigen Anforderungen an Informationssicherheit und Zusammenarbeit erfüllt. Dazu gehören:

• Einhaltung angemessener Standards für Informationssicherheit
• Verpflichtung zur Zusammenarbeit mit den zuständigen Aufsichtsbehörden
• Teilnahme an Sensibilisierungsprogrammen und Schulungen zur IKT-Sicherheit und digitalen Resilienz, falls erforderlich

Ein IKT-Dienstleister, der kritische oder wichtige Funktionen unterstützt, muss darüber hinaus folgende Bedingungen erfüllen:

• Anwendung aktuellster Qualitätsstandards für die Informationssicherheit
• Meldung aller wesentlichen Entwicklungen, die Einfluss auf kritische oder wichtige Funktionen haben könnten
• Implementierung und regelmäßiges Testen von Notfallplänen
• Bereitstellung von Maßnahmen, Tools und Richtlinien zur Sicherstellung der IKT-Sicherheit
• Teilnahme an bedrohungsorientierten Tests (Threat-Led Penetration Testing, TLPT), sofern erforderlich

Die Geeignetheit eines IKT-Dienstleisters trägt entscheidend zur Sicherheit und Stabilität der IT-Systeme eines Unternehmens bei. Unternehmen sollten die Geeignetheit potenzieller IKT-Drittdienstleister sorgfältig prüfen, bevor Verträge abgeschlossen werden. Dazu gehören eine umfassende Risikoanalyse und eine Due-Diligence-Prüfung mit positivem Ergebnis.

Unternehmen müssen sicherstellen, dass sie über die notwendigen Prozesse und Verfahren verfügen, um die Geeignetheit von IKT-Drittdienstleistern regelmäßig zu bewerten und Risiken zu kontrollieren, die mit der Nutzung dieser Dienstleister verbunden sind.

Die Identifikation und Bewertung von Risiken, die durch die Zusammenarbeit mit externen IKT-Dienstleistern entstehen, ist ein wesentlicher erster Schritt im Drittparteienrisikomanagement. Ziel ist es, die Risiken systematisch zu analysieren und zu bewerten, um geeignete Maßnahmen zur Risikominimierung zu ergreifen.

Unternehmen müssen umfassende Verfahren implementieren, um die Risiken im Zusammenhang mit ihren Drittanbietern zu identifizieren. Dies umfasst eine detaillierte Analyse der IKT-Dienstleistungen, die ausgelagert werden, sowie der potenziellen Auswirkungen auf das Unternehmen, falls diese Dienstleistungen beeinträchtigt werden. Zu den bewährten Methoden gehören Risikoassessments und Due-Diligence-Verfahren, die es dem Unternehmen ermöglichen, die Sicherheitspraxis und die Resilienz der Drittanbieter zu bewerten.

Nicht alle Drittanbieter bergen die gleichen Risiken. DORA empfiehlt eine Einstufung der Drittparteien nach deren Kritikalität für den Geschäftsbetrieb und der Abhängigkeit des Unternehmens von den jeweiligen Dienstleistungen. Kritische Dienstleister, die beispielsweise essenzielle Infrastruktur bereitstellen oder Zugang zu sensiblen Daten haben, erfordern eine besonders gründliche Risikobewertung.

Basierend auf der Risikobewertung sollten für jeden Drittanbieter spezifische Kontrollmaßnahmen und Sicherheitsanforderungen festgelegt werden. Dies könnte die Anforderung an Verschlüsselungsstandards, Zugriffsprotokolle, regelmäßige Audits oder andere Sicherheitsmaßnahmen umfassen, die sicherstellen, dass der Dienstleister die Resilienzstandards des Unternehmens erfüllt.

Die Überwachung und das Berichtswesen für Drittanbieter ist ein fortlaufender Prozess, der sicherstellt, dass alle Drittparteien kontinuierlich den festgelegten Sicherheitsstandards und vertraglichen Verpflichtungen entsprechen. Ein zuverlässiges Überwachungssystem ist entscheidend, um Sicherheitslücken und mögliche Risiken in der Zusammenarbeit mit Drittanbietern frühzeitig zu erkennen.

Kontinuierliche Überwachung der Drittanbieter-Compliance

Unternehmen müssen kontinuierlich sicherstellen, dass Drittanbieter alle relevanten Anforderungen an die IT-Sicherheit und Resilienz erfüllen. Dies erfolgt durch regelmäßige Überwachungsprozesse, wie etwa die Durchführung von Audits, Sicherheitsbewertungen und Compliance-Checks. Die Überwachung hilft sicherzustellen, dass Dienstleister ihre vertraglich vereinbarten Sicherheitsstandards aufrechterhalten und dass keine neuen Risiken entstehen.

Regelmäßige Berichterstattung über die Einhaltung der Anforderungen

Unternehmen sollten intern regelmäßige Berichte über den Status der Compliance bei Drittanbietern erstellen. Diese Berichte dokumentieren die Einhaltung der Sicherheitsvorgaben durch die Dienstleister und geben dem Management eine klare Übersicht über die potenziellen Risiken, die von Drittanbietern ausgehen. Durch eine strukturierte Berichterstattung kann das Unternehmen gezielte Maßnahmen ergreifen, um die Zusammenarbeit mit den Dienstleistern sicherer zu gestalten.

Einführung eines zentralen Informationsregisters für Drittparteien

Ein zentrales Register, in dem alle relevanten Informationen über Drittanbieter dokumentiert sind, erleichtert die Überwachung und das Berichtswesen erheblich. In diesem Register können Informationen zu den Risikobewertungen, Audit-Ergebnissen, vertraglichen Anforderungen und Sicherheitsprotokollen der Drittanbieter festgehalten werden. Ein solches Register stellt sicher, dass alle relevanten Informationen jederzeit abrufbar und überprüfbar sind.

Eine wesentliche Komponente des Managements von Drittparteienrisiken unter DORA ist die Festlegung von klaren Meldepflichten und Eskalationsstufen im Falle von Sicherheitsvorfällen, die durch Drittanbieter verursacht werden. Diese Meldepflichten gewährleisten eine schnelle Reaktion auf sicherheitsrelevante Ereignisse und minimieren die potenziellen Schäden, die durch Vorfälle bei externen Partnern entstehen können.

Definition von Meldepflichten für Drittanbieter-Vorfälle

Eine wesentliche Komponente des Managements von Drittparteienrisiken unter DORA ist die Festlegung von klaren Meldepflichten und Eskalationsstufen im Falle von Sicherheitsvorfällen, die durch Drittanbieter verursacht werden. Diese Meldepflichten gewährleisten eine schnelle Reaktion auf sicherheitsrelevante Ereignisse und minimieren die potenziellen Schäden, die durch Vorfälle bei externen Partnern entstehen können.

Definition von Meldepflichten für Drittanbieter-Vorfälle

DORA fordert, dass alle sicherheitsrelevanten Vorfälle bei Drittanbietern, die kritische Geschäftsprozesse oder sensible Daten betreffen, schnell an das Unternehmen und gegebenenfalls an die zuständigen Aufsichtsbehörden gemeldet werden müssen. Die Meldepflicht umfasst Vorfälle wie Datenlecks, Systemausfälle oder andere Sicherheitsverletzungen, die potenziell die digitale Resilienz des Unternehmens beeinträchtigen könnten.

Festlegung von Eskalationsstufen und Verantwortlichkeiten

Für eine effektive Vorfallmeldung müssen klare Eskalationsstufen definiert werden. Abhängig von der Schwere des Vorfalls sollten spezifische Eskalationsprotokolle festgelegt werden, die bestimmen, wer innerhalb des Unternehmens informiert werden muss und welche Maßnahmen sofort eingeleitet werden. Ein strukturiertes Eskalationsschema ermöglicht eine gezielte Reaktion auf Vorfälle und stellt sicher, dass die richtigen Personen schnell und effizient in den Entscheidungsprozess eingebunden werden.

Berichtspflicht an Aufsichtsbehörden

In bestimmten Fällen schreibt DORA vor, dass Sicherheitsvorfälle bei Drittanbietern, die die Kontinuität und Stabilität des Unternehmens bedrohen könnten, auch an die zuständigen Aufsichtsbehörden gemeldet werden. Diese Berichtspflicht stellt sicher, dass die Behörden über potenzielle Bedrohungen für den Finanzsektor informiert sind und gegebenenfalls unterstützend eingreifen können.

Dokumentation und Analyse von Vorfällen

Nach einem Vorfall sollte eine gründliche Analyse und Dokumentation durchgeführt werden, um die Ursachen des Vorfalls zu ermitteln und gezielte Maßnahmen zur Prävention künftiger Zwischenfälle zu entwickeln. Die Ergebnisse dieser Analyse sollten auch in die Risiko- und Sicherheitsbewertung der betroffenen Drittanbieter einfließen, um die Resilienz des Unternehmens kontinuierlich zu verbessern.