Fachwissen DORA - Vertragsmanagement und die Überwachung von Drittanbietern

Eine sorgfältige Vertragsgestaltung mit Drittanbietern bildet die Grundlage für eine effektive Zusammenarbeit und die Sicherstellung der digitalen Resilienz. Die Verträge sollten enthalten:

• Klare Sicherheitsvorgaben
  Regelmäßige Testberichte und die Einhaltung definierter Sicherheitsstandards sollten ausdrücklich vereinbart werden.
  
  
• Verpflichtung zu Transparenz
  Drittanbieter müssen verpflichtet werden, relevante Informationen über Sicherheitsvorfälle und Testergebnisse zeitnah bereitzustellen.
  
  
• Verankerung von Resilienzanforderungen
  Anforderungen an die digitale Resilienz müssen klar spezifiziert und vertraglich festgelegt werden.

Die Überwachung der Leistungen und Sicherheitsstandards von Drittanbietern ist unerlässlich, um deren Einhaltung der vertraglich vereinbarten Anforderungen sicherzustellen:

• Prozessimplementierung
  Etablierung von Prozessen zur laufenden Überprüfung der Leistungen und Testergebnisse.
  
  
• Überwachung der IT-Sicherheit
  Prüfung der Einhaltung der vereinbarten Sicherheitsstandards und Identifikation potenzieller Schwachstellen in den Systemen der Drittanbieter.

Die Einhaltung regulatorischer Vorgaben erfordert eine kontinuierliche Prüfung der Berichterstattung von Drittanbietern:

• Regelmäßige Audits
  Überprüfung von Testberichten und Sicherheitsmaßnahmen auf Konformität mit gesetzlichen und regulatorischen Anforderungen.
  
  
• Dokumentation
  Sicherstellung einer lückenlosen Dokumentation, um im Rahmen von Prüfungen durch Aufsichtsbehörden jederzeit auskunftsfähig zu sein.

Auch bei der Auslagerung von Dienstleistungen an Drittanbieter bleibt das Unternehmen für das Risikomanagement verantwortlich:

• Kontrolle behalten
  Sicherstellen, dass Risiken identifiziert, überwacht und kontrolliert werden können, unabhängig von der Auslagerung.
  
  
• Risikoreduzierung
  Verträge und Überwachungssysteme so gestalten, dass sie zur Reduzierung operationeller Risiken beitragen.

Um den Anforderungen von DORA gerecht zu werden, müssen Verträge mit Drittanbietern spezifische Regelungen enthalten, die die Sicherheit und Resilienz der ausgelagerten Dienstleistungen gewährleisten.

Regelmäßige Sicherheitsüberprüfungen und Berichterstattungen müssen ausdrücklich vertraglich vereinbart werden:

• Auditpflicht
  Drittanbieter verpflichten sich zu regelmäßigen internen und externen Sicherheitsaudits.
  
  
• Berichterstattung
  Ergebnisse der Audits werden dokumentiert und dem Auftraggeber vorgelegt.

Service Level Agreements (SLAs) sind essenziell, um Verfügbarkeit und Sicherheit der Dienstleistungen zu garantieren:

• Definition von KPIs
  Klare Festlegung von Key Performance Indicators (KPIs) für die Verfügbarkeit, Wiederherstellungszeit und Sicherheitsmaßnahmen.
  
  
• Sanktionsmechanismen
  Mechanismen zur Sanktionierung bei Nichteinhaltung der SLAs.

Die Verankerung von Notfall- und Wiederherstellungsplänen in den Verträgen stellt sicher, dass Drittanbieter auf Störungen angemessen reagieren können:

• Disaster-Recovery-Pläne
  Vertragliche Verpflichtung zur Implementierung und regelmäßigen Überprüfung von Notfallplänen.
  
  
• Testanforderungen
  Regelmäßige Simulationen von Störungs- und Krisenszenarien, um die Wirksamkeit der Notfallpläne zu überprüfen.

Regelmäßige Sicherheitsprüfungen sind ein integraler Bestandteil der digitalen Resilienz. Diese Prüfungen können an qualifizierte Drittanbieter delegiert werden, die über spezialisierte Expertise und Werkzeuge verfügen, um umfassende Tests durchzuführen:

• Penetrationstests
  Simulierte Cyberangriffe, um potenzielle Schwachstellen in der IT-Infrastruktur, Anwendungen oder Netzwerken zu identifizieren und zu bewerten.
  
  
• Schwachstellenanalysen
  Systematische Überprüfung der IT-Systeme auf bekannte Sicherheitslücken, die von potenziellen Angreifern ausgenutzt werden könnten.
  
  
• DoS-Tests
  Simulation von Denial-of-Service-Angriffen, um die Widerstandsfähigkeit des Systems gegenüber Überlastungsangriffen zu bewerten und Verbesserungsmaßnahmen abzuleiten.

Die Auslagerung kritischer IT-Systeme oder Anwendungen an Drittanbieter erfordert eine klare Verteilung der Verantwortlichkeiten im Hinblick auf Business Continuity und Disaster Recovery:

• Disaster-Recovery-Pläne
  Drittanbieter sind für die Entwicklung und Umsetzung von Strategien verantwortlich, die die Wiederherstellung der IT-Systeme nach schwerwiegenden Vorfällen gewährleisten. Diese Pläne umfassen Maßnahmen zur Datenwiederherstellung, System-Rekonfiguration und Kommunikationsstrategien während eines Notfalls.
  
  
• Business-Continuity-Tests
  Drittanbieter müssen sicherstellen, dass die Kontinuitätspläne regelmäßig getestet werden, um ihre Funktionalität und Wirksamkeit zu überprüfen. Ziel ist es, den Geschäftsbetrieb auch während eines Notfalls oder einer Unterbrechung aufrechtzuerhalten.
  
  
• Vertragliche Verpflichtungen
  Diese Verantwortlichkeiten sollten in vertraglichen Vereinbarungen klar geregelt sein, einschließlich regelmäßiger Testberichte und Auditierungen durch den Auftraggeber.

Cloud-Dienste stellen im Finanzsektor eine besondere Herausforderung dar, da die Verantwortung für bestimmte Sicherheits- und Resilienzmaßnahmen beim Cloud-Anbieter liegt. DORA verlangt klare Regelungen und Kontrollmechanismen, um die Sicherheit und Verfügbarkeit von Cloud-basierten Systemen zu gewährleisten:

• Technische Sicherheitsarchitektur
  Der Cloud-Anbieter ist für die Implementierung und den Betrieb einer sicheren Infrastruktur verantwortlich, einschließlich Netzwerkschutz, Datenverschlüsselung und Zugriffskontrollen.
  
  
• Datenwiederherstellung und Backups
  Die regelmäßige Sicherung und Wiederherstellung kritischer Daten liegt in der Verantwortung des Cloud-Anbieters. Unternehmen sollten sicherstellen, dass diese Prozesse zuverlässig funktionieren und getestet werden.
  
  
• Transparenz und Audits
  Cloud-Anbieter müssen regelmäßige Berichte über ihre Sicherheitsmaßnahmen und Tests bereitstellen. Unternehmen sollten sicherstellen, dass diese Berichte den regulatorischen Anforderungen entsprechen.