Informationsregister

Ordnung für den DORA-Dschungel


Informationsregister: Ordnung für den DORA-Dschungel Kolumne

Im Januar 2025 endet die Umsetzungsfrist für den Digital Operational Resilience Act (DORA). Banken sind aber oft noch weit von der Compliance entfernt. Ein effektives Informationsregister ist eine verpflichtende Maßnahme, um die Übersicht über bestehende Abhängigkeiten von Drittanbietern zu wahren. Bei der Umsetzung liegt die Tücke allerdings im Detail.

"DORA ist die europäische Antwort auf den digitalen Wandel im Bereich der Finanzdienstleistungen und auf die zunehmende Gefahr von Cyberbedrohungen im Finanzsektor". So formuliert es die Aufsicht und sieht einen Schwerpunkt im angemessenem Umgang mit der zunehmenden Abhängigkeit des Finanzsektors von Drittanbietern. Ziel ist es, die Betriebsstabilität im Falle einer schwerwiegenden Störung aufrechtzuerhalten.

Eine Kernanforderung und ein wesentlicher Teil des Managements des IKT-Drittparteienrisikos aus DORA  ist der Aufbau und Unterhalt des Informationsregisters, "(…) das sich auf alle vertraglichen Vereinbarungen über die Nutzung von durch IKT-Drittdienstleister bereitgestellten IKT-Dienstleistungen bezieht (…)". Jedes Finanzunternehmen muss künftig solch ein Register vorhalten – ein reines Auslagerungsregister gemäß EBA- und die EIOPA-Leitlinien reicht von seinem Informationsgehalt nicht aus. Und das ist keineswegs eine untergeordnete Regelung: Europäische (EBA, EIOPA und ESMA) sowie nationale Aufsichten (BaFin, FMA) haben in ihren Hearings und Veröffentlichungen mehrfach klargemacht, dass sie mit Blick auf den Stichtag beim Informationsregister kein "Pardon" walten lassen werden.

Steigende Abhängigkeit von immer weniger Anbietern

Ein Informationsregister zahlt ganz wesentlich auf die Kernideen von DORA ein. Europäische und nationale Finanzmarktaufsichten wissen um den hohen Grad extern vergebener IKT-Dienstleistungen an Dritte – entsprechend hoch sind Fremdvergabequote und Abhängigkeit der Finanzunternehmen.

Banken und Versicherungen greifen dabei auf einen immer kleiner werdenden Kreis von Dienstleistern zurück, denn immer weniger von ihnen sind in der Lage, den aufsichtlichen und regulatorischen Anforderungen mittelbar nachzukommen. Zugleich nutzen immer mehr Finanzunternehmen auch die Public-Cloud-Umgebungen der US-Hyperscaler wie AWS, GCP und Microsoft Azure auch für kritische Applikationen und Daten, was ein hohes Maß an Konzentrationsrisiken verursacht. Kommt es zu betrieblichen Störungen in den IKT-Diensten eines Unternehmens oder wird ein Unternehmen erfolgreich von außen angegriffen, in seinen Daten und Systemen korrumpiert, wächst aufgrund der hohen Abhängigkeiten die Ansteckungsgefahr, dass sich diese Attacken/Vorfälle vermehren und aus einem Einzelfall eine systemische Bedrohung wird.

Um diese Risiken steuern zu können, muss das besagte Informationsregister alle vertraglichen Vereinbarungen betreffend die Nutzung von IKT-Dienstleistungen, die von IKT-Drittdienstleistern bereitgestellt werden, dokumentieren. Und die Finanzunternehmen müssen es den Aufsichtsbehörden jederzeit ganz oder in Teilen zur Verfügung stellen können, um letzteren ein Verständnis der IKT-bezogenen Abhängigkeiten des Unternehmens zu ermöglichen. 

Einfache Anforderung, hochkomplexe Umsetzung

Für die Realisierung stellen die Aufsichtsbehörden einen Implementing Technical Standard (ITS) zur Verfügung,. Er gibt mit 15 (!) Tabellenblättern, die durch die Verwendung verschiedener spezifischer Schlüssel miteinander verbunden sind, und den damit verbundenen rund 100 (!) Attributen/Datenfeldern standardisierte Vorlagen zur Erfassung vor. Auf diese Weise sind Informationen, die im Zusammenhang mit den von den Finanzunternehmen beauftragten IKT-Drittdienstleistern stehen, zu erfassen und dauerhaft zu pflegen. Die damit verbundenen Datensätze sind deutlich umfangreicher als Auslagerungs- bzw. Ausgliederungsregister nach EBA- und EIOPA-Leitlinien, auch werden mehr Datenpunkte pro Datensatz abgefragt. Vertragsinformationen müssen bis zu fünf Jahre nach Vertragsbeendigung noch verfügbar sein.

Die Herausforderung in der praktischen Umsetzung liegt zunächst in der Komplexität der im Register zu erfassenden IKT-Drittdienstleister-Verträge. DORA verwendet eine deutlich umfassendere Definiton von "IKT" als bislang geübte Praxis. So spielt es nach DORA fortan keine Rolle mehr, ob eine Auslagerung oder eine Ausgliederung vorliegt; der neue führende Oberbegriff ist "IKT-Drittdienstleistung", so dass sich schon die schiere Menge der zu erfassenden Verträge um ein Vielfaches erhöht.

Für noch mehr Informationstiefe sorgt die Forderung, die IKT-Drittpartei-Verträge im Register auf Unternehmens- (Mutterunternehmen) sowie teilkonsolidierter und konsolidierter (Tochterunternehmen) Ebene zu erfassen. Unterstützt der IKT-Dienst eine "wichtige" oder "kritische" Funktion im Unternehmen, sind zusätzlich die IKT-Dienstleistungsketten, die sich aus den Unterauftragnehmern ergeben, im Informationsregister abzubilden. Ziel ist, die damit verbundenen Risiken feststellen, dokumentieren und überwachen zu können. 

Die Praxis zeigt aber aktuell, dass nur der beauftragte IKT-Drittdienstleister als Hauptauftragnehmer alle relevanten Informationen zur gesamten IKT-Subdienstleisterkette zur Verfügung stellen kann; aktuell scheitert es hier noch vielfach an erforderlichem Verständnis und Wissen bei den Dienstleistern.

Spreadsheets fehlt die Revisionssicherheit

Die praktische Umsetzung des Informationsregisters auf Basis von MS Excel dürfte schon aus Gründen der Komplexität nicht erfolgversprechend sein. Hinzu kommt, dass vor dem Hintergrund der Anforderungen ein umfassende Historien- und Protokollverwaltung gefordert ist, um die notwendige Revisionssicherheit herzustellen. Gerade der letzte Anspekt lässt erwarten, dass den Aufsichten perspektivisch eine Umsetzung via MS Excel als nicht mehr belastbar erscheinen wird. 

Zudem sind praktikable Möglichkeiten für Freigabeprozesse und Reportings wichtig für effiziente Prozesse beim Finanzdienstleister, wenn es um das Handling von Verträgen geht. Vor diesem Hintergrund nutzen viele Banken den aktuell laufenden Prozess der Registereinführung zur Auswahl eines Tools für das IKT-Drittpartei-Risikomanagement, mit dessen Hilfe sich zusätzlich die entsprechenden IKT-Drittdienstleisterverträge verwalten sowie die Analyse und Überwachung der jeweils im Zusammenhang stehenden Risiken realisieren lassen. Dabei zeigt sich, dass ein möglichst umfassender Ansatz, wie ihn Werkzeuge wie CloudGate verfolgen, mehr Erfolg verspricht als singuläre Tools für einzelne Anforderungen wie das Informationsregister.

Spannend wird zu sehen sein, welche Erkenntnisse die freiwilligen Probeläufe für das Informationsregister hervorbringen, die bis zum Frühherbst 2024 von der BaFin bzw. FMA durchgeführt wurden. Die Aufsichtsbehörden liefern dabei Feedback etwa zu der aktuellen Qualität ihrer im Register hinterlegten Daten.

Autor:
Stefan Wendt, Partner, microfin Unternehmensberatung
Stefan Wendt, Partner, microfin Unternehmensberatung

 

[ Bildquelle Titelbild: Generiert mit AI ]
Themengebiete
In Verbindung stehende Artikel
AI, Cyberrisiken und wirksames RisikomanagementAI, Cyberrisiken und wirksames Risikomanagement
Cyber bleibt Hyper-RisikoCyber bleibt Hyper-Risiko
Themenverwandte Artikel
Risk Academy

Die Intensiv-Seminare der RiskAcademy® konzentrieren sich auf Methoden und Instrumente für evolutionäre und revolutionäre Wege im Risikomanagement.

Seminare ansehen
Newsletter

Der Newsletter RiskNEWS informiert über Entwicklungen im Risikomanagement, aktuelle Buchveröffentlichungen sowie Kongresse und Veranstaltungen.

jetzt anmelden
Lösungsanbieter

Sie suchen eine Softwarelösung oder einen Dienstleister rund um die Themen Risikomanagement, GRC, IKS oder ISMS?

Partner finden
Ihre Daten werden selbstverständlich vertraulich behandelt und nicht an Dritte weitergegeben. Weitere Informationen finden Sie in unseren Datenschutzbestimmungen.