,regionOfInterest=(267,198)&hash=6b09ba291ef39bc72e25dff163ab2d9c9d6cff796f82c8b6647f659134332c55#)
,regionOfInterest=(1005,585)&hash=50654f920e8a4ff0d91b61439570ce284204e789fe4594036d25869137c2d1b0#)
,regionOfInterest=(1256,559)&hash=431b8db82485484fd1097905c8f95fcbf7ad5792be9b5e3b0f1be5d8fcbc6b50#)
![waipu.tv Comfort nur 1 Euro pro Monat [mehr als 230 TV-Sender, 200+ in HD]](https://www.macerkopf.de/wp-content/uploads/2025/06/waipu190625.jpg)
![SEO-Relaunch: 7 Punkte, die nicht verhandelbar sein dürfen! [Search Camp 377]](https://blog.bloofusion.de/wp-content/uploads/2025/06/Search-Camp-Canva-377.png)
![Das HR-Power-Pack: SEO, SEA + Social Ads für die Mitarbeitergewinnung [Search Camp 376]](https://blog.bloofusion.de/wp-content/uploads/2025/05/Search-Camp-Canva-376.png)
![SEO-Monatsrückblick Mai 2025: AIOs, AI Mode, llms.txt + mehr [Search Camp 375]](https://blog.bloofusion.de/wp-content/uploads/2025/06/Search-Camp-Canva-375.png)
![Deals: XL-Eismaschine - Dieses starke Gerät hat das Zeug ein wahrer Sommer-Hit zu werden! [Anzeige]](https://images.cgames.de/images/gamestar/4/klarstein-sweet-swirl-eismaschine-teaser_6359887.jpg?#)
:quality(80)/p7i.vogel.de/wcms/f9/41/f9414ce31e8109abe69fe576bf3bfdcb/0125224403v2.jpeg?#)
:quality(80)/p7i.vogel.de/wcms/09/6a/096ad833b4ff28862dfb18e0dc3ea094/0125079793v1.jpeg?#)
:quality(80)/p7i.vogel.de/wcms/f5/6a/f56a8dc563be39d4430039d1a931f114/0124922822v1.jpeg?#)
:quality(80)/p7i.vogel.de/wcms/57/10/5710f3147838b737126b59f13e6fcf62/0125079681v2.jpeg?#)
DORA: Das Informationsregister kurz erklärt
Ein zentrales Element des Digital Operational Resilience Act (DORA) bildet die Erstellung eines Informationsregisters. Dieses gibt einen umfangreichen Überblick über die IKT-Dienstleister von Finanzunternehmen einschließlich vertraglicher Vereinbarungen. Wir beleuchten die Chancen und Risiken. DORA und die wesentlichen Elemente DORA ist da! Seit 17.01.2025 findet die neue EU-Verordnung Anwendung und ist für definierte Finanzunternehmen, darunter zählen […]
Ein zentrales Element des Digital Operational Resilience Act (DORA) bildet die Erstellung eines Informationsregisters. Dieses gibt einen umfangreichen Überblick über die IKT-Dienstleister von Finanzunternehmen einschließlich vertraglicher Vereinbarungen. Wir beleuchten die Chancen und Risiken.
DORA und die wesentlichen Elemente
DORA ist da! Seit 17.01.2025 findet die neue EU-Verordnung Anwendung und ist für definierte Finanzunternehmen, darunter zählen beispielsweise Banken, Versicherungen und Pensionskassen, und deren IKT(Informations- und Kommunikationstechnologie)-Drittdienstleister bedeutsam. Der zunehmenden Digitalisierung im Finanzsektor und die damit einhergehenden potenziellen Cyberbedrohungen oder IKT-Störungen soll durch eine gestärkte digitale Resilienz begegnet werden.
Die wesentlichen Elemente in DORA bilden das IKT-Risikomanagement, die Behandlung von IKT-bezogenen Vorfällen, das Testen der digitalen operationalen Resilienz, der Umgang mit IKT-Drittparteienrisiken und der sektorübergreifende Informationsaustausch. Wir geben Ihnen übrigens auch gerne einen kurzen, generellen Überblick zum Digital Operational Resilience Act.
Definition der IKT-Drittdienstleister
Die IKT-Drittparteienrisiken spielen also eine wesentliche Rolle in DORA. Aber wer ist denn überhaupt ein IKT-Drittdienstleister, welche Risiken gibt es und wie wird ihnen begegnet? Die Definition in Artikel 3 des DORA ist erstmal wenig überraschend. Dort heißt es, dass ein IKT-Drittdienstleister ein Unternehmen ist, das IKT-Dienstleistungen anbietet. So weit so gut. Als IKT-Dienstleistung werden
„digitale Dienste und Datendienste, die über IKT Systeme einem oder mehreren internen oder externen Nutzern dauerhaft bereitgestellt werden, einschließlich Hardware als Dienstleistung und Hardwaredienstleistungen, wozu auch technische Unterstützung durch den Hardwareanbieter mittels Software- oder Firmware-Aktualisierungen gehört, mit Ausnahme herkömmlicher analoger Telefondienste“
definiert.
Wichtig bei der Klassifizierung von IKT-Dienstleistern ist die sektorale Sicht auf kritische IKT-Drittdienstleister (die sogenannten Hyperscaler), die einem Europäischen Überwachungswerk unterliegen können und die Sicht eines Finanzunternehmens auf IKT-Drittdienstleister, die eine kritische oder wichtige Funktion des jeweiligen Finanzunternehmen unterstützen.
Eine Funktion wird als kritisch oder wichtig erachtet, wenn ihr Ausfall eine erhebliche Beeinträchtigung der der Geschäftsfortführung oder der finanziellen Leistungsfähigkeit oder dem Nachkommen regulatorischer Verpflichtungen beeinträchtigen würde.
Zum Management von IKT-Drittparteienrisiken gehören unter anderem die Erstellung eines Informationsregisters über IKT-Drittparteivertragsbeziehungen, Mitteilungen an die Aufsichtsbehörden und Mindestvertragsbestandteile.
Aufgabe des Informationsregisters
Das Informationsregister hat eine ganz klare Aufgabe: Es dient als Übersicht über alle vertraglichen Vereinbarungen der Nutzung von IKT-Drittdienstleistern bereitgestellten IKT-Dienstleistungen.
Finanzunternehmen sollen das Informationsregister auf Verlangen der zuständigen Behörde, in Deutschland der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin), zur Verfügung gestellt werden. Die BaFin ist somit in der Lage, gegebenenfalls Konzentrationsrisiken im Finanzsektor zu bewerten. Denn Risiken aus Konzentrationen bei der Auslagerung von IKT-Dienstleistungen können laut BaFin die Finanzstabilität in Deutschland gefährden.
Die vertraglichen Vereinbarungen werden angemessen dokumentiert. Es wird dabei differenziert, ob die Vereinbarungen IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen abdecken oder eben nicht. Dies hat auch Einfluss auf die in DORA geforderten Vertragsanforderungen aus DORA, den Mindestvertragsinhalten.
Erfüllung von umfangreichen Mindestvertragsinhalten
Alle IKT-Dienstleister müssen bestimmte vertragliche Mindeststandards erfüllen, die in DORA definiert sind. Dabei geht es um allgemeine Themen wie Formvorschriften, Standort, Sicherheit, Beschreibung der IKT-Dienstleistungen aber auch der Zusammenarbeit mit Behörden oder Kündigungsrechte. Weiterhin sind auch spezifische Themen verpflichtend wie die Sicherstellung, der Zugang und die Rückgabe von Daten im Falle einer Insolvenz oder der Vertragsbeendigung. Und auch die Verpflichtung zur Unterstützung bei einem IKT-Vorfall, beziehungsweise die Teilnahme an Awareness-Schulungen des Finanzunternehmens.
Die Vertragsinhalte für IKT-Drittdienstleistern zur Unterstützung kritischer oder wichtiger Funktionen haben zusätzlich noch eine ganz andere Dimension: Dort gibt es vertragliche Anforderungen an das Geschäftsfortführungsmanagement des Dienstleisters, umfassende Prüfrechte und Überwachung, Details zu festzulegenden Ausstiegsstrategien, der Unterauftragsvergabe und Vieles mehr.
Eine schöne und hilfreiche Übersicht, welche Themen dabei abzudecken sind, inklusive DORA-Artikel-Referenz bietet die BaFin auf ihrer Webseite im Excel-Format zum Download.
Durchsetzung der Mindestvertragsinhalte in der Praxis
Die Durchsetzung der Mindestvertragsinhalte in der Praxis gestaltet sich nach unserer Erfahrung recht unterschiedlich und ist auch von der Marktmacht der Teilnehmenden abhängig. Grundsätzlich werden Verträge geschlossen und laufen oftmals über Jahre weiter, ohne dass eine beispielsweise inflationsbedingte Preiserhöhung verhandelt und durchgesetzt wird oder die Dienstleistung generell in Frage gestellt wird. Werden die Verträge nun notwendigerweise durch die geforderten Mindestvertragsinhalte angefasst, gibt es hier natürlich aus Sicht des Finanzunternehmens das Risiko der Preiserhöhung, die man sonst eventuell nicht angesprochen hätte. Auch die Bereitstellung zusätzlicher Dienstleistungen, die durch DORA bedingt sind, könnte sich ein Dienstleister zusätzlich vergüten lassen wollen. Alles eine Frage der Marktmacht.
Stellt ein Dienstleister sein Produktportfolio nahezu ausschließlich für den Sektor Finance ohne Ausweichmöglichkeiten zur Verfügung, werden sich die geforderten vertraglichen Ergänzungen einfacher durchsetzen lassen als bei einem Dienstleister, bei dem der Bereich Finance nur eine marginale Bedeutung im Gesamtkundenportfolio aufweist.
Das Informationsregister: Chance oder Risiko?
Diese Frage lässt sich aus unserer Sicht recht klar beantworten: Beides! Selbstverständlich stellt die Durchsetzung der Mindestvertragsinhalte aus Sicht der Finanzunternehmen ein gewisses Risiko dar: Ein IKT-Drittdienstleister, dessen Kundenportfolio nur einen geringen Anteil im Bereich Finance aufweist, könnte sich von diesem Marktsegment verabschieden. Insbesondere dann, wenn die Umsetzung der Anforderungen einen großen Aufwand darstellen würde und das Potential bei anderen Branchen gegeben ist. Dann wird man seine Ressourcen anderweitig einsetzen wollen.
Gleichwohl stellt das Informationsregister und die damit verbundenen vertraglichen Anforderungen eine sehr gute Chance dar, Lücken beim Dienstleistermanagement zu identifizieren und zu schließen. IKT-Dienstleister müssen in Bezug auf die Informationssicherheit, je nach Kritikalität, zumindest angemessene Standards einhalten. Sollten diese Dienstleister kritische oder wichtige Funktionen tangieren, sind dann sogar die aktuellsten und höchsten Qualitätsstandards einzuhalten. Auch dies ist ein wichtiger Baustein zur Resilienz.
Letztendlich geht es aus Sicht der Finanzunternehmen darum, das Unternehmen in Bezug auf die Informationssicherheit und eine gegebenenfalls bestehende Abhängigkeit von IKT-Drittdienstleister, resilienter aufzustellen.
DORA und speziell die durch das Informationsregister aufgeführten Anforderungen leisten dazu einen entscheidenden Beitrag.
Gefällt Ihnen der Beitrag?
Dann unterstützen Sie uns doch mit einer Empfehlung per:
TWITTER FACEBOOK E-MAIL XING
Oder schreiben Sie uns Ihre Meinung zum Beitrag:
HIER KOMMENTIEREN
© www.intersoft-consulting.de
