Kontrolle über externe Abhängigkeiten und IKT-Drittparteienrisiken

Der externe Bezug von IKT-Dienstleistungen ist aufgrund der zahlreichen Vorteile und Chancen in vielen Finanzunternehmen weit verbreitet. Allerdings sind damit auch Risiken verbunden, die eine umfassende Steuerung und strenge Kontrollen erfordern. Der klare Fokus der DORA-Vorgaben liegt auf diesen Sicherheitsrisiken und der Einhaltung der regulatorischen Anforderungen zur digitalen operationalen Resilienz.

Die Domäne „IKT-Auslagerung & Drittparteien-Risikomanagement“

Die inhaltlichen Anforderungen zum Drittparteien-Risikomanagement sind im DORA-Puzzle der Domäne „IKT-Auslagerung & Drittparteien-Risikomanagement“ zugeordnet. hier einige Beispiele:

• Entwicklung einer Strategie für das IKT-Drittparteienrisiko: Unternehmen müssen klare strategische Vorgaben zur Identifikation, Bewertung und Steuerung von Risiken durch externe IKT-Dienstleister festlegen.
• Erstellung einer Leitlinie zur Nutzung von IKT-Dienstleistungen: Interne Vorgaben zu Rollen, Verantwortlichkeiten und Überwachungsmaßnahmen müssen definiert werden.
• Benennung einer verantwortlichen Stelle für IKT-Verträge: Eine interne Funktion oder ein Managementmitglied muss die IKT-Verträge überwachen und regelmäßig über Risiken berichten​​.
• Pflege eines Informationsregisters: Finanzunternehmen müssen ein Register aller eingesetzten IKT-Dienstleister und IKT-Dienstleistungen erstellen und fortlaufend aktualisieren.