Als Reaktion auf die zunehmende Zahl von Cyberangriffen, die die Widerstandsfähigkeit des europäischen Finanzsystems auf die Probe stellen, hat das Parlament der Europäischen Union (EU) im Jahr 2022 ein Gesetz verabschiedet, um die IT-Sicherheit von Finanzinstituten wie Banken, Versicherungsgesellschaften und Investmentfirmen zu stärken. Das Gesetz über die digitale operative Widerstandsfähigkeit (Digital Operational Resilience Act, DORA) soll sicherstellen, dass der europäische Finanzsektor auch bei schwerwiegenden Betriebsstörungen widerstandsfähig bleibt.
DORA schafft einen Rechtsrahmen für die digitale Betriebsstabilität im Finanzsektor, wonach alle Unternehmen bestätigen müssen, dass sie einer Vielzahl von IKT-Störungen und Cyberbedrohungen standhalten, darauf reagieren und sich davon erholen können. Das Gesetz legt einheitliche Anforderungen an die Sicherheit von Netzwerken und Informationssystemen fest. In Kapitel V sind die Anforderungen an kritische Dritte aufgeführt, die Informations- und Kommunikationstechnologie-Dienstleistungen (IKT) wie Cloud-Plattformen oder Datenanalysedienste für die Finanzdienstleistungsbranche erbringen.
Dieser Beitrag untersucht wichtige DORA-Artikel in Bezug auf Dritte und identifiziert Best-Practice-Fähigkeiten, die zur Erfüllung der Anforderungen von DORA Kapitel V genutzt werden können.
DORA Kapitel V: Management von IKT-Risiken durch Dritte
Kapitel V von DORA befasst sich mit den erforderlichen Kontrollen und Prozessen in Abschnitt I und den Aufsichtsmechanismen für ein Regulierungssystem in Abschnitt II.
Abschnitt I: Schlüsselprinzipien für ein solides Management von IKT-Drittrisiken
Abschnitt I: Grundprinzipien für ein solides Management von IKT-Risiken durch Dritte soll sicherstellen, dass Finanzinstitute die Risiken, die sich aus der Nutzung von IKT-Dienstleistungen durch Dritte ergeben, angemessen verwalten und mindern. Eine Zusammenfassung dieser Anforderungen ist nachstehend aufgeführt.
Rahmen für das Risikomanagement
Finanzinstitute sind verpflichtet, Risiken im Zusammenhang mit externen IKT-Anbietern zu bewerten. Dazu gehört die Bewertung potenzieller operativer Risiken, Konzentrationsrisiken und systemischer Risiken. Unternehmen müssen dabei die Kritikalität der erbrachten Dienstleistungen berücksichtigen. Der Umfang des Risikomanagements und der Aufsicht sollte proportional zur Kritikalität und den potenziellen Auswirkungen der externen IKT-Dienstleistungen auf das Finanzinstitut sein. Dies wird als Grundsatz der Verhältnismäßigkeit bezeichnet.
Sorgfaltspflicht
Finanzinstitute müssen vor dem Abschluss von Verträgen mit externen IKT-Dienstleistern eine umfassende Sorgfaltsprüfung durchführen. Diese Bewertung sollte die Fähigkeit des Anbieters umfassen, Dienstleistungen zuverlässig, sicher und in Übereinstimmung mit den regulatorischen Anforderungen zu erbringen. Nach Vertragsunterzeichnung ist eine kontinuierliche Überwachung erforderlich, um sicherzustellen, dass externe Anbieter das erwartete Maß an betrieblicher Resilienz aufrechterhalten, einschließlich der Einhaltung von Sicherheitsstandards.
Vertragliche Anforderungen
Verträge zwischen Finanzinstituten und externen IKT-Dienstleistern müssen detaillierte Bestimmungen zum Risikomanagement enthalten, die die Verantwortung des Dienstleisters für die Risikominderung und die Gewährleistung der Betriebskontinuität sicherstellen. Die Verträge sollten auch Klauseln zu Kündigungsrechten enthalten, die es dem Finanzinstitut ermöglichen, die Geschäftsbeziehung zu beenden, wenn der externe Dienstleister die regulatorischen oder betrieblichen Anforderungen an die Widerstandsfähigkeit nicht erfüllt. Finanzinstitute müssen dokumentierte und erprobte Ausstiegsstrategien für kritische IKT-Dienste haben, damit sie ihre betriebliche Widerstandsfähigkeit aufrechterhalten können, wenn ein wichtiger Dienstleister nicht mehr verfügbar ist.
Konzentrationsrisiko und Abhängigkeitsmanagement
Finanzinstitute müssen Konzentrationsrisiken im Zusammenhang mit externen IKT-Anbietern überwachen, insbesondere wenn nur wenige Anbieter den Markt dominieren. Unternehmen müssen Notfallpläne entwickeln, um potenzielle Störungen aufgrund einer solchen Konzentration zu bewältigen. Um Konzentrationsrisiken zu mindern, werden Unternehmen dazu angehalten, ihre IKT-Dienstleister nach Möglichkeit zu diversifizieren.
ICT-Risikoregister für Dritte
Finanzinstitute müssen ein Register aller externen IKT-Anbieter und -Dienstleistungen führen, das Einzelheiten zu den Verträgen, der Kritikalität der Dienstleistungen und Risikobewertungen enthält. Dieses Register muss regelmäßig aktualisiert und für behördliche Überprüfungen zur Verfügung gestellt werden.
Belastbarkeitstests
DORA verpflichtet Finanzinstitute dazu, die operativen Widerstandsfähigkeiten ihrer externen IKT-Dienstleister zu testen. Dazu gehören Simulationen oder Stresstests, um zu beurteilen, wie gut der externe Dienstleister mit einer größeren Störung oder einem Cyberangriff umgehen würde.
Untervergabe
Wenn ein externer IKT-Anbieter Teile der Dienstleistung an Subunternehmer vergibt, muss das Finanzinstitut sicherstellen, dass der Subunternehmer denselben Standards hinsichtlich Sorgfaltspflicht, Überwachung und Risikomanagement unterliegt.
Risikoszenarien durch Dritte
Finanzinstitute werden dazu angehalten, verschiedene Risikoszenarien durch Dritte, wie Cyberangriffe oder großflächige Ausfälle, zu analysieren und Wiederherstellungs- und Notfallpläne für solche Ereignisse zu entwickeln.
Abschnitt II: Aufsichtsrahmen für kritische IKT-Drittanbieter
Abschnitt II: Aufsichtsrahmen für kritische IKT-Drittanbieter legt Regeln und Anforderungen für die Beaufsichtigung und regulatorische Überwachung kritischer IKT-Drittanbieter (CTPPs) fest. Dazu gehören die Ernennung eines leitenden Aufsichtsbeauftragten, der das Risikomanagement und die Resilienzpraktiken des Anbieters überwacht, die Befugnis zur Durchführung von Inspektionen und Resilienztests sowie Anforderungen für die Meldung von Vorfällen und Korrekturmaßnahmen.
DORA führt direkte Aufsichtsmechanismen für kritische IKT-Drittanbieter ein, die diese dazu verpflichten, zusätzliche Standards in Bezug auf Berichterstattung und operative Widerstandsfähigkeit einzuhalten. Ziel ist es, sicherzustellen, dass diese kritischen IKT-Anbieter hohe Standards der operativen Widerstandsfähigkeit einhalten und zur allgemeinen Stabilität des Finanzsystems beitragen.
Wie Prevalent dabei helfen kann, die Einhaltung der DORA-Vorschriften zum Risikomanagement durch Dritte zu vereinfachen
Kapitel V, Abschnitt I, Artikel 28-30 des Digital Operational Resilience Act (DORA) legt mehrere Anforderungen fest, die sicherstellen sollen, dass Finanzunternehmen Risiken, die sich aus der Nutzung von Informations- und Kommunikationstechnologie (IKT)-Dienstleistungen Dritter ergeben, angemessen verwalten und mindern. Dies sind die Praktiken, die TPRM-Fachleute umsetzen müssten, um die aufsichtsrechtlichen Anforderungen in Abschnitt II zu erfüllen.
Es ist jedoch unmöglich, die Einhaltung der DORA-Anforderungen durch Dritte mithilfe manueller, auf Tabellenkalkulationen basierender Risikobewertungsmethoden angemessen zu bewerten, kontinuierlich zu überwachen und zu verwalten. Prevalent kann dabei helfen.
Die weit verbreitete Plattform für das Risikomanagement von Drittanbietern (TPRM)
ist eine zentrale, automatisierte Lösung zur Bewertung, Überwachung und Verwaltung von Risiken durch Drittanbieter in Abstimmung mit Ihrem umfassenderen Cybersicherheits- und Unternehmensrisikomanagementprogramm. Mit Prevalent kann Ihr Team:
- Zentralisieren Sie die Verteilung, Besprechung, Aufbewahrung und Überprüfung von Verträgen mit Drittanbietern, um sicherzustellen, dass wichtige Anforderungen enthalten sind, vereinbart und mit Leistungskennzahlen (KPIs) und Risikokennzahlen (KRIs) durchgesetzt werden. Prevalent Contract Essentials verfügt über einen Workflow, der vertraglich gebundene Anbieter automatisch in die formelle Due Diligence überführt.
- Erstellen Sie ein umfassendes Verzeichnis aller Drittanbieter sowie Abhängigkeiten und Konzentrationen von Viert- und N-Parteien als einheitliches, zuverlässiges Drittanbieterregister für die Stakeholder des Unternehmens.
- Bewerten Sie das inhärente Risiko, um die Profilerstellung, Einstufung und Kategorisierung von Dienstleistern zu informieren – und um den angemessenen Umfang und die Häufigkeit laufender Sorgfaltspflichten zu bestimmen.
- Automatisieren Sie die Bewertung von Resilienzrisiken und den Behebungsprozess in jeder Phase des Lebenszyklus von Drittanbietern mithilfe einer umfangreichen Bibliothek mit mehr als 750 Fragebogenvorlagen, die auf mehrere Best-Practice-Frameworks abgestimmt sind, sowie integrierten Anleitungen zur Behebung von Problemen.
- Kontinuierliche Verfolgung und Analyse externer Bedrohungen für Dritte durch Überwachung des Internets und des Dark Webs auf Cyber-Bedrohungen und Schwachstellen und Einbeziehung dieser Erkenntnisse zur Validierung der Kontrollen von Drittanbietern.
- Automatisieren Sie die Reaktion auf Vorfälle von Drittanbietern durch programmatische Überwachung, Bewertungen und Reaktionsmanagement.
- Automatisieren Sie Vertragsbewertungen und Offboarding-Verfahren, um das Risiko Ihrer Organisation nach Vertragsende zu reduzieren.
Weitere Informationen darüber, wie Prevalent die Einhaltung der DORA-Vorschriften zum Risikomanagement bei Drittanbietern vereinfachen kann, finden Sie in unserer vollständigen Checkliste zum DORA-Risikomanagement bei Drittanbietern, die Sie herunterladen können, oder fordern Sie noch heute eine Vorführung an.
Anmerkung der Redaktion: Dieser Beitrag wurde ursprünglich veröffentlicht auf Prävalent.net. Im Oktober 2024 übernahm Mitratech das KI-gestützte Risikomanagement für Dritte, Prevalent. Der Inhalt wurde seitdem aktualisiert und enthält nun Informationen, die auf unser Produktangebot, regulatorische Änderungen und Compliance abgestimmt sind.
