Erfüllung der PRA SS2/21-Anforderungen für das Risikomanagement von Drittparteien

Verwenden Sie diesen Leitfaden, um die Outsourcing-Anforderungen des Supervisory Statement SS2/21 der Prudential Regulation Authority (PRA) der Bank of England zu erfüllen.

Mitratech-Mitarbeiter
Mitratech-Mitarbeiter Juni 23, 2022 8 min gelesen
Decorative image

Im März 2022 hat die Prudential Regulation Authority (PRA) der Bank of England ein neues Supervisory Statement (SS2/21) veröffentlicht, das die Erwartungen festlegt, wie von der PRA beaufsichtigte Unternehmen die aufsichtsrechtlichen Anforderungen in Bezug auf Outsourcing und Risikomanagement für Dritte erfüllen sollten, um die Widerstandsfähigkeit des Unternehmens zu verbessern.

Das Supervisory Statement (SS) gilt für alle britischen Banken, Wertpapier- und Versicherungsunternehmen sowie für britische Zweigstellen ausländischer Banken und Versicherungsunternehmen und hat folgende Ziele:

"... eine größere Widerstandsfähigkeit und die Übernahme der Cloud und anderer neuer Technologien zu erleichtern ... die Anforderungen und Erwartungen an die operative Widerstandsfähigkeit im PRA Rulebook; SS1/21 zu ergänzen ... und die 'Guidelines on outsourcing arrangements' (EBA Outsourcing GL) der Europäischen Bankenaufsichtsbehörde (EBA) umzusetzen."

Die aufsichtsrechtliche Erklärung stellt auch den Unterschied zwischen wesentlichen Outsourcing- und Nicht-Outsourcing-Vereinbarungen mit Dritten klar, legt die Erwartungen an Bewertungen und die Sorgfaltspflicht gegenüber Dritten fest und nennt Bereiche, die einer eingehenden Prüfung bedürfen, darunter:

  • Sicherheit der Daten
  • Zugangs-, Prüfungs- und Informationsrechte
  • Sub-Outsourcing
  • Geschäftskontinuität und Ausstiegsstrategien

In diesem Beitrag werden die Bewertungs- und Sorgfaltspflichtanforderungen für auslagernde und nicht auslagernde Dritte untersucht, wie sie in der aufsichtsrechtlichen Erklärung festgelegt sind. Außerdem werden die Möglichkeiten der Prevalent Third-Party Risk Management Platform aufgezeigt, die zur Erfüllung der PRA-Anforderungen genutzt werden können.

Verständnis der PRA-Aufsichtserklärung SS2/21 Anforderungen an das Risikomanagement von Drittparteien

Die aufsichtsrechtliche Erklärung SS2/21 schreibt vor, dass von der PRA beaufsichtigte Unternehmen bei der Aufnahme von Lieferanten und in regelmäßigen Abständen danach eine Wesentlichkeitsbewertung durchführen. Die PRA erwartet, dass sie über die wesentlichen Drittparteien eines jeden Unternehmens informiert wird. Daher ist es jetzt an der Zeit, sicherzustellen, dass Ihre Drittparteien die erforderlichen Geschäfts- und Betriebspraktiken befolgen, um die Vorschriften einzuhalten und das Risiko für Ihr Unternehmen zu minimieren.

Zuordnung der gängigen Fähigkeiten zu den Anforderungen der PRA-Aufsichtserklärung SS2/21

Die Prevalent Third-Party Risk Management Platform kann Finanzdienstleistern dabei helfen, die in PRA SS2/21 enthaltenen Anforderungen an das Outsourcing und Non-Outsourcing von Dritten zu erfüllen.

HINWEIS: Dieser Leitfaden enthält nur die wichtigsten Anforderungen und sollte nicht als umfassend angesehen werden. Für eine vollständige Liste der Anforderungen lesen Sie bitte die vollständige Aufsichtserklärung im Detail durch und wenden Sie sich an Ihren Wirtschaftsprüfer.

Abschnitt 2: Definitionen und Anwendungsbereich

Um die Anforderungen in 2.8 und 2.9 zu erfüllen, liefert die Prevalent-Plattform:

  • Profiling, Tiering und Scoring des inhärenten und verbleibenden Risikos auf der Grundlage umfassender Kriterien, um wesentliche und nicht wesentliche Outsourcing-Drittparteien zu identifizieren.
  • Mehr als 100 standardisierte Vorlagen und benutzerdefinierte Risikobewertungen, die auf materielle und nicht-materielle Dritte abgestimmt sind, mit integriertem Workflow-, Aufgaben- und Beweismanagement. Die Bewertungen beziehen sich auf eine Vielzahl von auf IKT-Sicherheit basierenden Rahmenwerken, einschließlich Cyber Essentials, ISO 27001, NIST 800-53, GDPR und viele andere.
  • Sanierungsmanagement mit eingebauter Anleitung zum Handeln bei erkannten Risiken durch wesentliche Outsourcing-Drittparteien.
  • Compliance- und Risikoberichterstattung nach Rahmen oder Vorschriften zur Vereinfachung des Prüfungsverfahrens.

Abschnitt 3: Verhältnismäßigkeit

Um die Anforderungen in 3.6 und 3.7 zu erfüllen, wird die Prevalent Platform:

  • Ermöglicht den Sicherheits- und Risikomanagementteams eine automatische Einstufung der Zulieferer nach den ihnen innewohnenden Risikowerten. Die Ergebnisse können verwendet werden, um angemessene Stufen für weitere Due-Diligence-Prüfungen festzulegen und den Umfang der laufenden Bewertungen zu bestimmen.
  • Automatische Zuordnung von Informationen aus kontrollbasierten Bewertungen zu rechtlichen Rahmenbedingungen wie ISO 27001, GDPR und Dutzenden anderen. Auf diese Weise können Sie wichtige Compliance-Anforderungen schnell visualisieren und erfüllen und Audit-Prozesse vereinfachen.
  • Bietet das Prevalent Compliance Framework (PCF), eine einzige, umfassende Bewertung, die es Sicherheits- und Risikomanagementteams ermöglicht, Antworten auf verschiedene gesetzliche Anforderungen zu finden.

Abschnitt 5: Pre-Outsourcing-Phase

Um die Anforderungen in 5.8, 5.10-5.13 und 5.18-5.24 zu erfüllen, bietet die Prevalent-Plattform:

  • Ausschreibungsmanagement, das Unternehmen in die Lage versetzt, Entscheidungen über die Auswahl von Anbietern zu automatisieren und mit Risikoinformationen zu versehen.
  • Verwaltung des Vertragslebenszyklus, Automatisierung zur Verbesserung der Vertragsabschlüsse mit Lieferanten und kontinuierliche SLA-Überwachung.
  • Umfassende Erstellung von Profilen und Einstufung von Drittparteien zur Bestimmung der Wesentlichkeit. Kriterien sind u.a. Kritikalität, aufsichtsrechtliche Erwägungen, Abhängigkeit von vierten Parteien, betriebliches Risiko, Finanzstatus und Reputation.
  • Die größte Bibliothek mit standardisierten und benutzerdefinierten Risikobewertungen mit integriertem Workflow-, Aufgaben- und Beweismanagement. Enthält eine integrierte Bewertung der Widerstandsfähigkeit von Unternehmen auf der Grundlage von ISO 22301.
  • Native Cyber-, Sicherheitsverletzungs-, Geschäfts-, Reputations- und Finanzrisiken
    Überwachung zur kontinuierlichen Bewertung von Anbieterrisiken zwischen den jährlichen Bewertungen und Abgleich der Ergebnisse mit den Bewertungsergebnissen, um festzustellen, ob weitere Untersuchungen erforderlich sind.
  • Automatische Zuordnung von Bewertungs- und Überwachungsergebnissen zu NIST-, ISO- und anderen Kontrollrahmen zum Nachweis der Konformität.
  • Anleitung zum Aufbau eines robusteren Programms für die Widerstandsfähigkeit von Drittunternehmen.
  • Reaktion auf Vorfälle, um die Auswirkungen von Sicherheitsverletzungen bei Drittanbietern zu erkennen und zu mindern, mit Ereignisbewertungen, Bewertungen und Anleitungen zur Abhilfe.

Abschnitt 6: Outsourcing-Vereinbarungen

Um die Anforderungen von 6.3 zu erfüllen, zentralisiert Prevalent die Verteilung, Diskussion, Aufbewahrung und Überprüfung von Lieferantenverträgen. Mit diesen Funktionen können Unternehmen alle Verträge und Vertragsattribute, die sich auf die Service-Levels auswirken können, zentral nachverfolgen und so vertragliche Sicherheitsvorkehrungen effektiv durchsetzen.

Abschnitt 7: Datensicherheit

Um die Anforderungen in Abschnitt 7 zu erfüllen, bietet Prevalent eine einzige, kollaborative Plattform für die Durchführung von Datenschutzbewertungen und die Abschwächung sowohl von Drittparteien als auch von internen Datenschutzrisiken. Zu den wichtigsten Funktionen für die Bewertung von Datensicherheit und Datenschutz gehören:

  • Planmäßige Bewertungen und Beziehungsanalysen, um aufzuzeigen, wo personenbezogene Daten vorhanden sind, wo sie gemeinsam genutzt werden und wer Zugang zu ihnen hat - alles zusammengefasst in einem Risikoregister, das kritische Risiken aufzeigt.
  • Datenschutz-Folgenabschätzungen, um gefährdete Geschäftsdaten und persönlich identifizierbare Informationen (PII) aufzudecken - so können Sie den Ursprung, die Art und den Schweregrad des Risikos analysieren und erhalten eine Anleitung zur Abhilfe.
  • Bewertung von Anbietern im Hinblick auf GDPR
    und anderen Datenschutzvorschriften über das Prevalent Compliance Framework (PCF) - damit können Sie potenzielle Gefahrenherde aufdecken, indem Sie die identifizierten Risiken bestimmten Kontrollen zuordnen.
  • Zuordnung von GDPR-Risiken und -Reaktionen zu Kontrollen - mit prozentualen Konformitätsbewertungen und Stakeholder-spezifischen Berichten.
  • Eine Datenbank mit mehr als 10 Jahren Datenverletzungshistorie für Tausende von Unternehmen auf der ganzen Welt. Enthält Art und Menge der gestohlenen Daten, Probleme mit der Einhaltung von Vorschriften und Bestimmungen sowie Echtzeit-Benachrichtigungen über Datenschutzverletzungen durch Anbieter.
  • Zentralisiertes Onboarding, Verteilung, Diskussion, Aufbewahrung und Überprüfung von Lieferantenverträgen. Dadurch wird sichergestellt, dass die Datenschutzbestimmungen von Beginn der Geschäftsbeziehung an durchgesetzt werden.

Abschnitt 8: Zugangs-, Prüfungs- und Informationsrechte

Zur Erfüllung der Anforderungen in 8.7 und 8.9:

  • Der Prevalent Controls Validation Service prüft die Antworten von Drittanbietern und die Dokumentation anhand etablierter Testprotokolle, um zu validieren, dass die angegebenen Kontrollen vorhanden sind.
  • Die Experten von Prevalent überprüfen zunächst die Antworten auf die Bewertungen, unabhängig davon, ob es sich um benutzerdefinierte oder standardisierte Fragebögen handelt. Anschließend ordnen wir die Antworten SIG, SCA, ISO, SOC II, AITECH und/oder anderen Kontrollrahmen zu. Schließlich entwickeln wir gemeinsam mit Ihnen Pläne zur Behebung der Mängel und verfolgen diese bis zum Abschluss. Prevalent verfügt über das nötige Fachwissen, um Sie bei der Risikominderung mit Ihren vorhandenen Ressourcen zu unterstützen, und bietet Optionen für den Einsatz vor Ort an.
  • Prevalent zentralisiert Zertifizierungen, Vereinbarungen, Verträge und Nachweise mit integriertem Aufgaben- und Abnahmemanagement sowie obligatorischen Upload-Funktionen.

Abschnitt 9: Sub-Outsourcing

Um die Anforderungen in Abschnitt 9 zu erfüllen, identifiziert Prevalent die Beziehungen zwischen vierten und n-ten Parteien durch eine systemeigene Identifikationsprüfung oder durch passives Scannen der öffentlichen Infrastruktur der dritten Partei. Die daraus resultierende Beziehungskarte zeigt Informationspfade und Abhängigkeiten, die Wege in eine Umgebung öffnen könnten. Lieferanten, die durch diesen Prozess entdeckt werden, werden dann überwacht, um finanzielle, ESG-, Cyber-, Geschäfts- und Datenverletzungsrisiken sowie Sanktionen/PEP-Screening zu identifizieren.

Abschnitt 10: Betriebskontinuität und Ausstiegspläne

Zur Erfüllung der Anforderungen in 10.1, 10.3 und 10.9, Prevalent:

  • Stellt Unternehmen kostenlose Ressourcen zur Verfügung, die sie beim Aufbau oder bei der Weiterentwicklung ihrer Business-Continuity-Programme für Dritte nutzen können.
  • Enthält eine umfassende Bewertung der Widerstandsfähigkeit von Unternehmen auf der Grundlage der ISO 22301-Standardverfahren, die es Unternehmen ermöglicht,:
    • Kategorisierung der Lieferanten nach ihrem Risikoprofil und ihrer Wichtigkeit für das Unternehmen
    • Umriss der Wiederherstellungspunktziele (RPOs) und der Wiederherstellungszeitziele (RTOs)
    • Zentralisierung von Systeminventar, Risikobewertungen, RACI-Diagrammen und Drittparteien
    • Sicherstellung einer konsistenten Kommunikation mit den Lieferanten bei Betriebsunterbrechungen

Wie Prevalent dabei hilft, die Anforderungen von PRA SS2/21 Outsourcing und Risikomanagement für Dritte zu erfüllen

Prevalent kann Unternehmen dabei helfen, Wesentlichkeitsbewertungen zu automatisieren und ihre Outsourcing- und Nicht-Outsourcing-Drittparteien kontinuierlich auf Business-Resilience-Risiken zu überwachen. Die Bewertungs- und Überwachungsfunktionen von Prevalent ermöglichen es Unternehmen, zu bestimmen und zu überprüfen, ob ein Fehler oder ein Versagen in der Leistung eines Anbieters eine wesentliche Beeinträchtigung darstellt:

  • Die Fähigkeit der Organisation, die Schwellenwertbedingungen zu erfüllen
  • Einhaltung der Grundregeln oder der Geschäftsgrundsätze der Financial Conduct Authority (FCA)
  • Die finanzielle Stabilität des Vereinigten Königreichs
  • Die Anforderungen der Organisation gemäß dem Abschnitt " Informationsbeschaffung " des PRA-Regelwerks
  • die finanzielle oder operative Belastbarkeit der Organisation

Für Organisationen, die eine interne Kontrolle oder eine Schlüsselfunktion ausgelagert haben, kann Prevalent dabei helfen, festzustellen, ob ein Defekt oder eine Leistungsstörung die betreffende Funktion beeinträchtigen würde. Es kann auch helfen, die potenziellen Auswirkungen einer Störung, eines Ausfalls oder einer unzureichenden Leistung zu bestimmen:

  • operationelles Risiko, Verhaltensrisiko, Informations- und Kommunikationstechnologierisiko (IKT), Rechtsrisiko und Reputationsrisiko
  • die Fähigkeit der Organisation, die gesetzlichen und behördlichen Anforderungen zu erfüllen und darüber zu berichten
  • den Zugang der Organisation zu wichtigen Daten oder das Risiko einer Verletzung vertraulicher oder streng vertraulicher Daten

Nächste Schritte zur Erfüllung des PRA SS2/21

Wenn Sie mehr darüber erfahren möchten, wie Prevalent dazu beitragen kann, die Anforderungen des PRA Supervisory Statement SS2/21 zu erfüllen, laden Sie die vollständige Compliance-Checkliste herunter oder fordern Sie noch heute eine Demo an.

Anmerkung der Redaktion: Dieser Beitrag wurde ursprünglich veröffentlicht auf Prävalent.net. Im Oktober 2024 übernahm Mitratech das KI-gestützte Risikomanagement für Dritte, Prevalent. Der Inhalt wurde seitdem aktualisiert und enthält nun Informationen, die auf unser Produktangebot, regulatorische Änderungen und Compliance abgestimmt sind.
Befähigen. Automatisieren. Erhöhen. Mitratech

©2026 Mitratech, Inc. Alle Rechte vorbehalten.

Befähigen. Automatisieren. Erhöhen. Mitratech

©2026 Mitratech, Inc. Alle Rechte vorbehalten.