Einhaltung der EBA-Outsourcing-Leitlinien

Die EBA und das Risikomanagement von Drittanbietern

Die Europäische Bankenaufsichtsbehörde (EBA) ist eine unabhängige EU-Behörde, die eine wirksame und kohärente Regulierung und Beaufsichtigung des gesamten europäischen Bankensektors gewährleistet. Anfang 2019 veröffentlichte die EBA überarbeitete Leitlinien zu Auslagerungsvereinbarungen, einschließlich spezifischer Bestimmungen für die Governance von Finanzinstituten bei Auslagerungsvereinbarungen und damit verbundenen Aufsichtsprozessen. Diese Leitlinien stehen im Einklang mit den Auslagerungsanforderungen gemäß der Richtlinie über Zahlungsdienste (PSD2), der Richtlinie über Märkte für Finanzinstrumente (MiFID II) und der Delegierten Verordnung (EU) 2017/565 der Kommission.

Die EBA-Leitlinien legen die internen Governance-Regelungen fest, die Kreditinstitute, Zahlungsinstitute und E-Geld-Institute umsetzen sollten, wenn sie interne Dienstleistungen, Tätigkeiten oder Funktionen auslagern. In Anbetracht des umfangreichen Ökosystems von Zulieferern in der Finanzdienstleistungsbranche widmet die EBA dem Management von Outsourcing in der Finanzdienstleistungsbranche 70 Seiten.

Die EBA-Leitlinien verlangen ein solides Management und die Überwachung der Risiken von Dienstleistern. Sie legen fest, dass eine Strategie für das Risikomanagement vorhanden sein sollte, die auf internen Kontrollen basierende Bewertungen und eine kontinuierliche Überwachung von Outsourcing-Vereinbarungen mit Dritten umfasst. Die Strategie sollte in einem Vertrag zwischen dem Finanzinstitut und der Auslagerungsbeziehung kodifiziert werden, mit einer angemessenen Dokumentation und Berichterstattung sowohl für Abhilfemaßnahmen als auch für Prüfungsmöglichkeiten.

Diese Anforderungen stellen eine vollständige Reihe von Kontrollen dar, die in der gesamten Organisation des Outsourcers implementiert sind und weit über den Umfang einer einfachen automatischen Überprüfung der nach außen gerichteten Infrastruktur hinausgehen.

Relevante Anforderungen

Unterscheidung zwischen "kritischen oder wichtigen" und nicht kritischen Auslagerungen

Durchführung einer Due-Diligence-Prüfung bei der Auswahl des Outsourcing-Prozesses
Ermöglichen Sieeine angemesseneRisikobewertung, bei der alle potenziellen operativen Risiken identifiziert, verwaltet, überwacht und gemeldet werden.
Verträge verlangen, die Zugangs- und Prüfungsrechte für die Banken und ihre Aufsichtsbehörden festlegen, um eine wirksame Aufsicht zu gewährleisten
Durchführung einer fortlaufenden Bewertung undkontinuierlichen Überwachung mit klarer Berichterstattung an die Geschäftsleitung
Stellen Sie den Behörden alle Unterlagen zur Verfügung, um Transparenz zu gewährleisten.
Festlegung einer klaren Ausstiegsstrategie für den Fall eines Ausfalls des Dienstleisters

Erfüllung der TPRM-Leitlinien der EBA

Hier erfahren Sie, wie Prevalent Ihnen helfen kann, die EBA-Leitlinien zum Risikomanagement für Dritte zu erfüllen:

EBA-Leitlinien	Wie wir helfen
Titel II - Bewertung von Auslagerungsvereinbarungen 4 - Kritische oder wichtige Funktionen Absatz 30 "Besondere Aufmerksamkeit sollte der Bewertung der Kritikalität oder Wichtigkeit von Funktionen gewidmet werden, wenn die Auslagerung Funktionen im Zusammenhang mit Kerngeschäftsbereichen betrifft."	Die Lösung Prevalent Assessment ermöglicht es Finanzinstituten, Dritte auf der Grundlage ihrer Bedeutung für das Unternehmen zu klassifizieren. Eine Auswahl von anpassbaren Fragebögen ermöglicht es Ihnen, die Bewertungsanforderungen an den Risikograd der Beziehung anzupassen.
Titel III - Governance-Rahmen 5 - Solide Governance-Regelungen und Risiken für Dritte Absatz 32 "Institute und Zahlungsinstitute sollten über einen ganzheitlichen, institutsweiten Risikomanagement-Rahmen verfügen, um alle ihre Risiken zu ermitteln und zu steuern, einschließlich der Risiken, die durch Vereinbarungen mit Dritten entstehen."	Prevalent bietet die branchenweit einzige zweckbestimmte, einheitliche Plattform für das Risikomanagement von Drittanbietern. Unsere Lösung automatisiert den Inside-Out-Prozess der Risikobewertungen von Anbietern und umfasst gleichzeitig eine proaktive kontinuierliche Überwachung mit einem Outside-In-Ansatz, um Risiken zu reduzieren und die Anforderungen der Compliance zu erfüllen.
Titel III - Governance-Rahmen 5 - Solide Governance-Regelungen und Risiken für Dritte Absatz 33 "Institute und Zahlungsinstitute sollten alle Risiken, die sich aus Vereinbarungen mit Dritten ergeben und denen sie ausgesetzt sind oder ausgesetzt sein könnten, ermitteln, bewerten, überwachen und steuern."	Der Prevalent Assessment Service bietet Fachleuten für Sicherheit, Datenschutz und Risikomanagement eine automatisierte Plattform zur Verwaltung des Risikobewertungsprozesses von Anbietern und zur Ermittlung der Einhaltung von IT-Sicherheits-, Gesetzes- und Datenschutzanforderungen durch die Anbieter. Er verwendet sowohl Standard- als auch benutzerdefinierte Fragebögen, um Beweise zu sammeln, und bietet bidirektionale Abhilfeworkflows, Live-Berichte und ein benutzerfreundliches Dashboard für mehr Effizienz. Mit klaren Berichten und Anleitungen zur Problembehebung stellt die Plattform sicher, dass Risiken erkannt und an die richtigen Stellen weitergeleitet werden.
Titel III - Governance-Rahmen 6 - Solide Governance-Regelungen und Outsourcing Absatz 40(c) "Beim Outsourcing sollten die Institute und Zahlungsinstitute zumindest sicherstellen, dass: die Risiken im Zusammenhang mit aktuellen und geplanten Auslagerungsvereinbarungen angemessen ermittelt, bewertet, gesteuert und gemindert werden, einschließlich der Risiken im Zusammenhang mit IKT und Finanztechnologie (Fintech)."	Die Prevalent-Plattform für das Risikomanagement von Drittanbietern bietet eine Komplettlösung für die Durchführung von Bewertungen, einschließlich Fragebögen, eine Umgebung für die Aufnahme und Verwaltung dokumentierter Nachweise in der Antwort, Arbeitsabläufe für die Verwaltung der Überprüfung und die Behandlung der Ergebnisse sowie ein robustes Berichtswesen, das jeder Managementebene die Informationen liefert, die sie für eine ordnungsgemäße Überprüfung der Leistung des Drittanbieters benötigt.
Titel III - Governance-Rahmen 10 - Interne Auditfunktion Absatz 50 "Die Tätigkeit der Innenrevision sollte nach einem risikobasierten Ansatz auch die unabhängige Überprüfung ausgelagerter Tätigkeiten umfassen. Der Prüfungsplan und das Prüfungsprogramm sollten insbesondere die Auslagerungsvereinbarungen für kritische oder wichtige Funktionen umfassen."	Die Prevalent-Plattform für das Risikomanagement von Drittanbietern umfasst ein effektives Berichtswesen zur Erfüllung von Audit- und Compliance-Anforderungen sowie zur Präsentation der Ergebnisse vor dem Vorstand und der Geschäftsleitung. Das gesamte Risikoprofil kann in der zentralisierten Live-Berichtskonsole eingesehen werden, und die Berichte können heruntergeladen und exportiert werden, um den Konformitätsstatus zu ermitteln. Zu den umfangreichen Berichtsfunktionen gehören Filter und interaktive Diagramme zum Durchklicken. Die Lösung umfasst ein vollständiges Repository aller während des Diligence-Prozesses gesammelten und geprüften Unterlagen.
Titel III - Governance-Rahmen 12.3 - Due Diligence Paragraphen 70 & 71 "Im Hinblick auf kritische und wichtige Funktionen sollten die Institute und Zahlungsinstitute sicherstellen, dass der Dienstleister über den geschäftlichen Ruf verfügt, seinen Verpflichtungen nachzukommen. Weitere Faktoren, die zu berücksichtigen sind, sind das Geschäftsmodell, die Art, der Umfang, die Komplexität, die finanzielle Situation, die Eigentumsverhältnisse und die Konzernstruktur.	Der Prevalent Cyber & Business Monitoring Service bietet sowohl eine Momentaufnahme als auch eine kontinuierliche Überwachung von Anbietern für eine sofortige Benachrichtigung über risikoreiche Probleme, die Festlegung von Prioritäten und Empfehlungen zur Behebung. Die Überwachung von Datensicherheit und Geschäftsrisiken ermöglicht es Ihnen, über den taktischen Zustand des Anbieters hinaus eine strategischere Sicht auf das gesamte Informationssicherheitsrisiko eines Anbieters zu erhalten. Prevalent ist insofern einzigartig, als es eine Überwachung von Geschäftsrisiken anbietet, die menschliche Analysten zur Interpretation potenzieller Betriebs-, Marken-, regulatorischer, rechtlicher und finanzieller Risiken einsetzt. Beispiele hierfür sind: Insider-Bedrohungen Finanzielle Probleme M&A-Aktivitäten Entlassungen Fälle von Datenschutzverletzungen Reputationsmetriken
Titel III - Governance-Rahmen 13.2 Sicherheit von Daten und Systemen Absatz 82 "Gegebenenfalls (z.B. im Zusammenhang mit Cloud- oder anderem IKT-Outsourcing) sollten Institute und Zahlungsinstitute im Rahmen der Outsourcing-Vereinbarung Anforderungen an die Daten- und Systemsicherheit festlegen und die Einhaltung dieser Anforderungen laufend überwachen."	Die Prevalent-Plattform für das Risikomanagement von Drittanbietern bietet eine Komplettlösung für die Durchführung von Bewertungen, einschließlich Fragebögen, eine Umgebung für die Aufnahme und Verwaltung dokumentierter Nachweise in der Antwort, Arbeitsabläufe für die Verwaltung der Überprüfung und die Behandlung der Ergebnisse sowie ein robustes Berichtswesen, das jeder Managementebene die Informationen liefert, die sie für eine ordnungsgemäße Überprüfung der Leistung des Drittanbieters benötigt.
Titel III - Governance-Rahmen 13.3 Zugangs-, Informations- und Prüfungsrechte Absatz 87 (b) "Die Institute und Zahlungsinstitute sollten sich vergewissern, dass der Dienstleister sie gewährt: uneingeschränkte Einsichts- und Prüfungsrechte in Bezug auf die Auslagerungsvereinbarung ('Prüfungsrechte'), damit sie die Auslagerungsvereinbarung überwachen und die Einhaltung aller geltenden rechtlichen und vertraglichen Anforderungen sicherstellen können"	Die Prevalent Assessment-Lösung stellt sicher, dass die Dienstleister die genauen, vereinbarten Anforderungen umsetzen und regelmäßig nachverfolgen und überprüfen. Ein robustes Berichtswesen und umfassende Audit-Funktionen rationalisieren die ordnungsgemäße Leistungsüberprüfung. Der Zugriff auf abgeschlossene Bewertungen und Audits kann über standardmäßige RBAC-Funktionen in der Plattform an Auditoren delegiert werden.
Titel III - Governance-Rahmen 13.3 Zugangs-, Informations- und Prüfungsrechte Absatz 91 "Institute und Zahlungsinstitute können verwenden: gemeinsame Prüfungen mit anderen Kunden desselben Dienstleisters, die von diesem und diesen Kunden oder von einem von ihnen beauftragten Dritten durchgeführt werden, um die Prüfungsressourcen effizienter zu nutzen und den organisatorischen Aufwand sowohl für die Kunden als auch für den Dienstleister zu verringern.	Die Vendor Evidence Sharing Networks von Prevalent sind Ablagen für ausgefüllte, validierte Lieferantenfragebögen und unterstützende Nachweise, die den mühsamen, zeit- und ressourcenaufwendigen Prozess der Datenerfassung von Grund auf eliminieren. Prevalent bietet sowohl horizontale als auch vertikale Netzwerke, um die Bewertung und Zusammenarbeit innerhalb der Gemeinschaft zu beschleunigen.
Titel III - Governance-Rahmen 14 Beaufsichtigung ausgelagerter Funktionen Absatz 100 "Die Institute und Zahlungsinstitute sollten die Leistung der Dienstleister laufend überwachen. Wenn sich das Risiko, die Art oder der Umfang einer ausgelagerten Funktion wesentlich verändert hat, sollten die Institute und Zahlungsinstitute die Kritikalität oder Bedeutung dieser Funktion neu bewerten."	Die Plattform ermöglicht nicht nur automatisierte, regelmäßige, auf internen Kontrollen basierende Bewertungen, sondern bietet auch Cybersicherheit und Unternehmensüberwachung - eine kontinuierliche Bewertung der Netzwerke von Drittanbietern, um potenzielle Schwachstellen zu identifizieren, die von Cyber-Kriminellen ausgenutzt werden können. Prevalent bietet auch Penetrationstests als Dienstleistung an, um Kunden dabei zu helfen, die Netzwerkoperationen von Anbietern auf einer viel detaillierteren Ebene zu untersuchen. Durch die Integration von internen Bewertungen, externer Cyber-Überwachung und Penetrationstests erhalten die betroffenen Unternehmen einen vollständigen Überblick über die Risiken der Anbieter sowie klare und umsetzbare Anleitungen zur Behebung dieser Risiken.
Titel III - Governance-Rahmen 14 Beaufsichtigung ausgelagerter Funktionen Absatz 104 "Die Institute und Zahlungsinstitute sollten sicherstellen, dass die Auslagerungsvereinbarungen im Einklang mit ihrer Politik angemessene Leistungs- und Qualitätsstandards erfüllen: a. sicherstellen, dass sie von den Dienstleistern angemessene Berichte erhalten; b. die Bewertung der Leistung von Dienstleistern mit Hilfe von Instrumenten wie zentralen Leistungsindikatoren, zentralen Kontrollindikatoren, Berichten über die Erbringung von Dienstleistungen, Selbstzertifizierung und unabhängigen Überprüfungen; und c. Überprüfung aller anderen vom Dienstleister erhaltenen relevanten Informationen, einschließlich Berichten über Maßnahmen zur Aufrechterhaltung des Geschäftsbetriebs und Tests.	Der Dienst Prevalent Assessment erfasst und prüft Gespräche und gleicht die Dokumentation oder Beweise mit den Risiken ab. Optisch ansprechende und kohärente Dashboards bieten einen klaren Überblick über Aufgaben, Zeitpläne, Risikoaktivitäten, den Abschlussstatus der Untersuchung, Vereinbarungen und zugehörige Dokumente.
Titel III - Governance-Rahmen 14 Beaufsichtigung ausgelagerter Funktionen Absatz 105 "Werden Mängel festgestellt, sollten die Institute und Zahlungsinstitute geeignete Korrektur- oder Abhilfemaßnahmen ergreifen."	Die Prevalent-Lösung umfasst bidirektionale Arbeitsabläufe und gemeinsame Kommunikationsmechanismen zur Verfolgung der Ergebnisse und zur Behebung von Problemen.

EBA-Leitlinien

Wie wir helfen

Titel II - Bewertung von Auslagerungsvereinbarungen
4 - Kritische oder wichtige Funktionen
Absatz 30

"Besondere Aufmerksamkeit sollte der Bewertung der Kritikalität oder Wichtigkeit von Funktionen gewidmet werden, wenn die Auslagerung Funktionen im Zusammenhang mit Kerngeschäftsbereichen betrifft."

Die Lösung Prevalent Assessment ermöglicht es Finanzinstituten, Dritte auf der Grundlage ihrer Bedeutung für das Unternehmen zu klassifizieren. Eine Auswahl von anpassbaren Fragebögen ermöglicht es Ihnen, die Bewertungsanforderungen an den Risikograd der Beziehung anzupassen.

Titel III - Governance-Rahmen
5 - Solide Governance-Regelungen und Risiken für Dritte
Absatz 32

"Institute und Zahlungsinstitute sollten über einen ganzheitlichen, institutsweiten Risikomanagement-Rahmen verfügen, um alle ihre Risiken zu ermitteln und zu steuern, einschließlich der Risiken, die durch Vereinbarungen mit Dritten entstehen."

Prevalent bietet die branchenweit einzige zweckbestimmte, einheitliche Plattform für das Risikomanagement von Drittanbietern. Unsere Lösung automatisiert den Inside-Out-Prozess der Risikobewertungen von Anbietern und umfasst gleichzeitig eine proaktive kontinuierliche Überwachung mit einem Outside-In-Ansatz, um Risiken zu reduzieren und die Anforderungen der Compliance zu erfüllen.

Titel III - Governance-Rahmen
5 - Solide Governance-Regelungen und Risiken für Dritte
Absatz 33

"Institute und Zahlungsinstitute sollten alle Risiken, die sich aus Vereinbarungen mit Dritten ergeben und denen sie ausgesetzt sind oder ausgesetzt sein könnten, ermitteln, bewerten, überwachen und steuern."

Der Prevalent Assessment Service bietet Fachleuten für Sicherheit, Datenschutz und Risikomanagement eine automatisierte Plattform zur Verwaltung des Risikobewertungsprozesses von Anbietern und zur Ermittlung der Einhaltung von IT-Sicherheits-, Gesetzes- und Datenschutzanforderungen durch die Anbieter. Er verwendet sowohl Standard- als auch benutzerdefinierte Fragebögen, um Beweise zu sammeln, und bietet bidirektionale Abhilfeworkflows, Live-Berichte und ein benutzerfreundliches Dashboard für mehr Effizienz. Mit klaren Berichten und Anleitungen zur Problembehebung stellt die Plattform sicher, dass Risiken erkannt und an die richtigen Stellen weitergeleitet werden.

Titel III - Governance-Rahmen
6 - Solide Governance-Regelungen und Outsourcing
Absatz 40(c)

"Beim Outsourcing sollten die Institute und Zahlungsinstitute zumindest sicherstellen, dass:

die Risiken im Zusammenhang mit aktuellen und geplanten Auslagerungsvereinbarungen angemessen ermittelt, bewertet, gesteuert und gemindert werden, einschließlich der Risiken im Zusammenhang mit IKT und Finanztechnologie (Fintech)."

Die Prevalent-Plattform für das Risikomanagement von Drittanbietern bietet eine Komplettlösung für die Durchführung von Bewertungen, einschließlich Fragebögen, eine Umgebung für die Aufnahme und Verwaltung dokumentierter Nachweise in der Antwort, Arbeitsabläufe für die Verwaltung der Überprüfung und die Behandlung der Ergebnisse sowie ein robustes Berichtswesen, das jeder Managementebene die Informationen liefert, die sie für eine ordnungsgemäße Überprüfung der Leistung des Drittanbieters benötigt.

Titel III - Governance-Rahmen
10 - Interne Auditfunktion
Absatz 50

"Die Tätigkeit der Innenrevision sollte nach einem risikobasierten Ansatz auch die unabhängige Überprüfung ausgelagerter Tätigkeiten umfassen. Der Prüfungsplan und das Prüfungsprogramm sollten insbesondere die Auslagerungsvereinbarungen für kritische oder wichtige Funktionen umfassen."

Die Prevalent-Plattform für das Risikomanagement von Drittanbietern umfasst ein effektives Berichtswesen zur Erfüllung von Audit- und Compliance-Anforderungen sowie zur Präsentation der Ergebnisse vor dem Vorstand und der Geschäftsleitung. Das gesamte Risikoprofil kann in der zentralisierten Live-Berichtskonsole eingesehen werden, und die Berichte können heruntergeladen und exportiert werden, um den Konformitätsstatus zu ermitteln. Zu den umfangreichen Berichtsfunktionen gehören Filter und interaktive Diagramme zum Durchklicken. Die Lösung umfasst ein vollständiges Repository aller während des Diligence-Prozesses gesammelten und geprüften Unterlagen.

Titel III - Governance-Rahmen
12.3 - Due Diligence
Paragraphen 70 & 71

"Im Hinblick auf kritische und wichtige Funktionen sollten die Institute und Zahlungsinstitute sicherstellen, dass der Dienstleister über den geschäftlichen Ruf verfügt, seinen Verpflichtungen nachzukommen.

Weitere Faktoren, die zu berücksichtigen sind, sind das Geschäftsmodell, die Art, der Umfang, die Komplexität, die finanzielle Situation, die Eigentumsverhältnisse und die Konzernstruktur.

Der Prevalent Cyber & Business Monitoring Service bietet sowohl eine Momentaufnahme als auch eine kontinuierliche Überwachung von Anbietern für eine sofortige Benachrichtigung über risikoreiche Probleme, die Festlegung von Prioritäten und Empfehlungen zur Behebung. Die Überwachung von Datensicherheit und Geschäftsrisiken ermöglicht es Ihnen, über den taktischen Zustand des Anbieters hinaus eine strategischere Sicht auf das gesamte Informationssicherheitsrisiko eines Anbieters zu erhalten.

Prevalent ist insofern einzigartig, als es eine Überwachung von Geschäftsrisiken anbietet, die menschliche Analysten zur Interpretation potenzieller Betriebs-, Marken-, regulatorischer, rechtlicher und finanzieller Risiken einsetzt.

Beispiele hierfür sind:

Insider-Bedrohungen
Finanzielle Probleme
M&A-Aktivitäten
Entlassungen
Fälle von Datenschutzverletzungen
Reputationsmetriken

Titel III - Governance-Rahmen
13.2 Sicherheit von Daten und Systemen
Absatz 82

"Gegebenenfalls (z.B. im Zusammenhang mit Cloud- oder anderem IKT-Outsourcing) sollten Institute und Zahlungsinstitute im Rahmen der Outsourcing-Vereinbarung Anforderungen an die Daten- und Systemsicherheit festlegen und die Einhaltung dieser Anforderungen laufend überwachen."

Titel III - Governance-Rahmen
13.3 Zugangs-, Informations- und Prüfungsrechte
Absatz 87 (b)

"Die Institute und Zahlungsinstitute sollten sich vergewissern, dass der Dienstleister sie gewährt:

uneingeschränkte Einsichts- und Prüfungsrechte in Bezug auf die Auslagerungsvereinbarung ('Prüfungsrechte'), damit sie die Auslagerungsvereinbarung überwachen und die Einhaltung aller geltenden rechtlichen und vertraglichen Anforderungen sicherstellen können"

Die Prevalent Assessment-Lösung stellt sicher, dass die Dienstleister die genauen, vereinbarten Anforderungen umsetzen und regelmäßig nachverfolgen und überprüfen. Ein robustes Berichtswesen und umfassende Audit-Funktionen rationalisieren die ordnungsgemäße Leistungsüberprüfung. Der Zugriff auf abgeschlossene Bewertungen und Audits kann über standardmäßige RBAC-Funktionen in der Plattform an Auditoren delegiert werden.

Titel III - Governance-Rahmen
13.3 Zugangs-, Informations- und Prüfungsrechte
Absatz 91

"Institute und Zahlungsinstitute können verwenden:

gemeinsame Prüfungen mit anderen Kunden desselben Dienstleisters, die von diesem und diesen Kunden oder von einem von ihnen beauftragten Dritten durchgeführt werden, um die Prüfungsressourcen effizienter zu nutzen und den organisatorischen Aufwand sowohl für die Kunden als auch für den Dienstleister zu verringern.

Die Vendor Evidence Sharing Networks von Prevalent sind Ablagen für ausgefüllte, validierte Lieferantenfragebögen und unterstützende Nachweise, die den mühsamen, zeit- und ressourcenaufwendigen Prozess der Datenerfassung von Grund auf eliminieren.

Prevalent bietet sowohl horizontale als auch vertikale Netzwerke, um die Bewertung und Zusammenarbeit innerhalb der Gemeinschaft zu beschleunigen.

Titel III - Governance-Rahmen
14 Beaufsichtigung ausgelagerter Funktionen
Absatz 100

"Die Institute und Zahlungsinstitute sollten die Leistung der Dienstleister laufend überwachen. Wenn sich das Risiko, die Art oder der Umfang einer ausgelagerten Funktion wesentlich verändert hat, sollten die Institute und Zahlungsinstitute die Kritikalität oder Bedeutung dieser Funktion neu bewerten."

Die Plattform ermöglicht nicht nur automatisierte, regelmäßige, auf internen Kontrollen basierende Bewertungen, sondern bietet auch Cybersicherheit und Unternehmensüberwachung - eine kontinuierliche Bewertung der Netzwerke von Drittanbietern, um potenzielle Schwachstellen zu identifizieren, die von Cyber-Kriminellen ausgenutzt werden können. Prevalent bietet auch Penetrationstests als Dienstleistung an, um Kunden dabei zu helfen, die Netzwerkoperationen von Anbietern auf einer viel detaillierteren Ebene zu untersuchen.

Durch die Integration von internen Bewertungen, externer Cyber-Überwachung und Penetrationstests erhalten die betroffenen Unternehmen einen vollständigen Überblick über die Risiken der Anbieter sowie klare und umsetzbare Anleitungen zur Behebung dieser Risiken.

Titel III - Governance-Rahmen
14 Beaufsichtigung ausgelagerter Funktionen
Absatz 104

"Die Institute und Zahlungsinstitute sollten sicherstellen, dass die Auslagerungsvereinbarungen im Einklang mit ihrer Politik angemessene Leistungs- und Qualitätsstandards erfüllen:

a. sicherstellen, dass sie von den Dienstleistern angemessene Berichte erhalten;

b. die Bewertung der Leistung von Dienstleistern mit Hilfe von Instrumenten wie zentralen Leistungsindikatoren, zentralen Kontrollindikatoren, Berichten über die Erbringung von Dienstleistungen, Selbstzertifizierung und unabhängigen Überprüfungen; und

c. Überprüfung aller anderen vom Dienstleister erhaltenen relevanten Informationen, einschließlich Berichten über Maßnahmen zur Aufrechterhaltung des Geschäftsbetriebs und Tests.

Der Dienst Prevalent Assessment erfasst und prüft Gespräche und gleicht die Dokumentation oder Beweise mit den Risiken ab. Optisch ansprechende und kohärente Dashboards bieten einen klaren Überblick über Aufgaben, Zeitpläne, Risikoaktivitäten, den Abschlussstatus der Untersuchung, Vereinbarungen und zugehörige Dokumente.

Titel III - Governance-Rahmen
14 Beaufsichtigung ausgelagerter Funktionen
Absatz 105

"Werden Mängel festgestellt, sollten die Institute und Zahlungsinstitute geeignete Korrektur- oder Abhilfemaßnahmen ergreifen."

Die Prevalent-Lösung umfasst bidirektionale Arbeitsabläufe und gemeinsame Kommunikationsmechanismen zur Verfolgung der Ergebnisse und zur Behebung von Problemen.

SP 800-53 r5 Kontrolle des Risikomanagements der Lieferkette (SR)

Die folgende Tabelle enthält einen Auszug aus der SP 800-53 r5 Supply Chain Risk Management Kontrolle und zeigt, wie die Prevalent Plattform die Anforderungen erfüllt. Für eine vollständige Zuordnung laden Sie bitte die vollständige NIST-Anleitung herunter.

SP 800-53 r5 Kontrolle des Risikomanagements der Lieferkette (SR)	Wie wir helfen
SR-1 Politik und Verfahren	Prevalent Program Design Services definieren und dokumentieren Ihr Risikomanagementprogramm für Dritte. Sie erhalten einen klaren Plan, der Ihre spezifischen Bedürfnisse berücksichtigt und gleichzeitig die besten Praktiken für ein durchgängiges TPRM einbezieht.
SR-2 Risikomanagementplan für die Lieferkette	Die Prevalent Program Optimization Services helfen Ihnen dabei, Ihre Prevalent-Plattform kontinuierlich zu verbessern, um sicherzustellen, dass Ihr TPRM-Programm die Flexibilität und Agilität behält, die es braucht, um die sich entwickelnden geschäftlichen und gesetzlichen Anforderungen zu erfüllen.
SR-3 Lieferkettenkontrollen und -prozesse	Prevalent Program Design Services definieren und dokumentieren Ihr Risikomanagementprogramm für Dritte. Sie erhalten einen klaren Plan, der Ihre spezifischen Bedürfnisse berücksichtigt und gleichzeitig die besten Praktiken für ein durchgängiges TPRM einbezieht.
SR-5 Beschaffungsstrategien, -werkzeuge und -methoden	Prevalent unterstützt Beschaffungsteams bei der Reduzierung von Kosten, Komplexität und Risiken bei der Lieferantenauswahl. Unsere RFx Essentials-Lösung ermöglicht die zentrale Verteilung, den Vergleich und die Verwaltung von RFPs und RFIs. Sie hilft Ihnen auch, potenziellen Lieferantenrisiken mit demografischen, 4-Parteien- und ESG-Bewertungen zuvorzukommen - plus optionalen Einblicken in Geschäfts-, Reputations- und Finanzrisiken. Auf diese Weise können Sie einen wichtigen ersten Schritt zur Bewältigung von Risiken im Lebenszyklus von Drittanbietern machen. Sobald die Lieferantenauswahl abgeschlossen ist, zentralisiert Prevalent Contract Essentials die Verteilung, Diskussion, Aufbewahrung und Überprüfung von Lieferantenverträgen. Es umfasst auch Workflow-Funktionen zur Automatisierung des Vertragslebenszyklus vom Onboarding bis zum Offboarding. Mit Contract Essentials verfügen Beschaffungs- und Rechtsteams über eine einzige Lösung zur Verwaltung von Lieferantenverträgen, zur Vereinfachung der Verwaltung und Prüfung sowie zur Reduzierung von Kosten und Risiken.
SR-6 Lieferantenbeurteilungen und -überprüfungen	Die Prevalent-Plattform umfasst mehr als 600 standardisierte Vorlagen für Risikobewertungen - darunter für NIST, ISO und viele andere -, einen Assistenten für die Erstellung benutzerdefinierter Umfragen und einen Fragebogen, der die Antworten auf alle Compliance-Vorschriften oder -Rahmenwerke abbildet. Alle Bewertungen basieren auf Industriestandards und befassen sich mit allen Themen der Informationssicherheit, die sich auf die Sicherheitskontrollen der Partner in der Lieferkette und die Ausfallsicherheit des Unternehmens beziehen. Prevalent Vendor Threat Monitor verfolgt und analysiert kontinuierlich extern beobachtbare Bedrohungen für Anbieter und andere Drittparteien. Der Service ergänzt und validiert die von den Anbietern gemeldeten Sicherheitskontrolldaten der Prevalent-Plattform, indem er das Internet und das Dark Web auf Cyber-Bedrohungen und Schwachstellen überwacht und die Bewertungsergebnisse mit Untersuchungen zu betrieblichen, finanziellen, rechtlichen und Markenrisiken in einem einheitlichen Risikoregister korreliert, das eine zentrale Risikostrukturierung und Reaktion ermöglicht.
SR-8 Notifizierungsvereinbarungen	Mit der Prevalent-Plattform können Sie gemeinsam an Dokumenten, Vereinbarungen und Zertifizierungen wie NDAs, SLAs, SOWs und Verträgen arbeiten, mit integrierter Versionskontrolle, Aufgabenzuweisung und automatischen Überprüfungsabläufen. Außerdem können Sie alle Dokumente über den gesamten Lebenszyklus des Lieferanten in zentralisierten Lieferantenprofilen verwalten.
SR-13 Lieferanteninventar	Prevalent bietet einenFragebogen zur Bewertung inhärenter Risikenmit einer klaren Bewertung auf der Grundlage von acht Kriterien, um Risiken für alle Dritten zu erfassen, zu verfolgen und zu quantifizieren. Zu den Bewertungskriterien gehören: Art des für die Validierung der Kontrollen erforderlichen Inhalts Kritische Bedeutung für die Unternehmensleistung und den Betrieb Standort(e) und damit verbundene rechtliche oder regulatorische Erwägungen Grad der Abhängigkeit von vierten Parteien (zur Vermeidung von Konzentrationsrisiken) Erfahrung mit operativen oder kundenorientierten Prozessen Interaktion mit geschützten Daten Finanzieller Status und Gesundheit Reputation Mithilfe der inhärenten Risikobewertung können Sie Lieferanten automatisch in eine bestimmte Kategorie einordnen, geeignete Stufen für weitere Prüfungen festlegen und den Umfang nachfolgender, regelmäßiger Prüfungen bestimmen. Die regelbasierte Tiering-Logik ermöglicht die Kategorisierung von Lieferanten auf der Grundlage einer Reihe von Überlegungen zur Dateninteraktion sowie zu finanziellen, regulatorischen und Reputationsaspekten.

Lösungen für die Industrie

Die EBA und das Risikomanagement von Drittanbietern

Relevante Anforderungen

Erfüllung der TPRM-Leitlinien der EBA

SP 800-53 r5 Kontrolle des Risikomanagements der Lieferkette (SR)