Bank of England Prudential Regulation Authority SS2/21 Compliance

2 Definitionen und Anwendungsbereich

2.8 "In Übereinstimmung mit den Erwartungen in Kapitel 4 dieses SS können Firmen eine ganzheitliche, einzige Risikomanagementpolitik für Dritte einführen, die Outsourcing- und Nicht-Outsourcing-Vereinbarungen mit Dritten abdeckt. Alternativ können sie für jeden dieser Bereiche eine eigene Politik haben, vorausgesetzt, sie sind aufeinander abgestimmt, konsistent, wirksam und angemessen risikobasiert."

Die Prevalent Third-Party Risk Management Platform vereinfacht die Verwaltung von Drittanbietern und ermöglicht es Unternehmen, die kritischen Aufgaben zu vereinheitlichen und zu automatisieren, die für die Identifizierung, Bewertung, Verwaltung, kontinuierliche Überwachung und Behebung von Sicherheits-, Datenschutz-, Compliance- und Betriebsrisiken von Drittanbietern in jeder Phase des Anbieterlebenszyklus erforderlich sind. Die Lösung bietet:

• Profilierung, Einstufung und Bewertung des inhärenten und verbleibenden Risikos auf der Grundlage umfassender Kriterien, um wesentliche und unwesentliche Outsourcing-Drittparteien zu identifizieren
• Mehr als 100 standardisierte Vorlagen und benutzerdefinierte Risikobewertungen, die auf materielle und nicht-materielle Dritte abgestimmt sind, mit integriertem Workflow-, Aufgaben- und Beweismanagement
• Sanierungsmanagement mit eingebauter Anleitung zum Handeln bei erkannten Risiken durch wesentliche Outsourcing-Drittparteien
• Compliance- und Risikoberichterstattung nach Rahmen oder Vorschriften zur Vereinfachung des Prüfungsverfahrens

Die Prevalent-Plattform enthält eine Bibliothek mit mehr als 100 Fragebogenvorlagen, die eine Vielzahl von IKT-Sicherheitsrahmenwerken abdecken, darunter Cyber Essentials, ISO 27001, NIST 800-53, GDPR und viele andere.

3 Verhältnismäßigkeit

3.6 "Je nach dem Grad der Kontrolle und des Einflusses, den ein Unternehmen bei konzerninternen Auslagerungsvereinbarungen ausübt, kann es zum Beispiel:

• Die Unternehmen sollten dennoch sorgfältig prüfen, ob ein potenzieller Dienstleister, der zu ihrer Gruppe gehört, über die Fähigkeit, die Kapazität, die Ressourcen und die geeignete Organisationsstruktur verfügt, um die Ausführung der ausgelagerten Funktion oder der Dienstleistung eines Dritten zu unterstützen;
• ..."

Die TPRM-Plattform von Prevalent ermöglicht es den Sicherheits- und Risikomanagementteams, die Lieferanten automatisch nach ihren inhärenten Risikowerten einzustufen. Die Ergebnisse können genutzt werden, um angemessene Stufen für weitere Due-Diligence-Prüfungen festzulegen und den Umfang der laufenden Bewertungen zu bestimmen.

3.7 "Gegebenenfalls können die Unternehmen die Einhaltung bestehender Anforderungen in anderen Regulierungsbereichen nutzen, um ihren regulatorischen Verpflichtungen in Bezug auf ihre konzerninternen Outsourcing-Vereinbarungen nachzukommen."

• Die Unternehmen sollten dennoch sorgfältig prüfen, ob ein potenzieller Dienstleister, der zu ihrer Gruppe gehört, über die Fähigkeit, die Kapazität, die Ressourcen und die geeignete Organisationsstruktur verfügt, um die Ausführung der ausgelagerten Funktion oder der Dienstleistung eines Dritten zu unterstützen;
• ..."

Die Prevalent-Plattform ordnet die aus kontrollbasierten Bewertungen gewonnenen Informationen automatisch regulatorischen Rahmenwerken wie ISO 27001, GDPR und Dutzenden anderen zu. So können Sie wichtige Compliance-Anforderungen schnell visualisieren und adressieren und Audit-Prozesse vereinfachen.

Kunden können sich auch für das Prevalent Compliance Framework (PCF) entscheiden, eine einzige, umfassende Bewertung, die es Sicherheits- und Risikomanagementteams ermöglicht, Antworten auf verschiedene gesetzliche Anforderungen zu finden.

5 Vor-Outsourcing-Phase

5.8 "Die Unternehmen sind dafür verantwortlich, die Wesentlichkeit ihrer Outsourcing- und Drittparteivereinbarungen zu bewerten. Die Wesentlichkeit kann sich während der Laufzeit einer Vereinbarung ändern und sollte daher (erneut) bewertet werden:

• vor der Unterzeichnung der schriftlichen Vereinbarung;
• in angemessenen Abständen, z. B. während der geplanten Überprüfungszeiträume;
• wenn ein Unternehmen plant, die Inanspruchnahme des Dienstes oder die Abhängigkeit von dem Dienstleister zu erhöhen; und/oder
• wenn eine wesentliche organisatorische Änderung beim Dienstleister oder einem wesentlichen ausgelagerten Dienstleister eintritt, die Art, Umfang und Komplexität der mit der Auslagerungsvereinbarung verbundenen Risiken wesentlich verändern könnte, einschließlich einer wesentlichen Änderung der Eigentumsverhältnisse oder der Finanzlage des Dienstleisters."

Die Prevalent-Plattform ermöglicht es Unternehmen, Risiken in allen Phasen des Lebenszyklus von Drittanbietern zu bewerten, zu überwachen und zu beheben. Zu den wichtigsten Funktionen gehören:

• Ausschreibungsmanagement, das Unternehmen in die Lage versetzt, Entscheidungen über die Auswahl von Lieferanten zu automatisieren und mit Risikoinformationen zu versehen
• Verwaltung des Lebenszyklus von Verträgen, Automatisierung zur Verbesserung der Vertragserfahrungen von Lieferanten und kontinuierliche SLA-Überwachung
• Die größte Bibliothek mit standardisierten und benutzerdefinierten Risikobewertungen mit integriertem Workflow, Aufgaben und Beweismittelmanagement für regelmäßige Risikobewertungen
• Native Überwachung von Cyber-, Sicherheitsverletzungs-, Geschäfts-, Reputations- und Finanzrisiken, um die Risiken der Anbieter zwischen den jährlichen Bewertungen kontinuierlich zu bewerten und die Ergebnisse mit den Bewertungsergebnissen abzugleichen, um festzustellen, ob weitere Untersuchungen erforderlich sind

5.10 "Die Unternehmen sollten ihre eigenen Verfahren zur Bewertung der Wesentlichkeit als Teil ihrer Risikomanagementpolitik für Auslagerungen oder Dritte entwickeln (siehe Kapitel 4)."

Die Prevalent-Plattform automatisiert die Identifizierung, Bewertung, Analyse, laufende Überwachung und Behebung von Risiken Dritter in jeder Phase des Lebenszyklus eines Anbieters - von der Auswahl bis zum Offboarding. Die Plattform umfasst eine umfangreiche Bibliothek von Bewertungsvorlagen, einschließlich solcher zur Bestimmung der Wesentlichkeit einer Drittanbietervereinbarung und der damit verbundenen Risiken.

5.11 "Im Einklang mit der Definition des Begriffs "wesentliche Auslagerung" im PRA-Regelwerk und gegebenenfalls den Kriterien im EBA-Leitfaden für die Auslagerung sollte ein Unternehmen eine Auslagerungs- oder Drittparteivereinbarung im Allgemeinen als wesentlich betrachten, wenn ein Fehler oder ein Versagen bei der Durchführung die finanzielle Stabilität des Vereinigten Königreichs oder der Unternehmen wesentlich beeinträchtigen könnte;

• die Fähigkeit, die Schwellenwertbedingungen zu erfüllen;
• die Einhaltung der Grundregeln;
• Anforderungen gemäß den "einschlägigen Rechtsvorschriften" und dem PRA-Regelwerk;36
• Sicherheit und Solidität, einschließlich ihrer:
  finanzielle Widerstandsfähigkeit, d.h. Vermögenswerte, Kapital, Finanzierung und Liquidität; oder operative Widerstandsfähigkeit, d.h. die Fähigkeit, weiterhin wichtige Geschäftsdienstleistungen zu erbringen;
• nur für Versicherer: die Fähigkeit, ein angemessenes Maß an Schutz für diejenigen zu bieten, die Versicherungsnehmer sind oder werden könnten, in Übereinstimmung mit den gesetzlichen Zielen der PRA; und
  das Erfordernis, den "kontinuierlichen und zufriedenstellenden Service für die Versicherungsnehmer" in Übereinstimmung mit den Geschäftsbedingungen 7.2 nicht zu untergraben.
• OCIR und ggf. Auflösbarkeit".

Die Prevalent TPRM-Plattform automatisiert die Bewertung, kontinuierliche Überwachung, Analyse und Behebung der Ausfallsicherheit und Kontinuität von ausgelagerten und nicht ausgelagerten Drittunternehmen - und ordnet die Ergebnisse automatisch NIST-, ISO- und anderen Kontrollrahmen zu, um die Konformität nachzuweisen.

Zur Ergänzung von Bewertungen der Belastbarkeit von Unternehmen und zur Validierung der Ergebnisse wird Prevalent:

• Automatisiert die kontinuierliche Cyber-Überwachung, um mögliche Auswirkungen auf das Geschäft Dritter vorherzusagen
• Zugriff auf qualitative Erkenntnisse aus über 550.000 öffentlichen und privaten Quellen von Reputationsinformationen, die auf eine Instabilität des Anbieters hinweisen könnten
• Nutzt Finanzinformationen aus einem globalen Netzwerk von 2 Millionen Unternehmen, um die finanzielle Gesundheit oder betriebliche Probleme von Anbietern zu erkennen

5.12 "Die PRA erwartet auch, dass die Unternehmen eine Auslagerungsvereinbarung als wesentlich einstufen, wenn die ausgelagerte Dienstleistung ein:

• die gesamte "regulierte Tätigkeit", z. B. die Portfolioverwaltung; oder
• interne Kontrolle' oder 'Schlüsselfunktion', es sei denn, die Firma ist überzeugt, dass ein Mangel oder ein Versagen in der Ausführung die betreffende Funktion nicht beeinträchtigen würde."

Prevalent ermöglicht es Unternehmen, Dritte auf der Grundlage mehrerer Kriterien zu klassifizieren, darunter:

• Art des für die Validierung der Kontrollen erforderlichen Inhalts
• Kritische Bedeutung für die Unternehmensleistung
• Standort(e) und damit verbundene rechtliche oder regulatorische Erwägungen
• Grad der Abhängigkeit von vierten Parteien
• Erfahrung mit operativen oder kundenorientierten Prozessen
• Interaktion mit geschützten Daten
• Finanzieller Status und Auswirkungen
• Reputation

Ein effektiver Einstufungs- und Kategorisierungsprozess ermöglicht es Unternehmen, Drittparteien nach ihrer Kritikalität für den Geschäftsbetrieb zu bewerten und gleichzeitig Informationen für weitere Due-Diligence-Bemühungen zu erhalten.

5.12 "Die PRA erwartet auch, dass die Unternehmen eine Auslagerungsvereinbarung als wesentlich einstufen, wenn die ausgelagerte Dienstleistung ein:

• die gesamte "regulierte Tätigkeit", z. B. die Portfolioverwaltung; oder
• interne Kontrolle' oder 'Schlüsselfunktion', es sei denn, die Firma ist überzeugt, dass ein Mangel oder ein Versagen in der Ausführung die betreffende Funktion nicht beeinträchtigen würde."

Prevalent ermöglicht es Unternehmen, Dritte auf der Grundlage mehrerer Kriterien zu klassifizieren, darunter:

• Art des für die Validierung der Kontrollen erforderlichen Inhalts
• Kritische Bedeutung für die Unternehmensleistung
• Standort(e) und damit verbundene rechtliche oder regulatorische Erwägungen
• Grad der Abhängigkeit von vierten Parteien
• Erfahrung mit operativen oder kundenorientierten Prozessen
• Interaktion mit geschützten Daten
• Finanzieller Status und Auswirkungen
• Reputation

Ein effektiver Einstufungs- und Kategorisierungsprozess ermöglicht es Unternehmen, Drittparteien nach ihrer Kritikalität für den Geschäftsbetrieb zu bewerten und gleichzeitig Informationen für weitere Due-Diligence-Bemühungen zu erhalten.

5.13 "Die PRA erwartet von den Unternehmen, dass sie bei der Beurteilung der Wesentlichkeit einer Auslagerungs- oder Drittparteivereinbarung, die nicht anderweitig durch die Absätze 5.8 und 5.9 abgedeckt ist, alle anwendbaren Kriterien der nachstehenden Tabelle 5 sowohl einzeln als auch in Verbindung miteinander berücksichtigen. Obwohl in der Praxis viele wesentliche Auslagerungs- und Drittparteivereinbarungen IKT-Produkte oder -Dienstleistungen (z. B. Cloud) beinhalten, macht das Vorhandensein eines bestimmten IKT-Produkts oder einer IKT-Dienstleistung an sich eine Auslagerungsvereinbarung nicht automatisch wesentlich.

Wiederhergestellt aus Tabelle 5:

Direkter Zusammenhang mit der Ausübung einer reglementierten Tätigkeit.

Größe und Komplexität des/der relevanten Geschäftsbereichs/-bereiche oder Funktion(en).

Die möglichen Auswirkungen einer Störung, eines Versagens oder einer unzureichenden Leistung auf das Unternehmen:

• Geschäftskontinuität, operative Belastbarkeit und operative Risiken, einschließlich Verhaltensrisiken, IKT-Risiken, rechtliche Risiken und Reputationsrisiken.
• Fähigkeit zur Einhaltung der gesetzlichen und behördlichen Vorschriften, zur Durchführung angemessener Prüfungen der betreffenden Funktion, Dienstleistung oder des Dienstleistungsanbieters sowie zur Ermittlung, Überwachung und Steuerung aller Risiken
• Verpflichtungen gemäß dem PRA Rulebook;
  den Schutz von Daten und die potenziellen Auswirkungen einer Verletzung der Vertraulichkeit oder eines Versäumnisses, die Verfügbarkeit und Integrität von Daten des Instituts oder Zahlungsinstituts und seiner Kunden zu gewährleisten, einschließlich, aber nicht beschränkt auf GDPR und den Data Protection Act 2018
• Gegenparteien, Kunden oder Versicherungsnehmer.
• Frühzeitiges Eingreifen, Sanierungs- und Abwicklungsplanung, OCIR und Abwicklungsfähigkeit.

Die Fähigkeit des Unternehmens, den ausgelagerten Dienst zu erweitern.

Fähigkeit, den Dienstleister zu ersetzen oder den ausgelagerten Dienst wieder ins Haus zu holen, einschließlich der geschätzten Kosten, der betrieblichen Auswirkungen, der Risiken und des Zeitrahmens eines Ausstiegs in Stress- und Nicht-Stress-Szenarien".

Die Prevalent-Plattform beinhaltet eine umfassende Bewertung der Widerstandsfähigkeit von Unternehmen auf der Grundlage der ISO 22301-Standardverfahren. Dies ermöglicht es Organisationen,:

• Kategorisierung der Lieferanten nach ihrem Risikoprofil und ihrer Wichtigkeit für das Unternehmen
• Umriss der Wiederherstellungspunktziele (RPOs) und der Wiederherstellungszeitziele (RTOs)
• Zentralisierung von Systeminventar, Risikobewertungen, RACI-Diagrammen und Profilen von Drittunternehmen
• Sicherstellung einer konsistenten Kommunikation mit den Lieferanten bei Betriebsunterbrechungen

5.18 "Die PRA erwartet von den Firmen, dass sie eine angemessene Due-Diligence-Prüfung des potenziellen Dienstleistungsanbieters durchführen, bevor sie eine Outsourcing-Vereinbarung eingehen, und dass sie eine geeignete Alternative oder einen Backup-Anbieter ermitteln, sofern verfügbar. Stehen keine alternativen oder Backup-Anbieter für eine wesentliche Auslagerungsvereinbarung zur Verfügung, sollten die Firmen alternative Vorkehrungen für die Geschäftskontinuität, Notfallplanung und Notfallwiederherstellung in Betracht ziehen, um sicherzustellen, dass sie im Falle einer wesentlichen Störung bei dem von ihnen gewählten Dienstleister weiterhin wichtige Geschäfte innerhalb ihrer Auswirkungstoleranz erbringen können (siehe Kapitel 10)."

Prevalent RFx Essentials zentralisiert und automatisiert die Verteilung, den Vergleich und die Verwaltung von Anfragen für Angebote (RFPs) und Anfragen für Informationen (RFIs). RFx Essentials erleichtert den Beschaffungsteams nicht nur die Auswahl von Lösungen und Anbietern, die den Funktions- und Risikoanforderungen des Unternehmens entsprechen, sondern ist auch ein wichtiger erster Schritt im Risikomanagement während des gesamten Lebenszyklus von Drittanbietern.
Vor der Auswahl des Anbieters ermöglicht Prevalent den Teams den Vergleich und die Überwachung der demografischen Daten des Anbieters, der Technologien von Drittanbietern, der ESG-Bewertungen, der jüngsten Geschäfts- und Reputationseinblicke, der Geschichte der Datenverletzungen und der finanziellen Leistung.

Unternehmen können auch die Prevalent Vendor Intelligence Networks nutzen, bei denen es sich um On-Demand-Bibliotheken mit Tausenden von Risikoberichten von Anbietern handelt, die sich auf Sicherheits-, Datenschutz-, Business-Resilience- und Betriebsrisiken beziehen. Die Prevalent Vendor Networks werden laufend aktualisiert und mit entsprechenden Nachweisen versehen.

5.19 "Im Falle einer wesentlichen Auslagerung erwartet die PRA, dass die Unternehmen bei ihrer Due-Diligence-Prüfung die potenziellen Anbieter berücksichtigen:

• Geschäftsmodell, Komplexität, Finanzlage, Art, Eigentümerstruktur und Umfang;
• Fähigkeiten, Fachwissen und Ansehen;
• finanzielle, personelle und technische Ressourcen;
• IKT-Kontrollen und Sicherheit; und
• ggf. ausgelagerte Dienstleister, die an der Erbringung wichtiger Unternehmensdienstleistungen oder Teilen davon beteiligt sind".

5.20 "Bei der Due-Diligence-Prüfung sollte auch berücksichtigt werden, ob potenzielle Dienstleister:

• über die für die Erbringung der Dienstleistung erforderlichen Genehmigungen oder Zulassungen verfügen;
• die GDPR, das Datenschutzgesetz und andere geltende rechtliche und regulatorische Anforderungen zum Datenschutz einhalten;
• die zertifizierte Einhaltung anerkannter, einschlägiger Industrienormen nachweisen kann;
• gegebenenfalls und auf Anfrage einschlägige Bescheinigungen und Unterlagen (z. B. Datenwörterbücher) vorlegen kann; und
• über die Fähigkeit und Kapazität verfügen, die von der Firma benötigte Dienstleistung in einer Weise zu erbringen, die den britischen Rechtsvorschriften entspricht (auch im Falle eines plötzlichen Anstiegs der Nachfrage nach der betreffenden Dienstleistung, z. B. infolge einer Umstellung auf Fernarbeit während einer Pandemie). Eine 'allgemeine' Erfolgsbilanz früherer Leistungen reicht als Nachweis allein nicht aus.

Die Prevalent-Plattform enthält mehr als 100 vordefinierte Bewertungsvorlagen, darunter standardisierte Fragebögen zur Risikobewertung von Informationssicherheitsanbietern sowie zu den Themen Business Resilience, GDPR, FCA, ISO 27001, moderne Sklaverei, Korruptionsbekämpfung, Gesundheit und Sicherheit, finanzielle Leistung, Management und Ethik und mehr.

Prevalent Vendor Threat Monitor verfolgt und analysiert kontinuierlich externe Bedrohungen für Dritte. Die Lösung überwacht das Internet und das Dark Web auf Cyber-Bedrohungen und Schwachstellen sowie öffentliche und private Quellen für Reputations-, Sanktions- und Finanzinformationen.

Prevalent verwaltet zentralisierte Lieferantenprofile, die Demografien, Erklärungen zur modernen Sklaverei, ESG-Bewertungen und zugeordnete vierte Parteien vereinen.

Prevalent integriert und korreliert kontinuierliche Überwachungs- und Profilerkenntnisse mit den Bewertungsergebnissen, um eine zentrale Stelle für die Anzeige und das Handeln in Bezug auf Risiken zu schaffen.

5.21 "In Übereinstimmung mit Risikokontrolle 3.4(2) und Risikomanagement 3.1 sollten die Firmen in angemessener Weise die potenziellen Risiken aller Vereinbarungen mit Dritten, einschließlich Outsourcing-Vereinbarungen, unabhängig von ihrer Wesentlichkeit bewerten. Als Teil der Risikobewertung erwartet die PRA, dass die Firmen Folgendes berücksichtigen:

• operationelle Risiken auf der Grundlage einer Analyse schwerwiegender, aber plausibler Szenarien, z. B. einer Verletzung oder eines Ausfalls, der die Vertraulichkeit und Integrität sensibler Daten und/oder die Verfügbarkeit von Diensten beeinträchtigt (siehe Kapitel 10); und
• finanzielle Risiken, einschließlich der potenziellen Notwendigkeit für die Firma, einen wesentlichen ausgelagerten oder unterausgelagerten Dienstleister in Notlage finanziell zu unterstützen oder dessen Geschäft zu übernehmen, auch als Folge eines wirtschaftlichen Abschwungs ('step-in'-Risiko)".

Der Prevalent Third-Party Incident Response Service versetzt Teams in die Lage, die Auswirkungen von Verstößen bei Drittanbietern schnell zu erkennen und zu mindern, indem sie Anbieter zentral verwalten, Ereignisbewertungen durchführen, identifizierte Risiken bewerten und auf Anleitungen zur Abhilfe zugreifen.

Kunden können auch auf eine Datenbank zugreifen, die mehr als 10 Jahre Datenverletzungen für Tausende von Unternehmen auf der ganzen Welt enthält. Die Datenbank enthält die Art und Menge der gestohlenen Daten, die Einhaltung von Vorschriften und gesetzlichen Bestimmungen sowie Echtzeit-Benachrichtigungen über Datenschutzverletzungen durch Anbieter. In Kombination mit der kontinuierlichen Cyber-Überwachung bietet sie Unternehmen einen umfassenden Überblick über externe Informationssicherheitsrisiken, die sich auf den Betrieb auswirken können.

Prevalent greift auf Finanzinformationen aus einem globalen Netzwerk von 2 Millionen Unternehmen zurück. Dies umfasst 5 Jahre organisatorischer Veränderungen und finanzieller Leistung, wie Umsatz, Gewinn und Verlust, Aktionärsvermögen und andere Daten, die für die Bewertung der Gesundheit und Lebensfähigkeit von Unternehmen nützlich sind.

5.22 "Die PRA erwartet von den Firmen, dass sie unter den in Absatz 5.6 genannten Umständen Risikobewertungen durchführen und auch dann, wenn sie der Ansicht sind, dass sich die Risiken einer Auslagerungsvereinbarung erheblich verändert haben, beispielsweise aufgrund eines schwerwiegenden Verstoßes/fortgesetzter Verstöße gegen die Vereinbarung oder eines kristallisierten Risikos."

Prevalent verfolgt und analysiert kontinuierlich externe Bedrohungen für Dritte. Die Lösung überwacht das Internet und das Dark Web auf Cyber-Bedrohungen und Schwachstellen sowie öffentliche und private Quellen für Reputations-, Sanktions- und Finanzinformationen.

Die Plattform bietet Zugang zu einer Datenbank, die mehr als 10 Jahre Datenverletzungen für Tausende von Unternehmen in aller Welt enthält. Die Datenbank enthält die Art und Menge der gestohlenen Daten, die Einhaltung von Vorschriften und gesetzlichen Bestimmungen sowie Echtzeit-Benachrichtigungen über Datenschutzverletzungen durch Anbieter.

Diese Funktionen helfen dabei, Lücken zwischen den regelmäßigen Risikobewertungen durch Dritte zu schließen, wobei die Ergebnisse automatische Aktionen wie zusätzliche Bewertungen und Abhilfemaßnahmen auslösen.

5.23 "Die Risikobewertung einer Firma sollte alle Risiken, die durch die Auslagerungsvereinbarung entstehen oder sich erhöhen können, gegen die Risiken abwägen, die dadurch verringert werden können oder die Firma in die Lage versetzen, effektiver mit ihnen umzugehen (z.B. die Widerstandsfähigkeit der Firma gegenüber Störungen). Die Bewertung sollte auch bestehende oder geplante Risikominderungsmaßnahmen berücksichtigen, z.B. Verfahren und Schulungen für das Personal."

Die Prevalent-Plattform enthält integrierte Empfehlungen für Abhilfemaßnahmen, um die Risikominderung mit Dritten zu beschleunigen. Unternehmen können die Plattform nutzen, um mit Anbietern zu kommunizieren und Abhilfemaßnahmen zu koordinieren sowie Gespräche zu erfassen und zu prüfen, geschätzte Fertigstellungstermine aufzuzeichnen, einzelne Bewertungsantworten zu akzeptieren oder abzulehnen, Aufgaben auf der Grundlage von Risiken, Dokumenten oder Unternehmen zuzuweisen und Dokumentation und Nachweise mit Risiken abzugleichen.

5.24 "Die PRA erwartet von Firmen und Gruppen, dass sie ihre Abhängigkeit von Dritten regelmäßig (neu) bewerten und angemessene Maßnahmen ergreifen, um ihre Abhängigkeit von Dritten insgesamt zu steuern; und
Konzentrationsrisiken oder Lieferantenbindung in der Firma oder Gruppe aufgrund von:

• mehrere Vereinbarungen mit denselben oder eng miteinander verbundenen Dienstleistern;
• Abhängigkeiten in der vierten Partei/Lieferkette, z. B. wenn mehrere ansonsten unverbundene Dienstleister bei der Erbringung ihrer Dienstleistungen von ein und demselben Unterauftragnehmer abhängig sind;
• Vereinbarungen mit Dienstleistern, die nur schwer oder gar nicht zu ersetzen sind; und/oder
• Konzentration von Outsourcing und anderen Abhängigkeiten von Dritten an einem nahe gelegenen geografischen Ort, z. B. in einem Land. Diese Art der Konzentration kann auch dann auftreten, wenn ein Unternehmen mehrere, nicht miteinander verbundene Drittdienstleister einsetzt, z. B. ein Zentrum für die Auslagerung von Geschäftsprozessen oder Offshoring.

Prevalent mindert Konzentrationsrisiken durch die Identifizierung von Beziehungen zu Drittanbietern mittels einer nativen Identifikationsbewertung oder durch passives Scannen der öffentlichen Infrastruktur des Drittanbieters. Die daraus resultierende Beziehungskarte zeigt Informationspfade und Abhängigkeiten auf, die Wege in eine Umgebung öffnen könnten.

Lieferanten, die durch diesen Prozess entdeckt werden, werden überwacht, um Finanz-, ESG-, Cyber-, Geschäfts- und Datenverletzungsrisiken zu identifizieren sowie auf Sanktionen/PEP zu prüfen.

6 Outsourcing-Vereinbarungen

6.3 "Die Unternehmen sollten sicherstellen, dass schriftliche Vereinbarungen für nicht wesentliche Auslagerungsvereinbarungen angemessene vertragliche Schutzvorkehrungen zur Steuerung und Überwachung der einschlägigen Risiken enthalten. Darüber hinaus sollten die Firmen unabhängig von der Wesentlichkeit sicherstellen, dass die Auslagerungsvereinbarungen die Fähigkeit der PRA, die Firma oder die ausgelagerte Tätigkeit, Funktion oder Dienstleistung wirksam zu beaufsichtigen, nicht behindern oder einschränken."

Prevalent Contract Essentials zentralisiert die Verteilung, Diskussion, Aufbewahrung und Überprüfung von Lieferantenverträgen. Es umfasst auch Workflow-Funktionen zur Automatisierung des Vertragslebenszyklus von der Aufnahme bis zur Beendigung der Zusammenarbeit.

Mit Contract Essentials können Unternehmen alle Verträge und Vertragsattribute, die sich auf die Servicequalität auswirken können, zentral nachverfolgen und so vertragliche Sicherheitsvorkehrungen effektiv durchsetzen.

6.3 "Die Unternehmen sollten sicherstellen, dass schriftliche Vereinbarungen für nicht wesentliche Auslagerungsvereinbarungen angemessene vertragliche Schutzvorkehrungen zur Steuerung und Überwachung der einschlägigen Risiken enthalten. Darüber hinaus sollten die Firmen unabhängig von der Wesentlichkeit sicherstellen, dass die Auslagerungsvereinbarungen die Fähigkeit der PRA, die Firma oder die ausgelagerte Tätigkeit, Funktion oder Dienstleistung wirksam zu beaufsichtigen, nicht behindern oder einschränken."

Prevalent Contract Essentials zentralisiert die Verteilung, Diskussion, Aufbewahrung und Überprüfung von Lieferantenverträgen. Es umfasst auch Workflow-Funktionen zur Automatisierung des Vertragslebenszyklus von der Aufnahme bis zur Beendigung der Zusammenarbeit.

Mit Contract Essentials können Unternehmen alle Verträge und Vertragsattribute, die sich auf die Servicequalität auswirken können, zentral nachverfolgen und so vertragliche Sicherheitsvorkehrungen effektiv durchsetzen.

7 Datensicherheit

Prevalent bietet eine einheitliche, kollaborative Plattform für die Durchführung von Datenschutzbewertungen und die Minderung von Datenschutzrisiken sowohl für Dritte als auch für Unternehmen. Zu den wichtigsten Funktionen für die Bewertung von Datensicherheit und Datenschutz gehören:

• Planmäßige Bewertungen und Beziehungsanalysen, um aufzuzeigen, wo personenbezogene Daten vorhanden sind, wo sie gemeinsam genutzt werden und wer Zugang zu ihnen hat - alles zusammengefasst in einem Risikoregister, das kritische Risiken aufzeigt.
• Datenschutz-Folgenabschätzungen, um gefährdete Geschäftsdaten und persönlich identifizierbare Informationen (PII) aufzudecken - so können Sie den Ursprung, die Art und den Schweregrad des Risikos analysieren und erhalten eine Anleitung zur Abhilfe.
• Bewertungen von Anbietern im Hinblick auf die DSGVO und andere Datenschutzvorschriften über das Prevalent Compliance Framework (PCF) - damit können Sie potenzielle Gefahrenherde aufdecken, indem Sie identifizierte Risiken spezifischen Kontrollen zuordnen.
• Zuordnung von GDPR-Risiken und -Reaktionen zu Kontrollen - mit prozentualen Konformitätsbewertungen und Stakeholder-spezifischen Berichten.
• Eine Datenbank mit mehr als 10 Jahren Datenverletzungshistorie für Tausende von Unternehmen auf der ganzen Welt. Enthält Art und Menge der gestohlenen Daten, Probleme mit der Einhaltung von Vorschriften und Bestimmungen sowie Echtzeit-Benachrichtigungen über Datenschutzverletzungen durch Anbieter.
• Zentralisiertes Onboarding, Verteilung, Diskussion, Aufbewahrung und Überprüfung von Lieferantenverträgen. Dadurch wird sichergestellt, dass die Datenschutzbestimmungen von Beginn der Geschäftsbeziehung an durchgesetzt werden.

8 Zugangs-, Prüfungs- und Informationsrechte

8.7 "Die Unternehmen können eine Reihe von Prüfungs- und anderen Informationserhebungsmethoden anwenden, darunter:

• Offsite-Audits, wie Bescheinigungen und andere unabhängige Berichte von Dienstleistern; und
• Vor-Ort-Prüfungen, entweder einzeln oder in Zusammenarbeit mit anderen Unternehmen (Sammelprüfungen)".

Der Prevalent Controls Validation Service prüft die Antworten von Drittanbietern und die Dokumentation anhand etablierter Testprotokolle, um zu validieren, dass die angegebenen Kontrollen vorhanden sind.

Die Experten von Prevalent überprüfen zunächst die Antworten auf die Bewertungen, unabhängig davon, ob es sich um benutzerdefinierte oder standardisierte Fragebögen handelt. Anschließend ordnen wir die Antworten SIG, SCA, ISO und SOC II zu,

AITECH und/oder andere Kontrollrahmen. Schließlich arbeiten wir mit Ihnen zusammen, um Abhilfepläne zu entwickeln und diese bis zum Abschluss zu verfolgen. Prevalent verfügt über das nötige Fachwissen, um Sie bei der Risikominderung mit Ihren vorhandenen Ressourcen zu unterstützen, und bietet Optionen für den Einsatz vor Ort oder per Fernzugriff.

8.9 "Die von den Dienstleistern vorgelegten Zertifikate und Berichte können den Firmen dabei helfen, Sicherheit über die Wirksamkeit der Kontrollen des Dienstleisters zu erlangen. Bei wesentlichen Auslagerungsvereinbarungen erwartet die PRA jedoch, dass die Firmen:

• die Angemessenheit der Informationen in diesen Bescheinigungen und Berichten zu bewerten und nicht davon auszugehen, dass deren bloßes Vorhandensein oder Bereitstellung ein ausreichender Beweis dafür ist, dass die Dienstleistung in Übereinstimmung mit ihren rechtlichen, regulatorischen und Risikomanagement-Verpflichtungen erbracht wird; und
• sicherstellen, dass die Zertifikate und Auditberichte den Erwartungen in Tabelle 8 entsprechen".

Prevalent zentralisiert Zertifizierungen, Vereinbarungen, Verträge und Nachweise mit integriertem Aufgaben- und Abnahmemanagement sowie obligatorischen Upload-Funktionen.

9 Sub-Outsourcing

Prevalent identifiziert die Beziehungen zwischen vierten und n-ten Parteien durch eine systemeigene Identifikationsprüfung oder durch passives Scannen der öffentlichen Infrastruktur der dritten Partei. Die daraus resultierende Beziehungskarte zeigt Informationspfade und Abhängigkeiten auf, die Wege in eine Umgebung öffnen könnten.

Lieferanten, die durch diesen Prozess entdeckt werden, werden überwacht, um Finanz-, ESG-, Cyber-, Geschäfts- und Datenverletzungsrisiken zu identifizieren sowie auf Sanktionen/PEP zu prüfen.

10 Geschäftskontinuität und Ausstiegspläne

10.1 "Die PRA erwartet von den Unternehmen, dass sie für jede wesentliche Auslagerungsvereinbarung einen Plan zur Aufrechterhaltung des Geschäftsbetriebs sowie eine dokumentierte Ausstiegsstrategie entwickeln, beibehalten und testen, die Situationen, in denen ein Unternehmen aus einer Auslagerungsvereinbarung aussteigt, abdecken und differenzieren sollte:

• in Stresssituationen (z. B. nach dem Ausfall oder der Insolvenz des Dienstleistungsanbieters (Stress-Exit)); und
• durch einen geplanten und gesteuerten Ausstieg aus kommerziellen, leistungsbezogenen oder strategischen Gründen (non-stressed exit)".

Die Prevalent-Plattform für das Risikomanagement von Drittanbietern automatisiert die Bewertung, kontinuierliche Überwachung, Analyse und Behebung der Widerstandsfähigkeit und Kontinuität von Drittanbietern und ordnet die Ergebnisse automatisch den NIST-, ISO- und anderen Kontrollrahmen zu.
Zur Ergänzung von Business Resilience-Bewertungen und zur Validierung der Ergebnisse bietet Prevalent:

• Automatisiert die kontinuierliche Cyber-Überwachung, um mögliche Auswirkungen auf das Geschäft Dritter vorherzusagen
• Zugriff auf qualitative Erkenntnisse aus über 550.000 öffentlichen und privaten Quellen von Reputationsinformationen, die auf eine Instabilität des Anbieters hinweisen könnten
• Greift auf Finanzinformationen aus einem globalen Netzwerk von 2 Millionen Unternehmen zu, um die finanzielle Gesundheit des Verkäufers oder betriebliche Probleme zu erkennen.

Dieser proaktive Ansatz ermöglicht es Unternehmen, die Auswirkungen von Störungen durch Dritte zu minimieren und die Compliance-Anforderungen zu erfüllen.

10.3 "Die Unternehmen sollten bei wesentlichen Auslagerungsvereinbarungen angemessene Pläne zur Aufrechterhaltung des Geschäftsbetriebs umsetzen und von den Dienstleistern verlangen, dass sie diese umsetzen, um schwerwiegende, aber plausible Betriebsunterbrechungen zu antizipieren, ihnen standzuhalten, auf sie zu reagieren und sich von ihnen zu erholen."

10.9 "In Übereinstimmung mit Grundregel 7 sollten die Firmen im Falle einer Störung oder eines Notfalls (auch bei einem ausgelagerten oder dritten Dienstleister) sicherstellen, dass sie über wirksame Maßnahmen zur Krisenkommunikation verfügen. So können alle relevanten internen und externen Stakeholder, einschließlich der Bank, der PRA, der FCA, anderer internationaler Aufsichtsbehörden und ggf. der Dienstleister selbst, rechtzeitig und angemessen informiert werden."

Die Prevalent-Plattform umfasst eine umfassende Bewertung der Widerstandsfähigkeit von Unternehmen auf der Grundlage von ISO 22301-Standardverfahren, die es Unternehmen ermöglichen,:

• Kategorisierung der Lieferanten nach ihrem Risikoprofil und ihrer Wichtigkeit für das Unternehmen
• Umriss der Wiederherstellungspunktziele (RPOs) und der Wiederherstellungszeitziele (RTOs)
• Zentralisierung von Systeminventar, Risikobewertungen, RACI-Diagrammen und Drittparteien
• Sicherstellung einer konsistenten Kommunikation mit den Lieferanten bei Betriebsunterbrechungen

Prevalent stellt Unternehmen kostenlose Ressourcen zur Verfügung, die sie beim Aufbau oder der Weiterentwicklung ihrer Business-Continuity-Programme für Drittanbieter nutzen können