IKT-Drittpartei-Risiken & Third Party Risk Management im Fokus von Aufsicht und DORA

• Neue DORA-Anforderungen an den Umgang mit IKT-Risiken und die DL-Überwachung im Third Party Risk Management (TPRM) 
• Erfahrungsbericht: Durchführung / Begleitung von (Sonder-)Prüfungen der BaFin / Bundesbank mit Schwerpunkt IKT 
• Häufig identifizierte Schwachstellen bei IKT-Prüfungen 
• IKT-Risikomanagement als Bestandteil der neuen DOR-Strategie 
• Dienstleister Due Diligence als Ex-ante-Risikobewertung 
• Neue DORA-Einstufungskriterien für wesentliche / kritische IKT-DL

Die neuen DORA-Anforderungen verändern grundlegend den Umgang mit IKT-Risiken und die Überwachung von Dienstleistern im Third Party Risk Management (TPRM). 

Finanzinstitute müssen IKT-Risiken systematisch identifizieren, bewerten und steuern, um die digitale operationale Resilienz zu gewährleisten. Besonders kritisch sind die neuen Kriterien zur Einstufung wesentlicher und kritischer IKT-Dienstleister sowie die erweiterten Anforderungen an die Vertragsgestaltung, Prüfrechte und Notfallpläne. Die parallele Führung von Auslagerungs- und Informationsregistern führt in der Praxis oft zu Abgrenzungsschwierigkeiten. Zudem gelten DORA und MaRisk parallel, sind aber nicht vollständig deckungsgleich, wodurch es zu Doppelregulierungen kommt. 

Herausforderungen ergeben sich zudem bei der Integration der neuen DORA-Vorgaben in bestehende TPRMProzesse, insbesondere in der Dokumentation, Risikoanalyse und Berichterstattung. Schärfere Meldepflichten bei IKT-Vorfällen und regulatorische Vorgaben zu Exit-Strategien erhöhen den Handlungsdruck. 

Die erfahrenen Praxis-Referenten zeigen praxisnahe Lösungen zur DORA-konformen Umsetzung und Prüfung auf und geben wertvolle Umsetzungs-Hinweise und Praxis-Tipps.