Überprüfung der DORA-Konformität von (IKT-)Dienstleistern & Cloud Service Providern

• Verschärfte Anforderungen aus neuen DORA-Vorgaben an die Sicherstellung der Ordnungsmäßigkeit der Prozesse und Abläufe im Auslagerungsmanagement und bei IKT-Drittdienstleistern
• Beurteilung der Ordnungsmäßigkeit der organisatorischen Ausgestaltung und Prozess-Strukturen des IKT-Dienstleisters
• Prüfung der Funktionsfähigkeit /Ordnungsmäßigkeit der Dienstleister-Prozesse sowie der Wirksamkeit der Internen Revision des (IT-)Dienstleisters

Durch DORA (Digital Operational Resilience Act) ist künftig ein direkter Aufsichtszugriff auf die – bisher nicht regulierten – Dienstleister möglich.

Aufgrund steigender (IKT-)Risiken prüft die Aufsicht zunehmend intensiver das Auslagerungsmanagement und die IKT-Dienstleistersteuerung der Institute sowie die daran angeschlossenen Dienstleister. Für die auslagernden Institute ist es daher umso wichtiger, funktionierende Prozesse im Auslagerungsmanagement, der Dienstleistersteuerung und der Internen Revision aufzubauen, um Risiken aus Auslagerungen, Fremdbezügen und besonders bei IKT-Dienstleistungen frühzeitig zu erkennen und Gegensteuerungsmaßnahmen einleiten zu können

Hierfür sind teilweise Vor-Ort- Prüfungen des Dienstleisters und /oder der Dienstleister-Revision notwendig, um abschätzen zu können, welche Risiken für die Institute aus der Auslagerung bestehen und um den Aussagegehalt der Dienstleister- Berichterstattung einschätzen zu können.

Auch die Dienstleistungsunternehmen sind angehalten, die bisherigen Mängel aus Aufsichtsprüfungen bei anderen Dienstleistern dahingehend zu prüfen, ob Anpassungen in den Prozessen für die eigene Dienstleistungserbringung notwendig sind und eine GAP-Analyse bzw. eine Auswirkungsanalyse der DORA-Auswirkungen vorzunehmen.