Überprüfung der DORA-Konformität von (IT-)Dienstleistern und Cloud-Service-Providern

• Konkretisierung der BAIT-/VAIT-/KAIT-Anforderungen durch DORA
• IKT-Risiken als wesentliche Herausforderung für Banken, Versicherungen und Dienstleister
• Proportionale DORA-Umsetzung: Konkretes Vorgehen und notwendige Prozessanpassungen
• Vereinheitlichung der IT-Risiko-Aufsicht bei IT-Auslagerungen
• Risikoorientierte Einbindung von Auslagerungsdienstleistern in das (IT-)Notfallmanagement/BCM/ITSCM im Rahmen von DORA
• DORA Gap-Analyse: Überprüfung der DORA-Konformität von (IT-) Dienstleistern und Cloud Service Providern

Mit »DORA« (Digital Operational Resilience Act) schafft die Aufsicht ein europaweit einheitliches Aufsichts-Rahmenwerk für digitale Risiken der Informations- und Kommunikationstechnologien (IKT) von Banken, Versicherungen und für kritische IKT-Drittanbieter. Hiermit gehen weitreichenden Veränderungen in den Prozessen der Dienstleister- Steuerung und des Informationsrisikomanagements einher.

Aufgrund der zunehmenden Digitalisierungs- und Cyber-Risiken ist die Regulierung von IKT-Dienstleistern, einschließlich Cloud-Anbietern, in den Fokus der Aufsicht gerückt und hebt den Bereich der digitalen Finanzregulierung auf die nächste Stufe.

Da DORA im Vergleich zur BAIT, VAIT und KAIT konkretere Vorgaben enthält, werden derzeit bestehende Ermessensspielräume von Instituten, Versicherungsunternehmen und Dienstleistern stark reduziert.

Die Themen IT-Sicherheit und IT-Governance aber auch das (IT-)Notfallmanagement (BCM/ITSCM) gewinnen dadurch weiter an Bedeutung und sind somit erklärte Prüfungsschwerpunkte der Aufsicht.