DORA-Compliance Teil 4: IKT-Drittparteien-Risikomanagement

Geschrieben von Brigitta Finta
DORA-Compliance Teil 4: IKT-Drittparteien-Risikomanagement

Am 17. Januar 2025 tritt der Digital Operational Resilience Act (DORA) in Kraft. Die EU-Verordnung soll die digitale Widerstandsfähigkeit von Finanzunternehmen stärken und deren Abhängigkeit von IKT-Dienstleistern systematisch regeln. Der Bereich des IKT-Drittparteien-Risikomanagements ist das vierte, zentrale Handlungsfeld für Finanzdienstleistungsunternehmen.

Herausforderungen im Umgang mit IKT-Drittparteien

In der Finanzwelt ebenso wie in vielen anderen Industrien sind Unternehmen auf externe Anbieter für Informations- und Kommunikationstechnologien (IKT) angewiesen, sei es für Cloud-Dienste, Softwarelösungen oder IT-Sicherheitsinfrastrukturen. DORA greift die Tatsache auf, dass diese Abhängigkeit Risiken birgt: So können Cyberangriffe, Ausfälle oder andere Probleme bei Drittanbietern weitreichende Auswirkungen auf die Stabilität des Finanzsystems haben. Im Kapitel V, Abschnitt I, Artikel 28 bis 30 adressiert die Verordnung diese Schwachstelle und gibt einheitliche Anforderungen an das Risikomanagement und die Überwachung von IKT-Drittparteien vor. Im Kern sind Unternehmen nach DORA dazu verpflichtet, sämtliche Abhängigkeiten von Dritten kritisch zu bewerten und sicherzustellen, dass alle Drittparteien regelkonform handeln. Hiernach müssen sie Risiken im Zusammenhang mit externen IT-Dienstleistern identifizieren, überwachen und minimieren.

Wesentliche Anforderungen des IKT-Drittparteien-Risikomanagements

Die Unternehmen müssen in einer Bestandsaufnahme festgestellt haben, welche Anbieter als „kritisch“ einzustufen sind – also welche Dienste hohe Relevanz für ihren Geschäftsbetrieb haben. Verträge mit ihnen müssen Abschnitte enthalten, die explizit die Risikoüberwachung, Sicherheitsanforderungen und Notfallpläne regeln sowie gleichzeitig die Verantwortlichkeiten zwischen Unternehmen und Dienstleistern klar definieren. Leistungen, Sicherheitsmaßnahmen ebenso wie potenzielle Risiken durch IKT-Drittparteien müssen regelmäßig überprüft, bewertet und im DORA-Informationsregister dokumentiert werden. Das Register ist ab dem 30. April 2025 Pflicht und muss jährlich eingereicht werden. Zudem müssen die Finanzunternehmen Maßnahmen entwickeln, um Abhängigkeiten perspektivisch zu reduzieren. Für den Fall eines Ausfalls oder einer Störung bei Drittanbietern müssen nicht zuletzt Notfallpläne existieren und regelmäßig überprüft werden.

Sicherheit und Integrität beim Umgang mit Daten

Ein besonderer Fokus des Drittparteien-Risikomanagements liegt auf dem sorgsamen Umgang mit Daten. DORA verlangt hier einen besonders hohen Standard, um die Integrität und Vertraulichkeit von Daten zu gewährleisten. Ein Verstoß gegen diese Anforderungen kann nicht nur rechtliche Konsequenzen haben, sondern auch das Vertrauen von Kunden nachhaltig beschädigen. Unternehmen müssen sicherstellen, dass sensible Informationen – sowohl von Kunden als auch aus internen Prozessen – bei Drittanbietern angemessen geschützt sind. Dazu gehören:

  • Verschlüsselung und Zugriffskontrolle: Daten müssen während der Übertragung ebenso wie bei der Speicherung verschlüsselt sein, um unbefugten Zugriff zu verhindern. Zugriffsrechte sollten nach dem Prinzip der minimalen Rechte vergeben werden.
  • Datenlokalisierung und -souveränität: Unternehmen müssen die gesetzlichen Anforderungen an die Datenlokalisierung beachten. Kritische Daten dürfen nur in Ländern gespeichert werden, die ein angemessenes Datenschutzniveau garantieren.
  • Datenlöschung und Rückführung: Nach Beendigung eines Vertrags mit einem Drittanbieter sind klare Prozesse erforderlich, um sicherzustellen, dass alle Daten sicher gelöscht oder an das Unternehmen zurückgegeben werden.
  • Überwachung von Datenzugriffen: Unternehmen müssen Systeme einsetzen, die Zugriffe auf sensible Daten durch Drittanbieter kontinuierlich überwachen und protokollieren.

Starke Partnerschaften schaffen Sicherheit

DORA trägt zu einem stabilen und sicheren Finanzsystem in der EU bei und stärkt damit die Marktposition der europäischen Unternehmen im globalen Wettbewerb. Die Basis hierfür schaffen angemessene interne Strukturen und Prozesse, vor allem aber auch die Zusammenarbeit mit den richtigen Partnern auf Basis von transparenten und belastbaren Vereinbarungen.

DORA-Compliance: Checkliste IKT-Drittparteien-Risikomanagement

  • Haben Sie alle externen Dienstleister identifiziert und deren Kritikalität bewertet?
  • Sind alle Verträge mit Drittanbietern DORA-konform?
  • Haben Sie Verfahren etabliert, um Risiken systematisch zu bewerten?
  • Verfügen Sie über Tools und Prozesse, mit denen Sie verlässlich Drittanbieter überwachen?
  • Existieren dokumentierte und auf Praxistauglichkeit geprüfte Notfallpläne?

Erfahren Sie mehr darüber, wie Tresorit Finanzunternehmen dabei unterstützt, ihre Daten sicher und DORA-konform zu verwalten.

Vorgeschlagene Artikel