Mindestvertragsinhalte des DORA: 6. Business Continuity Management
Cybersicherheit trifft auf Vertragsfreiheit: Artikel 30 DORA enthält einen Katalog von Mindestinhalten, die sich in Auslagerungsverträgen mit ITK-Dienstleistern wiederfinden müssen. Beim Business Continuity Management (BCM) geht es um die Auslagerung zeitkritischer Aktivitäten an Drittanbieter. Das BCM ist ein wesentlicher Teil der Risikomanagementstrategie von Finanzinstituten. Es umfasst Notfallpläne und Maßnahmen, um die Geschäftstätigkeit bei Störungen fortzuführen. MaRisk und DORA/RTS formulieren spezifische Anforderungen an das BCM, die Finanzinstitute und Dienstleister beachten müssen.
MaRisk
Nach MaRisk müssen Institute die Risiken bei Auslagerungen steuern und überwachen. Wesentliche Auslagerungen erfordern eine regelmäßige Überwachung der Leistung des Auslagerungsunternehmens anhand festgelegter Kriterien (z.B. Key Performance Indicators, Key Risk Indicators). Die Qualität der Leistungen ist regelmäßig zu beurteilen (MaRisk AT 9 Tz. 9).
Für zeitkritische ausgelagerte Aktivitäten müssen sowohl das auslagernde Institut als auch das Auslagerungsunternehmen über abgestimmte Notfallkonzepte verfügen (MaRisk AT 7.3 Tz. 2). Der Vertrag soll Anforderungen zur Umsetzung und Überprüfung dieser Notfallkonzepte enthalten (MaRisk AT 9 Tz. 7g), einschließlich klarer quantitativer und qualitativer Leistungsziele (MaRisk AT 9 Tz. 7e).
Die Organisationsanweisung „BCM in der Dienstleistersteuerung“ beschreibt, wie risikoorientierte BCM-Anforderungen definiert und vertraglich vereinbart werden müssen. Die Einhaltung dieser Anforderungen wird durch das Finanzunternehmen mittels BCM-KPIs kontrolliert. Der Prozess stellt sicher, dass die Notfallkonzepte stets aufeinander abgestimmt sind.
DORA
Artikel 30 Abs. 3 (c) DORA betrifft ITK-Dienstleistungen zur Unterstützung kritischer und wichtiger Funktionen. Er verlangt, dass IKT-Drittdienstleister Notfallpläne implementieren und testen sowie Maßnahmen, Tools und Leitlinien für die IKT-Sicherheit haben. Diese Pläne müssen regelmäßig getestet und aktualisiert werden, um im Ernstfall effektiv zu sein.
Gemäß Artikel 4 lit. g der Regulatory Technical Standards für Subunternehmer (RTS-E SUB) müssen IKT-Unterauftragnehmer über Incident-Response- und Geschäftsfortführungspläne verfügen, die den Anforderungen des Artikels 11 der Verordnung (EU) 2022/2554 entsprechen. Diese Pläne und die Service Level Agreements (SLAs) müssen in den Verträgen klar definiert und verbindlich vereinbart werden.
Empfohlen von LinkedIn
Die RTS ergänzen die Vorgaben von DORA durch detaillierte Anforderungen an die Geschäftsfortführungspläne der IKT-Dienstleister. Diese Pläne müssen regelmäßig überprüft und getestet werden, um im Falle von Zwischenfällen wirksam zu sein.
Fazit
MaRisk und DORA/RTS stellen strenge Anforderungen an das BCM von Finanzinstituten und deren Dienstleistern. Während MaRisk auf die regelmäßige Überwachung und Bewertung der Leistung von Auslagerungsunternehmen fokussiert, fordert DORA detaillierte Notfallpläne und Maßnahmen zur IKT-Sicherheit. Beide Regelwerke betonen die Notwendigkeit abgestimmter Notfallkonzepte und regelmäßiger Tests, um die Kontinuität der Geschäftsprozesse zu sichern.
DORA bringt spezifische Änderungen und Erweiterungen für bestehende BCM-Prozesse. Es fordert erweiterte Maßnahmen zur IT-Sicherheit, regelmäßige Tests und Audits sowie umfassende Dokumentations- und Berichtsanforderungen. Eine gründliche Analyse bestehender BCM-Prozesse ist erforderlich, um Compliance-Lücken zu schließen, was möglicherweise technologische und organisatorische Anpassungen erfordert.
Für ITK-Dienstleistungen, die keine kritischen und wichtigen Funktionen unterstützen, sind die bisherigen Regelungen bei Auslagerungen daraufhin zu prüfen, ob das Notfallmanagement auch die Recovery und Wiederherstellung nach einem IKT-Vorfall abbildet. Die Testverpflichtungen sind gegebenenfalls nachzuschärfen.
Finanzinstitute müssen sicherstellen, dass ihre Verträge mit IKT-Dienstleistern die Anforderungen von MaRisk und DORA/RTS erfüllen. Eine sorgfältige Integration beider Regelwerke in die Vertragsgestaltung ist entscheidend, um ein robustes BCM zu gewährleisten und den regulatorischen Anforderungen gerecht zu werden.
Wo immer sich Anpassungen ergeben, unterstützen wir Sie mit einem pragmatischen Ansatz dabei, Lösungen zu suchen und Vertragsbedingungen zu formulieren.
Bisher zu den Mindestvertragsinhalten des DORA erschienen:
Interim/Freelance: 3rd Party IT Risks & IT Compliance | Digital/Operational Resilience | Audit Defense
5 MonateEs ist überraschend, wie schlecht vorbereitet FIe aktuell in Verhandlungen auftreten, d.h. ohne wesentliche Grundsatz-Fragen zum "Wie konkret?" geklärt zu haben, z.B.: - Deckt der BCM Plan alle kritischen Funktionen u. Prozesse entsprechend einer realistischen BIA auch in Bezug auf Dritte ab? - Welches Szenario provoziert welchen Schaden in welcher Zeit bei Core Produkten u. Services? - Welche Risiken sind aktuell aufgrund der geographischen und politischen Lage zusätzlich plausibel? - Welche Zusammenarbeit ist im Krisenmodus erforderlich und wie sollen insbesondere Incident-Response/-Handling Aufgaben und andere kritische Funktionen ablaufen? - Wie kommt man bei diversen Formen von Incidents an aktuelle Backups und bringt sie wo zum Laufen? - Sind Schwächen der BCM Planung bekannt? - Was, wenn geplante Prozesse versagen? - Wie ist der "Point of no return" definiert? - Welche Qualifikationen, Prioritäten, Budgets und Vollmachten haben Incident und Krisen-Verantwortliche? - Wer stellt den BC Fall fest? - Wie sind Kommunikationspläne in Richtung Presse, Behörden, Kunden, 3rd Parties, Board, ..? - Wo ist der War-Room? - Wer darf CxOs um 03.00 Uhr aus dem Bett holen? ... Ohne eigene Positionen stärkt man nur die Interessen Dritter...
Datenschutz-Auditor GDD CERT.EU
5 MonateMichaela Witzel ich vermisse in Ihren Mindestinhalten den Vorgriff auf KI-VO.