08.11.2024

DORA und Management von IKT- Drittparteienrisiken im Finanzsektor

DORA 2025: Was Finanzunternehmen über das IKT-Drittparteienrisikomanagement wissen müssen

Mit der Einführung des Digital Operational Resilience Act (DORA) steht der Finanzsektor der EU vor einer neuen regulatorischen Herausforderung, die die digitale Widerstandsfähigkeit der Informations- und Kommunikationstechnologien (IKT) sicherstellen soll. Ab Januar 2025 müssen Finanzunternehmen in der EU ein umfassendes IKT-Drittparteienrisikomanagement (Third-Party Risk Management, TPRM) einführen, um Risiken, die durch externe IKT-Dienstleister entstehen, systematisch zu identifizieren, bewerten und überwachen. 

Was dies konkret für Ihr Unternehmen bedeutet, beleuchten wir in unserem neusten Paper zu “DORA und Management von IKT-Drittparteienrisiken im Finanzsektor. Anforderungen, Herausforderungen und Lösungsansätze”.

Hier finden sie weitere Informationen zur DORA-Verordnung der EU

DORA und die Rolle des IKT-Drittparteienrisikomanagements

Im Rahmen der DORA-Verordnung müssen Finanzunternehmen eine Strategie entwickeln, die Risiken im Zusammenhang mit ihren Drittanbietern systematisch bewertet und kontinuierlich überwacht. Von Banken über Versicherungen bis hin zu Zahlungsdienstleistern: Die Verordnung betrifft eine Vielzahl von Akteuren und erfordert, dass Risiken, die durch externe IKT-Dienstleister entstehen, strukturiert gemanagt werden. Der Fokus liegt auf den kritischen oder wichtigen Funktionen, bei denen ein Ausfall oder eine Sicherheitslücke massive Auswirkungen auf die operative Resilienz haben kann.

DORA verpflichtet also Banken, Versicherungen, Zahlungsdienstleister und andere Finanzunternehmen, eine umfassende Governance für IKT-Drittparteienrisiken zu entwickeln. Ziel ist es, die Widerstandsfähigkeit gegen Cyberangriffe und technische Ausfälle zu stärken, die über die Dienstleister Auswirkungen auf Finanzunternehmen haben können.

Die Herausforderung: Regulatorische Anforderungen und begrenzte Ressourcen

Ein gut strukturiertes IKT-Drittparteienrisikomanagement ist komplex im Aufbau und verlangt nach neuen, ressourcenschonenden Ansätzen. Neben den Anforderungen an die Risikoanalyse und die kontinuierliche Überwachung müssen Unternehmen festlegen, wie sie Subunternehmer und Drittanbieter effektiv in die Risikobetrachtung einbinden – eine Herausforderung, da möglicherweise nicht alle Anbieter bereit sind, ihre Verträge an DORA anzupassen. Auch der Aufbau eines effektiven Informationsregisters und die Kommunikation mit Aufsichtsbehörden sind Teile dieses umfassenden Ansatzes.

IKT-Drittparteienrisikomanagement:

Effiziente Lösungen für die Praxis

Die Anforderungen von DORA bergen also nicht nur neue Pflichten, sondern auch Chancen: Durch den Einsatz externer Expertise, Automatisierungsmöglichkeiten und einer strukturierten Vorgehensweise lässt sich das Management von IKT-Risiken effektiver gestalten und dadurch ein tatsächlicher Effekt in der Minderung des operativen Risikos erzielen. Die Einbindung spezialisierter TPRM-Dienstleister für die Kategorisierung aller relevanten Verträge bietet praktische Ansätze, um die Compliance zu erleichtern und die strategische Resilienz zu stärken.

Jetzt handeln, um zukunftssicher zu sein Gutes Management von IKT-Drittparteienrisiken

DORA fordert Finanzunternehmen dazu auf, ihre Strategien rund um die digitale Widerstandsfähigkeit weiterzuentwickeln. Ein sorgfältig geplantes IKT-Drittparteienrisikomanagement hilft, die Herausforderungen zu meistern und zugleich die langfristige Sicherheit des Unternehmens zu stärken.

Möchten Sie erfahren, wie Sie die Anforderungen von DORA effizient umsetzen können? Unser Paper gibt Ihnen tiefere Einblicke in praktische Lösungsansätze und Best Practices für den Finanzsektor.

Finden Sie Ihre Lösungen zum sicheren IKT-Drittparteienrisikomanagement in unserem Paper

Ihre DORA-Experten

Jochen Friedrich

Partner
Dies ist ein Porträtfoto von Michael Lohmann.

Michael Lohmann

Junior Manager
Ein Portät von Philipp Fackler.

Philipp Fackler

Senior Consultant

Weitere Impulse zu GRC

22.11.2024

Risikomanagement für individuelle Datenverarbeitungsanwendungen

08.11.2024

DORA und Management von IKT-Drittparteienrisiken im Finanzsektor

Header IT-Arbeitsplatz
26.07.2024

Digital Workplace

11.04.2024

DORA Readiness Analyse

27.09.2023

VAIT-Readiness Assessment

25.01.2023

Governance, Risk & Compliance - Audit Management

22.11.2024

Risikomanagement für individuelle Datenverarbeitungsanwendungen

08.11.2024

DORA und Management von IKT-Drittparteienrisiken im Finanzsektor

Header IT-Arbeitsplatz
26.07.2024

Digital Workplace

11.04.2024

DORA Readiness Analyse

27.09.2023

VAIT-Readiness Assessment

25.01.2023

Governance, Risk & Compliance - Audit Management

22.11.2024

Risikomanagement für individuelle Datenverarbeitungsanwendungen

08.11.2024

DORA und Management von IKT-Drittparteienrisiken im Finanzsektor

Header IT-Arbeitsplatz
26.07.2024

Digital Workplace

11.04.2024

DORA Readiness Analyse

27.09.2023

VAIT-Readiness Assessment

25.01.2023

Governance, Risk & Compliance - Audit Management

Unser Competence Center GRC