content hub

DORA – Eine Chance für IKT-Drittdienstleister im Finanzsektor?

28/05/2024 | Publiziert in Zusammenarbeit mit Christian Angerer

Eine Einordnung mit Fokus auf AML-Provider

Dieser Artikel fokussiert sich auf die neuen Anforderungen an IKT-Drittdienstleister, die in einer Geschäftsbeziehung zu einem nach DORA regulierten Finanzinstitut stehen. Wir beleuchten die Folgen der DORA-Verordnung und gehen der Frage nach, ist das nun Fluch oder Segen?

Kontext und Hinführung

Neue Regulierungs-Standards mit Folgen für IKT-Drittdienstleister

Die Einführung des Digital Operational Resilience Act (DORA) stellt eine bedeutende Entwicklung für den europäischen Finanzsektor dar. Die DORA-Verordnung adressiert Vorgaben zur Vermeidung von Cyber-Risiken und stellt Anforderungen an die Risikosteuerung, das Testing und die Meldungsabgabe im Falle eines Sicherheitsvorfalles deutlich dar. Das unterscheidet DORA klar von den bisherigen Regelungen, die eher einen impliziten konzeptionellen Charakter haben, der die tatsächliche Ausführung dem regulierten Unternehmen überlässt. Und während bei Vorgaben wie den BAIT[1] / VAIT[2] die regulierten Unternehmen direkt die Erfüllung der regulatorischen Anforderungen sicherstellen müssen, umfasst der Geltungsbereich von DORA (Art. 2) neben Kreditinstituten, Zahlungsinstituten, Kontoinformationsdienstleistern und weiteren Akteuren des Finanzsektors auch IKT[3]-Drittdienstleister[4]. Nach Art. 3 Nr. 21 DORA werden IKT-Dienstleistungen definiert als „digitale Dienste und Datendienste, die über IKT-Systeme einem oder mehreren internen oder externen Nutzern dauerhaft bereitgestellt werden, einschließlich Hardware als Dienstleistung und Hardwaredienstleistung, wozu auch technische Unterstützung mittels Software- oder Firmware-Aktualisierungen gehört.“ Folglich gelten die DORA-Anforderungen über alle Ebenen der Wertschöpfungskette und sind bis zum 17.01.2025 verpflichtend umzusetzen.

DORA-Relevanz für AML-Provider

AML-Provider sind gemäß unserer Definition Software-as-a-Service Anbieter (SaaS), die unter Anderem technische Lösungen zur Unterstützung von Know Your Business (KYB) und/oder Know Your Customer (KYC) Prozessen bereitstellen. Je nach Geschäftsmodell und Schwerpunkt werden auch gesamthafte Customer-Lifecycle Lösungen inkl. Transaction-Monitoring angeboten. Diese Provider nutzen i.d.R. Informationstechnologie und KI-basierte Modelle für Services, die nach dem GwG-verpflichtete Unternehmen dauerhaft bei der Einhaltung regulatorischer Anforderungen unterstützen. Zu diesen digitalen Services zählen z.B. das Einholen und Auslesen von Register-Informationen, die Ermittlung der wirtschaftlich Berechtigten (UBOs), Screening, ID&V und Risikobewertungen. Diese bereitgestellten digitalen Dienste werden von Finanzunternehmen regelmäßig als ‚kritische‘ oder ‚wichtige Funktionen‘ zur Erfüllung regulatorischer Anforderungen bewertet. Damit sind AML-Provider vermutlich als kritische IKT-Drittdienstleister im Sinne der DORA (Art. 31) einzustufen. 

Bankperspektive vs. Marktperspektive

Wie läuft der Prozess heute? Finanzinstitute bewerten Dienstleister entlang einer Risikoanalyse, daraus leiten sich die Anforderungen ab, die der Dienstleister zu erfüllen hat (Bankperspektive).

Was ändert sich durch DORA? Zusätzlich zu der oben beschriebenen Bewertung durch Finanzinstitute erfolgt eine Bewertung durch den Regulator (ESA), um zu ermitteln ob ein Drittdienstleister ein kritischer IKT-Dienstleister ist (Marktperspektive). Erfolgt die Einstufung als kritischer IKT-Drittdienstleister zieht dies zusätzliche Implikationen nach sich. 

Was bedeutet das im Detail? Die bisherige Logik der BaFin folgt der Auffassung, dass ein Finanzinstitut, z.B. eine Bank, die Bedeutung eines Providers gemäß den Kriterien aus BAIT/VAIT und MaRisk einwertet und damit diesen Provider verpflichtet bestimmte Vorgaben erfüllen zu müssen, die Bank jedoch bleibt verantwortlich für die gesamte Lieferkette. Diese Bankperspektive bleibt auch nach DORA bestehen. Finanzunternehmen verwalten das IKT-Drittparteienrisiko als essenziellen Bestandteil innerhalb ihres IKT-Risikomanagementrahmens. Zur fortlaufenden Aktualisierung des IKT- Risikomanagementrahmens führen und aktualisieren sie ein Informationsregister, das sich auf alle vertraglichen Vereinbarungen über die Nutzung von durch IKT-Drittdienstleister bereitgestellten IKT-Dienstleistungen bezieht. Dieses inkludiert ebenfalls eine Unterscheidung, ob IKT-Dienstleistungen die Unterstützung kritischer oder wichtiger Funktionen abdecken, oder nicht. Auf Anfrage muss dieses Informationsregister, oder Teile davon, der zuständigen Behörde vorgelegt werden. Finanzunternehmen, die vertragliche Vereinbarungen über die Nutzung von IKT-Dienstleistungen für die Ausübung ihrer Geschäftstätigkeit getroffen haben, sind jederzeit in vollem Umfang für die Einhaltung und Erfüllung aller Verpflichtungen nach DORA und nach dem anwendbaren Finanzdienstleistungsrecht verantwortlich (vgl. Art. 28 DORA). 

In der Praxis bedeutet dies, dass nach Art. 28 DORA Finanzunternehmen im Rahmen einer Risikoanalyse vor Vertragsabschluss mit einem IKT-Drittdienstleister beurteilen müssen, ob sich die vertragliche Vereinbarung auf die Nutzung von IKT-Dienstleistungen zur Unterstützung einer kritischen oder wichtigen Funktion bezieht. Grundsätzlich gilt, dass Finanzunternehmen nur vertragliche Vereinbarungen mit IKT-Drittdienstleistern schließen, die angemessene Standards für Informationssicherheit einhalten. Betreffen die vertraglichen Vereinbarungen kritische oder wichtige Funktionen, so berücksichtigen die Finanzunternehmen zudem vor Abschluss der Vereinbarungen, ob die IKT-Drittdienstleister die aktuellsten und höchsten Qualitätsstandards für Informationssicherheit anwenden. Eine Überprüfung zur Einhaltung der Standards für Informationssicherheit erfolgt durch das Finanzinstitut. Die Häufigkeit von Audits und Inspektionen sowie die zu prüfende Bereiche werden im Vertrag zwischen Finanzunternehmen und IKT-Drittdienstleister vereinbart.

Neu mit DORA ist nun die Marktperspektive für IKT-Drittdienstleister. So wird neben der oben beschriebenen Einwertung der IKT-Drittdienstleister durch die Finanzinstitute auch eine Bewertung aus Sicht des Marktes/des Regulators, der ESA (European Supervisory Authorities),[5] vorgenommen. Durch die ESA erfolgt eine Einstufung der IKT-Drittdienstleist, die für Finanzunternehmen kritisch sind (vgl. Art. 31 DORA). 

Die Einstufung des IKT-Drittdienstleisters orientiert sich dabei, nach Art. 31 DORA, an folgenden Kriterien: 

  • Der systemischen Auswirkung auf die Stabilität, Kontinuität oder Qualität der Erbringung von Finanzdienstleistungen, falls der Dienstleister bei der Erbringung der Dienste einer umfassenden Betriebsstörung ausgesetzt wäre
  • Dem systemischen Charakter oder der Bedeutung der Finanzunternehmen, die auf den jeweiligen IKT-Drittdienstleister zurückgreifen
  • Der Abhängigkeit von Finanzunternehmen von den Dienstleistungen des betreffenden IKT-Drittdienstleisters mit Blick auf kritische oder wichtige Funktionen von Finanzunternehmen, in die der IKT-Drittdienstleister involviert ist
  • Dem Grad der Substituierbarkeit des IKT-Drittdienstleisters

Werden IKT-Drittdienstleister als ‚kritisch‘ eingestuft, fallen diese neben der nationalen Überwachung zudem auf EU-Ebene unter den direkten Überwachungsrahmen der Europäischen Finanzaufsichtsbehörden (vgl. Art. 33 DORA).

Aus unserer Sicht haben AML-Aktivitäten eine besondere Stellung im Finanzsektor aufgrund ihrer elementaren Bedeutung für die Bekämpfung von Finanzkriminalität und somit können diese Leistungen – wenn ausgelagert – als wesentlich gemäß BAIT / MaRisk und/oder kritisch gemäß DORA eingewertet werden. Folglich dürfen Finanzunternehmen nur noch vertragliche Beziehungen mit solchen IKT-Drittdienstleistern eingehen, welche die DORA-Standards erfüllen. Dieser Zusammenhang erfordert von diesen AML-Providern die Kompetenz, dauerhaft DORA-konforme digitale Services bereitzustellen. 

Blick zurück: Lessons-Learned aus den Umsetzungen von BAIT und VAIT

Die Banken hatten die aufsichtsrechtlichen Anforderungen an die IT zu erfüllen, waren aber nicht wirklich darauf vorbereitet. Von Banken beauftragte Dienstleister hatten sich ebenfalls nicht ausreichend auf die Umsetzung der Anforderungen vorbereitet. Mit der Konsequenz, dass in den Folgejahren Banken in BaFin-Prüfungen angemahnt wurden und so die Dienstleister langsam auf Druck der Aufsicht auf das gewünschte Qualitätsniveau gebracht wurden. Das kostet viel Zeit, Aufwand und so mancher Service war nicht mehr so lukrativ oder die Auslagerung hat nicht die versprochene Effizienz gebracht. 

Entlang der Erfahrungen der BAIT-Umsetzungen, lassen sich für den aktuellen DORA-Anwendungsfall die folgenden sechs Empfehlungen für Finanzunternehmen und IKT-Drittdienstleister formulieren 

  1. Frühzeitige Vorbereitung: Banken und IKT-Drittdienstleister sollten frühzeitig mit der Vorbereitung auf neue regulatorische Anforderungen beginnen, um ausreichend Zeit für die Anpassung ihrer Systeme und Prozesse zu haben. Wenn die Prüfung der Vorschriften durch Revision, Wirtschaftsprüfer oder sogar der Bankenaufsicht Mängel auflistet, ist die Beseitigung teuer und auch meist unter enormem Zeitdruck zu bewerkstelligen.
  2. Ganzheitlicher Ansatz: Bei der Einführung der BAIT wurden insbesondere dann positive Umsetzungs-Erfahrungen gemacht, wenn die Anforderungen ganzheitlich und nicht isoliert betrachtet wurden. Banken sind kein solitäres System, sondern interagieren mit Dienstleistern in unterschiedlichen Wertschöpfungsstufen und müssen die Leistungen und Leistungsgeber bewerten, inwieweit diese von den Anforderungen betroffen sind und entsprechend handeln.
  3. Zusammenarbeit und Kommunikation: Eine offene und transparente Kommunikation innerhalb der Bankorganisation, aber vor allem auch mit dem IKT-Drittdienstleister kann dazu beitragen, potenzielle Herausforderungen frühzeitig zu identifizieren und Lösungen zu finden.
  4. Flexibilität und Agilität: Sowohl technische Möglichkeiten als auch die regulatorische Landschaft sind einer kontinuierlichen Veränderungsdynamik unterworfen und Banken sowie IKT-Drittdienstleister müssen flexibel und agil sein, um sich an neue Anforderungen anzupassen. 
  5. Investitionen in Technologie und Schulung: Anforderungen wie die BAIT kommen nicht kostenfrei. Banken und Dienstleister, die versucht haben, möglichst kostenneutral die Anforderungen zu erfüllen, mussten in den Prüfungen dann die Konsequenzen erleben. So sind bspw. Auslagerungen ohne entsprechende Software nicht zu steuern. Daher gilt: Banken und IKT-Drittdienstleister sollten gemeinsamen investieren, um die regulatorischen Anforderungen zu erfüllen. Dies kann die Einführung neuer Systeme und Prozesse sowie die Schulung von Mitarbeitern umfassen, um sicherzustellen, dass diese die neuen Anforderungen verstehen und effektiv umsetzen können.
  6. Kontinuierliche Überwachung und Verbesserung: Die Einhaltung der BAIT ist ein fortlaufender Prozess, der regelmäßige Überwachung und kontinuierliche Verbesserung erfordert. Das gleiche gilt auch für DORA. Banken und IKT-Drittdienstleister müssen Systeme und Prozesse regelmäßig überprüfen und aktualisieren, um sicherzustellen, dass sie den aktuellen Standards entsprechen und den sich ändernden Bedrohungen und Risiken gerecht werden.

Anforderungen an die IKT-Drittdienstleister

Der Weg zur DORA-Konformität

Nun hat DORA den für die regulierten Unternehmen etwas leichteren Weg geebnet und den kritischen IKT-Drittdienstleistern, die Finanzunternehmen weiterhin IKT-Services bereitstellen wollen, mit einem direkten Umsetzungsauftrag der DORA-Anforderungen ausgestattet. 

Die nicht als kritisch eingestuften IKT-Drittdienstleister müssen sich aber ebenfalls darauf einstellen, dass die nun durch DORA vorgegebenen Regelungen, die durch Artikel 30 als Pflichtvertragsbestandteile nochmals formuliert wurden, in das Pflichtspektrum der Leistungsbeziehung aufgenommen werden. 

Damit erfordert die Anpassung an DORA von IKT-Drittdienstleistern unter Umständen erhebliche Anstrengungen. Es kann jedoch angenommen werden, dass (kritische-) IKT-Drittdienstleister, welche schon heute in Vertragsbeziehungen mit nach BAIT regulierten Finanzinstituten stehen, eine tendenziell hohe Adaptionsrate den DORA-Anforderungen gegenüber haben. D.h. es ist mit eher geringerem Änderungsaufwand zu rechnen, um auch in Zukunft regulatorisch konforme Services zu liefern. 

In jedem Fall müssen Finanzinstitute und IKT-Drittdienstleister (in unserem Kontext AML-Provider) ihre Systeme, Prozesse und bestehenden Verträge gründlich überprüfen und gegebenenfalls aktualisieren, um die Anforderungen an die operationelle Resilienz nach DORA zu erfüllen. Dies beinhaltet die Implementierung robuster Sicherheitsmaßnahmen, die Entwicklung von Strategien zur Risikominderung und die Sicherstellung, dass alle Systeme und Dienstleistungen die erforderlichen Compliance-Standards erfüllen. Darüber hinaus ist es wichtig, dass Unternehmen in die Schulung ihrer Mitarbeiter investieren. 

Konkrete Handlungsempfehlungen für AML-Provider

Aus den Erfahrungen der bisherigen Anpassung der IT (und der Bankorganisation) empfehlen wir, einen ersten ehrlichen Maßnahmenplan als Grundlage für die Kosten- und Aufwandschätzung zur Erreichung der DORA-Konformität zu erstellen. Erfolgsfaktor ist, die nötigen Aufwendungen für die Überprüfung und Anpassung der Maßnahmen, wie die Durchführung von externen Sicherheitsaudits, die Überwachung von Risiko Metriken, die Bewertung von Incident-Response-Plänen und andere Aktivitäten, wie der Teilnahme an TLTP-Test etc. frühzeitig zu kalkulieren und auf der Roadmap ausreichend einzuplanen.

Die Vorgehensweise für die Erstellung des Maßnahmenplanes sollten klassisch in vier Schritten durchgeführt werden:

  1. Exaktes Verständnis der Anforderungen: Dabei geht es nicht nur um die offiziellen Anforderungen von DORA, sondern auch darum die Interpretationen und Leitlinien der Aufsichtsbehörden in den Kontext des eigenen IKT-relevanten Service Angebots zu stellen.
  2. Bewertung der aktuellen Situation: Gründliche und vor allem ehrliche Analyse der aktuellen Systeme, Prozesse und Technologien.
  3. Gap- und Risiko-Analyse: Identifizierung von möglichen bestehenden Schwachstellen in der Cybersicherheit, bei Datenschutzverletzungen oder unzureichende Risikomanagementpraktiken.
  4. Entwicklung eines Aktionsplans: Auf Grundlage der Gap-Analyse und in Abstimmung mit den Kunden sollte ein detaillierter Aktionsplan aufgestellt werden. Hierbei kann auch ein frühzeitiger direkter Kontakt mit der Aufsicht hilfreich sein, um im Zweifel die richtigen Weichen zu stellen.

Chancen für IKT-Drittdienstleister

Trotz der Herausforderungen, die die Anpassung an DORA mit sich bringt, bietet dieser Prozess auch eine hervorragende Gelegenheit für IKT-Provider durch vier echte Chancen:

  1. Differenzierung und Positionierung: Die Anpassung an DORA bietet eine optimale Gelegenheit für ITK-Drittdienstleister, sich als vertrauenswürdiger Partner im Finanzsektor zu positionieren. Durch die Erfüllung der DORA-Anforderungen können sie ihre Zuverlässigkeit und Qualität unter Beweis stellen und sich von Mitbewerbern abheben.
  2. Effizienz und Servicequalität: Die Überprüfung und Optimierung von Systemen und Prozessen im Rahmen der DORA-Konformität führen zu einer Verbesserung der Effizienz und Servicequalität. Durch die Implementierung robuster Sicherheitsmaßnahmen und die Entwicklung von Strategien zur Risikominderung können ITK-Drittdienstleister nicht nur die Compliance sicherstellen, sondern auch ihre Leistungsfähigkeit steigern.
  3. Selbstverbesserung und Innovationsförderung: Die Anpassung an DORA erfordert von ITK-Drittdienstleistern eine eingehende Analyse ihrer bestehenden Systeme und Prozesse. Dies bietet die Möglichkeit, Schwachstellen zu identifizieren und zu beheben, was letztendlich zu einer selbstgesteuerten Verbesserung führt. Darüber hinaus kann die Notwendigkeit, DORA-konforme Lösungen bereitzustellen, den Innovationsdruck erhöhen und die Entwicklung neuer Technologien und Dienstleistungen fördern.
  4. Marktchancen: Unternehmen, die DORA-konforme Lösungen anbieten können, haben gute Chancen, neue Marktsegmente zu erschließen und bestehende Kundenbeziehungen zu festigen. Die Nachfrage nach zuverlässigen und hochwertigen IT-Dienstleistungen, die den DORA-Anforderungen entsprechen, wird voraussichtlich steigen, was ITK-Drittdienstleistern neue Geschäftsmöglichkeiten eröffnet.

[1] BAIT: Bankaufsichtliche Anforderungen an die IT

[2] VAIT: Versicherungsaufsichtlichen Anforderungen an die IT

[3] Informations- und Kommunikationstechnologien (IKT) umfassen alle technischen Medien, die für die Handhabung von Informationen und zur Unterstützung der Kommunikation eingesetzt werden; hierzu zählen unter anderem Computer- und Netzwerkhardware sowie die zugehörige Software (European Commission)

[4] IKT-Drittdienstleister: Ein Unternehmen, das IKT-Dienstleistungen bereitstellt (Art. 3 Nr. 19 DORA)

[5] The ESAs work primarily on harmonising financial supervision in the EU (Quelle, European Central Bank)

Tags:

Christian Angerer

Seit über 20 Jahren unterstützt Christian Industrie, Behörden und Banken ihre digitalen Fähigkeiten zu entwickeln und begleitet die Transformation auf prozessualer, technischer und Mitarbeiterebene. Als Führungskraft hat er die Digitalisierung der größten Wertpapierbank Europas, Caceis S.A., begleitet. Mit Bereinigung der Findings einer §44 EZB-Prüfung hat er die Gruppen-IT nachhaltig und compliant ausgerichtet. Mit Mindshift Advsiors berät er zu Digitalisierung und IT. Digitalisierung als Schlüssel erfolgreicher Transformation und resiliente IT als entscheidender Faktor für den Erfolg der Transformation.

www.mindshift-advisors.de

More Knowledge Drops

Das neue EU AML-Paket (1) – Hintergrund und Kontext

28/05/2024 read article

Das neue EU AML-Paket (2) – Kreis der Verpflichteten

16/08/2024 read article

Das neue EU AML-Paket (3) —Auslösetatbestände

09/02/2025 read article

Regulatorische Themen und Fristen 2025 im Überblick

06/02/2025 read article