DORA und Outsourcing Leitlinien

Neue Rechtsvorschriften im Finanzsektor für mehr Cybersicherheit in der EU

Bereits die Einführung der EU Datenschutz-Grundverordnung hat den Banken- und Finanzsektor vor eine enorme Herausforderung gestellt. Mit dem Digital Operational Resilience Act (DORA) hat die EU-Kommission für den Finanzsektor einen neuen Gesetzentwurf vorgelegt, der aktuell im Europäischen Parlament und Rat beraten wird. Das Gesetz wird voraussichtlich 2024 in Kraft treten. Zudem hat die europäische Bankenaufsicht (European Banking Authority kurz: EBA) eine 125-seitige Richtlinie zum Thema Outsourcing (EBA Leitlinien zu Auslagerungen) veröffentlicht, diese sind bereits am 30. September 2019 in Kraft getreten. Im Rahmen der Konsultationsphase werden die europäischen Papiere aktuell noch mit den nationalen Aufsichtsbehörden abgestimmt. Es ist zu erwarten, dass die Richtlinien in Kürze ohne signifikante Änderungen in das deutsche Regelwerk aufgenommen werden.

Cyberangriffe, die auf Finanzinstitute und verbundene IT-Drittanbieter abzielen, haben sich zu einer zentralen Bedrohung entwickelt. Die Finanzaufsichtsbehörden reagierten bereits mit einer Erhöhung der Anforderungen an die IT-Sicherheit und das IT-Risikomanagement. Diese Anforderungen sind bis dato jedoch EU-weit sehr unterschiedlich und sehr lückenhaft definiert, zudem sind die Aufsichtsbehörden von Land zu Land nicht überall mit den gleichen Befugnissen ausgestattet. Der Digital Operational Resilience Act und die Leitlinien zu Auslagerungen der europäischen Bankenaufsicht sollen diese Lücken jetzt schließen und EU-weit für einheitliche Vorgaben sorgen.

Mit Enterprise Content Management die Compliance-Anforderungen meistern

Compliance-Verantwortliche stehen wegen der neuen Rechtsvorschriften für Finanzdienstleister vor großen Herausforderungen, denn in den meisten Finanzunternehmen sind historisch gewachsene Anwendungs- und Datensilos ein großes Compliance-Risiko. Durch eine Verbesserung des Informationsflusses im gesamten Unternehmen können die mit den Silos verbundenen Risken auf ein Minimum reduziert werden. Der Versuch, alle Compliance-Verfahren auf jedes einzelne Silo anzuwenden, ist in der Regel ein teures und fehleranfälliges Unterfangen. Oftmals wird auch eine digitale Lösung in Form eines Compliance-Management-Systems (CMS) eingesetzt. Eine Software dieser Art muss rechtskonformes Arbeiten ermöglichen und sich nahtlos in vorhandene IT-Infrastrukturen eingliedern. Doch gerade hier zeigen die isolierten CMS-Lösungen ihre Schwächen, denn erst wenn alle Geschäftsprozesse digital in Übereinstimmung mit den Compliance-Vorschriften aufgesetzt sind und in einem zentralen System zusammenlaufen, können die vorgegebenen Transparenz- und Compliance-Standards erfüllt werden.

Genau hier setzt ein Enterprise Content Management-System (ECM) an. Optimal integriert in bestehende IT-Umgebungen sorgt die Digitalisierungslösung für übergreifende und effiziente Prozesse. Mitarbeiter können so ohne Medienbrüche in durchgehenden Geschäftsprozessen arbeiten, während die Gewährleistung der Compliance automatisch im Hintergrund erfolgt.

Mit eviatec und der ELO ECM Suite bringen Sie die digitale Transformation im Finanzwesen voran

Traditionelle Bank- und Versicherungshäuser kooperieren mit jungen, disruptiven FinTech-Startups. eviatec bietet mit der ELO ECM Suite optimale Lösungen für die „Fintegration“ und ermöglicht die Kommunikation zwischen unterschiedlichen IT-Systemen.

Der Gesetzgeber erwartet eine lückenlose Dokumentation aller Vorgänge. ELO Workflows beschleunigen Ihre Prozesse und bieten sichere und gesetzeskonforme Lösungen, zum Beispiel für die Digitalisierung des Posteingangs oder des Vertragsmanagements.

Big Data und die abnehmende Kundenbindung sind weitere wichtige Themen. Immer mehr Kunden wollen ihre Bankgeschäfte mobil per Smartphone erledigen. Mit ELO sind Sie bestens vorbereitet und optimieren Ihren Kundenservice.

Lösungen

FAQ über den Digital Operational Resilience Act (DORA)

Der Digital Operations Resilience Act, kurz DORA, sieht die Einführung eines umfassenden Regulierungsrahmens auf EU-Ebene vor, einschließlich Regeln zur digitalen Betriebsresilienz für alle beaufsichtigten Finanzinstitute. Der Gesetzentwurf ist Teil einer Reihe von Maßnahmen zur Digitalisierung des Finanzsektors, die die Europäische Kommission Ende September 2020 vorgelegt hat.

Allgemeines und oberstes Ziel von DORA ist es, einerseits IKT-Risiken umfassender anzugehen und die Betriebsstabilität digitaler Systeme im EU-Finanzsektor zu stärken andererseits sollen die bestehenden Regeln erstmals EU-weit harmonisiert werden. DORA ermöglicht, das Sammelsurium verschiedener Rechtsvorschriften zur IT-Sicherheit endlich in einem Rechtsakt zu bündeln. Mit dem Gesetz soll das IKT-Risikomanagement von Finanzunternehmen verbessert und die negativen Auswirkungen von IKT-Vorfällen begrenzt werden.

DORA gilt für alle auf EU-Ebene regulierten Finanzunternehmen gleichermaßen. Namentlich nennt der Gesetzentwurf folgende Beteiligte:

  • Finanzunternehmen wie Kredit- und Zahlungsinstitute, E-Geld-Institute, Wertpapierfirmen, Anbieter von Krypto-Dienstleistungen, Verwaltungsgesellschaften, Handelsplätze, verschiedene Register, Versicherungsunternehmen und -vermittler, Ratingagenturen, Wirtschaftsprüfungsgesellschaften etc.
  • IKT-Drittanbieter wie Unternehmen, die digitale Dienste und Datendienste erbringen, Cloud und Software-Anbieter, Datenanalysedienste und Rechenzentren

Der DORA-Entwurf beschreibt sechs Anforderungsbereiche, die weitestgehend das gesamte Spektrum eines IKT-Risikomanagements abdecken und mit den implementierten Prozessen und Verfahren von Finanzdienstleistern in Einklang zu bringen sind:

  • Anforderungen an die Governance
  • Anforderungen an das IKT-Risikomanagement
  • Meldung IKT-bezogener Vorfälle
  • Prüfung der digitalen Betriebsstabilität
  • Steuerung des Risikos durch IKT-Drittanbieter
  • Vereinbarungen zum Informationsaustausch

FAQ über die EBA Leitlinien zu Auslagerungen

Die Europäische Bankaufsichtsbehörde hat mit ihrer Leitlinie 2019/02 zu Auslagerungen neue aufsichtliche Maßstäbe im Outsourcing-Management geschaffen, die mit deutlich erhöhten Anforderungen an die Beurteilung und Überwachung von Dienstleistern einhergehen. Die neue Richtlinie ersetzt die alte Richtlinie zu diesem Thema aus dem Jahr 2006 und integriert die Inhalte der bereits in Kraft getretenen EBA Empfehlungen zur Auslagerung an Cloud-Anbieter. Mit den EBA Leitlinien zu Auslagerungen wurde ein neuer rechtlicher Rahmen geschaffen, der bei vertraglichen Auslagerungsvereinbarungen eingehalten werden muss.

Ziel der Leitlinien ist es, im Rahmen einer wirksamen internen Governance einschließlich eines soliden Risikomanagements, einheitliche Rahmenbedingungen für das Auslagern von Tätigkeiten zu schaffen, insbesondere mit Blick auf die Auslagerung kritischer oder wesentlicher Funktionen. Damit wird auf den Trend der letzten Jahre reagiert, wesentliche Tätigkeiten an Dritte auszulagern, um sich auf institutsspezifische Kernthemen konzentrieren zu können.

Den EBA Leitlinien nach bezeichnet eine Auslagerung eine Vereinbarung gleich welcher Form zwischen einem Institut und einem Dienstleister, in deren Rahmen der Dienstleister einen Prozess durchführt, eine Dienstleistung erbringt oder eine Tätigkeit ausführt, die das Institut ansonsten selbst übernähme. Sachverhalte wie beispielsweise die Unterhaltung von Räumlichkeiten, der Bezug von Gütern und Versorgungsdienstleistungen oder der Bezug von Marktinformationsdiensten sind dabei nicht als Auslagerung zu verstehen.

Im Vergleich zu ihrem Vorgänger, der ausschließlich für Kreditinstitute galt, gelten die Leitlinien zu Auslagerungen für alle Finanzinstitute, die dem Mandat der EBA unterliegen, d. h. für Kreditinstitute und Wertpapierfirmen, die der Eigenkapitalrichtlinie (Richtlinie 2013/36/EU des Europäischen Parlaments und des Rates vom 26. Juni 2013) unterliegen, sowie für Zahlungsinstitute und E-Geld-Institute. Ausgenommen von den Richtlinien sind lediglich Zahlungsinstitute, die ausschließlich Kontoinformationsdienste erbringen.

Die EBA fordert unter anderem ein standardisiertes Risikomanagement, Meldepflichten, wie sie aus dem Versicherungswesen bereits bekannt sind, und Mindeststandards an die Dokumentation. Handlungsbedarf besteht insbesondere in folgenden Bereichen:

  • Erarbeitung und Festlegung angemessener Strategien und Prozesse sowie Dokumentation dieser in einer Auslagerungsrichtlinie
  • Analyse der Geschäftsprozesse und Identifikation von kritischen und wichtigen Funktionen
  • Berücksichtigung der verschärften Anforderungen an das Risikomanagement
  • Identifikation von Interessenskonflikten im Risikomanagement
  • Erhöhte Anforderungen an Auslagerungsregister
  • Meldepflicht für wesentliche Auslagerungen
  • Prüfrechte auch für nicht wesentliche Auslagerungen
  • Umfassende Risikoanalyse im Rahmen von Due Diligence-Prüfungen zur Auswahl und Überwachung von Vertragspartnern
  • Erarbeiten von Ausstiegsstrategien für den Fall der Beendigung einer Auslagerungsvereinbarung

Erfahren Sie wie ECM für Compliance sorgt.

    *=Pflichtfeld

    Ich möchte einen Rückruf

    Kluge Lösungen für Ihren Digital Workplace

    eviatec digitalisiert Ihren Arbeitsplatz. Mit durchdachten Lösungen für effizientes Enterprise Content Management (ECM) und Dokumentenmanagement (DMS) optimieren wir Ihre Geschäftsprozesse und machen Sie fit für die digitale Zukunft.

    eviatec Orchestration Manager

    Mit dem eviatec Orchestration Manager (EOM) bündeln Sie heterogene IT-Systeme in durchgehenden Prozessen.

    Seite teilen