DORA (Digital Operational Resilience Act) zielt u.a. auf die Risiken, die durch die Nutzung von Dienstleistungen im Bereich Informations- und Kommunikationstechnologie (IKT) entstehen können. Von den Finanzunternehmen verlangt DORA eine Einschätzung und Überwachung der IKT-Drittparteienrisiken – und zwar während des gesamten Lebenszyklus des Bezugs. scrioo ermöglicht Finanzunternehmen eine wirksame Überwachung durch permanente risiko- und dienstleisterfokussierte Echtzeit-Medienbeobachtung.
Mit DORA, der Verordnung (EU) 2022/2554 über die digitale operationale Resilienz im Finanzsektor, hat die Europäische Union eine finanzsektorübergreifende europäische Regulierung für die Themen digitale operationale Resilienz, IKT-Risiken und Cybersicherheit geschaffen. Die Verordnung ist am 16.01.2023 in Kraft getreten und wird ab dem 17.01.2025 Anwendung finden, d.h. ab dann sind die Anforderungen der DORA von allen Finanzunternehmen zu erfüllen. Rund 22.000 Finanzunternehmen innerhalb der EU sind daher aktuell mit der Umsetzung befasst.
DORA fokussiert auf die Governance und Organisation des IKT-Risikomanagements, d.h. das wirksame und umsichtige Management der IKT-Risiken zur Stärkung der digitalen Resilienz des einzelnen Finanzunternehmens durch einen internen Governance- und Kontrollrahmen, mit dem sie ihre IKT-Risiken systematisch identifizieren, bewerten und steuern können. „Finanzunternehmen ermitteln kontinuierlich alle Quellen für IKT-Risiken“ heißt es in Artikel 8 Absatz 2 DORA. Ferner: „Im Einklang mit ihrem IKT-Risikomanagementrahmen minimieren Finanzunternehmen die Auswirkungen von IKT- Risiken, indem sie geeignete Strategien, Leit- und Richtlinien, Verfahren, IKT-Protokolle und Tools einsetzen.“ (Art.6 Abs. 3 DORA).
Hinsichtlich des Managements des IKT-Drittparteienrisikos sind Audits und Inspektionen ein wesentliches Mittel. Ein weiteres, sehr effektives Werkzeug bietet die Echtzeit-Medienanalyse, denn diese ermöglicht Finanzunternehmen die permanente Überwachung ihrer Dienstleister hinsichtlich multipler Risiken, z.B. Cyberangriffe, Datenlecks oder andere Sicherheitsrisiken. Mehr noch – auch mögliche wirtschaftliche Risiken beim Partner, welche sich wiederum auf die Dienstleistungsqualität auswirken könnten, lassen sich identifizieren, etwa hohe Mitarbeiterfluktuation, gerichtliche Auseinandersetzungen oder plötzliche Wechsel im Management. Und auch übergeordnete Risiken wie Naturkatastrophen, welche den IKT-Dienstleister (be)treffen könnten, halten Sie im Blick. Wird ein neues Risiko erkannt, erhalten Sie sofort einen scrioo Alert per E-Mail.
Doch die Plattform geht weit über die Risikoidentifikation hinaus. So können Sie identifizierte Risiken direkt aus der Plattform an den Dienstleister senden und eine Stellungnahme einfordern. Zudem lassen sich Risiken über alle Dienstleister analysieren oder bestimmte Risikotypen jeweils zuständigen internen Mitarbeitern zuschlüsseln. Und jegliche Vorgänge werden verlässlich dokumentiert und lassen sich somit in einen Reporting überführen.
Ihr Interesse ist geweckt? Fordern Sie jetzt eine Demo an.
Comments