DORA "Digital Operational Resilience Act"
DORA-Informationsregister für IKT-Drittdienstleister mit der Microsoft Power Platform erstellen und pflegen
Maßgeschneiderte Lösungen von HSO für ein effizientes Drittparteienmanagement
In diesem Blog möchten wir Ihnen einen umfassenden Überblick über die wichtigsten Fragen zur DORA-Verordnung, dem DORA IKT-Informationsregister und der Relevanz unserer technologischen Lösung mit der Microsoft Power Platform geben. Wir möchten Ihnen helfen, häufig gestellte Fragen zu beantworten und zu verstehen, was die DORA-Verordnung bedeutet und welche konkreten Anforderungen das DORA-Informationsregister für IKT-Drittdienstleister mit sich bringt.
Außerdem zeigen wir Ihnen, wie Sie die regulatorischen Anforderungen sicher und effizient mit unserer HSO-Solution auf Basis der Microsoft Power Platform umsetzen und zukünftig managen können. Nicht zuletzt möchten wir Ihnen unseren umfassenden Support anbieten, um Sie beim Aufbau eines sicheren sowie daten- und kollaborationszentrierten DORA-Informationsregisters zu unterstützen.
Der Digital Operational Resilience Act, kurz "DORA", ist eine Verordnung, die innerhalb der Europäischen Union aufsichtsrechtliche Regelungen im Bereich Drittparteienmanagement und Informationssicherheit harmonisiert.
Die DORA-Verordnung betrifft eine breite Palette von Finanzunternehmen und IKT-Dienstleistern innerhalb der EU. Dazu gehören unter anderem Banken, Versicherungen, Investmentgesellschaften oder Anbieter von Kryptoanlagen. Darüber hinaus können auch IKT-Drittdienstleister, die IKT-Dienstleistungen bereitstellen, verpflichtet sein, die Anforderungen des Digital Operational Resilience Act zu erfüllen.
Die DORA-Verordnung führt spezifische und präskriptive Anforderungen ein, die sich auf fünf Schlüsselthemen konzentrieren: IKT-Risikomanagement, Meldung von IKT-bezogenen Vorfällen, Tests zur digitalen operationellen Widerstandsfähigkeit, Management von Risiken durch Drittanbieter und Informationsaustausch.
Die Verordnung trat am 17. Januar 2023 in Kraft und findet ab dem 17. Januar 2025 Anwendung. Bis dahin haben die betroffenen Finanzinstitute Zeit, ihre Compliance-Lücken durch eine GAP-Analyse zu identifizieren und zu schließen.
Die Einhaltung der DORA-Verordnung wird von den Europäischen Aufsichtsbehörden (ESAs) überwacht. Finanzunternehmen müssen sicherstellen, dass sie den Anforderungen der Verordnung entsprechen, und können bei Nichteinhaltung mit Sanktionen und Strafen konfrontiert werden.
Ab 2025 sind Finanzinstitute verpflichtet, ein detailliertes und aktuelles DORA-Informationsregister über die vom Institut beauftragten IKT-Drittdienstleister zu führen. Die genauen Anforderungen sind in den am 10.01.2024 final veröffentlichten Implementing Technical Standards (ITS) festgelegt. Diese Anforderungen gehen über die bisherige regulatorische Praxis hinaus, wie z.B. das EBA-Auslagerungsregister, und beinhalten eine größere Anzahl von Datensätzen sowie mehr Datenpunkte pro Datensatz.
Das neue DORA IKT-Register umfasst knapp hundert Attribute in 15 Untertabellen mit teils komplexen vordefinierten Antwortoptionen. Es enthält auch Informationen über sonstige IT-Fremdbezüge, die bisher in ähnlichen Registern nicht erfasst wurden. Die Daten müssen kontinuierlich aktuell gehalten werden und bis zu 5 Jahre nach Beendigung der Leistungsbeziehung ausgewiesen werden.
Die Zusammenarbeit zwischen der ersten (1st LoD) und zweiten Verteidigungslinie (2nd LoD) am IKT-Register wird zu einem komplexen Daten- und Kollaborationsthema. Bisher wurden ähnliche Berichtsanforderungen häufig in Excel-Dateien geführt, was jedoch angesichts des neuen Umfangs an Daten und beteiligten Stakeholdern nicht mehr ausreicht.
Das DORA IKT-Register besteht aus einer Vielzahl von Attributen, verteilt auf 15 Tabellenblättern, die für IKT-Leistungen erfasst werden müssen. Innerhalb des Registers gibt es zahlreiche Querverweise, abhängige Pflichtfelder sowie einen starken Fokus auf Datenqualität, weshalb Eingabeformate und Datentypen speziell definiert sind. Die Informationen werden in der Regel innerhalb der 1st LoD erfasst und gepflegt. Die 2nd LoD muss in der Lage sein, Änderungen nachzuvollziehen und ggf. zu korrigieren. Darüber hinaus werden derzeit ähnliche Informationen in anderen Berichten wie z.B. dem EBA-Auslagerungsregister oder dem IT-Risk Questionnaire abgefragt, wobei sich die geforderten Datentypen und Formatvorgaben häufig unterscheiden.
Die große Anzahl an IKT-Dienstleistungen und die damit verbundenen und zu involvierenden Stakeholder sowie die heterogene Datenlandschaft und redundante Datenerfassung werden zukünftig eine große Herausforderung darstellen.
Das DORA IKT-Reporting stellt eine weitere Berichtspflicht im Finanzsektor dar. Die Meldungen rücken zunehmend in den Fokus der Aufsicht, so stellt beispielsweise die Bafin in ihrem Bericht „Risiken im Fokus der Bafin 2024“ IKT-Risikokonzentrationen als einen der Hauptfokusbereiche dar. Die Berichte müssen mit den Vorjahresangaben sowie untereinander konsistent und vergleichbar sein. Auch dies wird von der Aufsicht aktiv geprüft.
Bei dieser Vielzahl an Berichtsanforderungen und beteiligten Stakeholdern, den sich ändernden IKT-Leistungsbeziehungen und dem wachsenden Fokus der Aufsicht stößt Excel sehr schnell an seine Grenzen. Kollaboration, Berechtigungsmanagement und Zugriffssteuerung sowie mögliche Freigabeprozesse lassen sich mit Excel nur bedingt abbilden. Zudem ist Excel oft als eine Art Schattenbuchhaltung angelegt und greift nicht auf die vorhandenen Live-Daten z.B. aus einem Vertragsverwaltungssystem oder einem Auslagerungsmanagementsystem zu. Um ein stets aktuelles und pflegeleichtes Register führen zu können, ist Excel daher nicht geeignet.
Die Microsoft Power Platform bietet erweiterte Funktionen, die Excel bei der Verwaltung komplexer Anforderungen wie dem DORA IKT-Register überlegen sind. Power Apps, ein Teil der Power Platform, ermöglicht z.B. die Entwicklung anpassbarer, mitarbeiterorientierter Anwendungen, die auf große Datenstrukturen zugreifen und diese effizient verwalten können. Dies ist von entscheidender Bedeutung für das DORA IKT-Register, das sich durch eine komplexe Datenstruktur, hohe Anforderungen an die Datenqualität und -konsistenz sowie die Einhaltung von Compliance-Anforderungen definiert.
Die Power Platform bietet Lösungen für Freigabeprozesse, Erinnerungen über Teams und Outlook, effiziente Benutzerverwaltung und sichere Änderungsverfolgung. Diese Funktionen sind unerlässlich, um den Herausforderungen umfangreicher Berichtsanforderungen und sich ändernder IKT-Leistungsbeziehungen gerecht zu werden. Im Gegensatz zu Excel verbessert die Power Platform die Zusammenarbeit und das Datenmanagement erheblich, ermöglicht den Zugriff auf Live-Daten und sorgt für eine aktuelle, leicht zu pflegende Datenbasis.
Kurz gesagt, die Microsoft Power Platform bietet eine robuste, sichere und zeitgemäße Lösung für das DORA IKT-Register, die flexibel und anpassbar für zukünftige Anforderungen bleibt.
Ja, sowohl die IKT-Lösung kann jederzeit spezifisch erweitert und angepasst werden, wie auch neue Lösungen geschaffen werden können. Die Microsoft Power Platform dient als zentrale No-Code / Low-Code Technologieplattform, auf der sämtliche Lösungen aufgebaut werden können.
Unsere Branchen-Experten aus dem Financial Services-Team haben in diesem Zusammenhang bereits eine Power Platform Lösung für das Informationsregister DORA entwickelt, welche die Basis für eine kundenindividuelle Lösung darstellt. Auf dieser Basis kann im Rahmen eines gemeinsamen Implementierungsprojektes unter Berücksichtigung der vorliegenden kundenspezifischen Anforderungen gemeinsam, schnell und effizient eine individuelle, leistungsfähige Lösung umgesetzt werden.
Dabei profitieren Sie sowohl vom umfassenden Branchen- und Compliance-Knowhow als auch von der lösungsorientierten und zukunftsfähigen Technologie-DNA der HSO. Erfahren Sie hier mehr über unsere kundenindividuelle Lösung DORA-Informationsregister mit Microsoft Power Platform.
Automatisieren Sie manuelle Prozesse und digitalisieren Sie Ihre Systeme
Als Microsoft-Partner unterstützen wir Sie dabei, Ihr Unternehmen kosteneffizient, zeitsparend und nahtlos auf Basis Ihrer bestehenden IT-Systeme weiter zu digitalisieren.
Erfahren Sie hier mehr über unsere Projekte
Diese Themen könnten Sie auch interessieren
Warum HSO?
Die Microsoft Cloud Zertifizierung bestätigt unsere Kompetenz in allen 6 Solution Designationen des Microsoft Cloud Partner-Programms: Business Applications, Data & AI (Azure), Digital App & Innovation (Azure), Infrastructure (Azure), Modern Work und Security.
Nur die besten Anbieter von Cloud Managed Services werden mit dem Microsoft Azure Expert MSP Badge ausgezeichnet. Jährlich prüft eine unabhängige Gesellschaft, ob wir die Infrastruktur unserer Kunden zuverlässig in der Microsoft Cloud managen können.
HSO ist seit 20 Jahren Mitglied beim Microsoft Inner Circle – eine exklusive Gemeinschaft, zu der weltweit nur das Top 1% aller Microsoft-Partner gehört. Die Mitgliedschaft bestätigt unsere Kompetenz mit der gesamten Microsoft-Plattform.
Wir betreiben ein ISO 27001-zertfiziertes Information Security Management System. Das ISO 27001 Zertifikat bescheinigt, dass Informationssicherheit und Compliance-Vorgaben bei HSO eingehalten und gelebt werden.
Profitieren Sie von der HSO-Softwarelösung auf Basis der Microsoft Power Platform für Ihr IKT-Reporting und erstellen Sie interne und externe Berichte für Ihr Drittparteienmanagement einfach, effizient und sicher.
