DORA: Digital Operational Resilience Act

DORA-Informationsregister für IKT-Drittdienstleister mit der Microsoft Power Platform erstellen und pflegen

Maßgeschneiderte Lösungen von HSO für ein effizientes Drittparteienmanagement

In diesem Blog möchten wir Ihnen einen umfassenden Überblick über die wichtigsten Fragen zur DORA Verordnung, dem DORA IKT Informationsregister und der Relevanz unserer technologischen Lösung mit der Microsoft Power Platform geben. Wir möchten Ihnen helfen, häufig gestellte Fragen zu beantworten und zu verstehen, was die DORA Verordnung bedeutet und welche konkreten Anforderungen das DORA Informationsregister für IKT-Drittdienstleister mit sich bringt. Außerdem zeigen wir Ihnen, wie Sie die regulatorischen Anforderungen sicher und effizient mit unserer HSO-Solution auf Basis der Microsoft Power Platform umsetzen und zukünftig managen können. Nicht zuletzt möchten wir Ihnen unseren umfassenden Support anbieten, um Sie beim Aufbau eines sicheren sowie daten- und kollaborationszentrierten DORA-Informationsregisters zu unterstützen. 

Digital Operational Resilience Act

Was ist der Digital Operational Resilience Act und warum ist er so wichtig? 

Der Digital Operational Resilience Act, kurz DORA, ist eine Verordnung, die innerhalb der Europäischen Union aufsichtsrechtliche Regelungen im Bereich Drittparteienmanagement und Informationssicherheit harmonisiert

Welche Art von Unternehmen betrifft die DORA-Verordnung?

Die DORA Verordnung betrifft eine breite Palette von Finanzunternehmen und IKT-Dienstleistern innerhalb der EU. Dazu gehören unter anderem Banken, Versicherungen, Investmentgesellschaften oder Anbieter von Kryptoanlagen. Darüber hinaus können auch IKT Drittdienstleister, die IKT Dienstleistungen bereitstellen, verpflichtet sein, die Anforderungen von Digital Operational Resilience Act zu erfüllen.

Welche konkreten Anforderungen werden durch die DORA-Verordnung eingeführt?

Die DORA Verordnung führt spezifische und präskriptive Anforderungen ein, die sich auf fünf Schlüsselthemen konzentrieren: IKT Risikomanagement, Meldung von IKT-bezogenen Vorfällen, Tests zur digitalen operationellen Widerstandsfähigkeit, Management von Risiken durch Drittanbieter und Informationsaustausch.

Wann müssen die Vorgaben aus dem Digital Operational Resilience Act umgesetzt werden?

Die Verordnung trat am 17. Januar 2023 in Kraft und findet ab dem 17. Januar 2025 Anwendung. Bis dahin haben die betroffenen Finanzinstitute Zeit, ihre Compliance-Lücken durch eine GAP-Analyse zu identifizieren und zu schließen.

Wie wird die Einhaltung der DORA-Verordnung überwacht und durchgesetzt?

Die Einhaltung der DORA Verordnung wird von den Europäischen Aufsichtsbehörden (ESAs) überwacht. Finanzunternehmen müssen sicherstellen, dass sie den Anforderungen der Verordnung entsprechen, und können bei Nichteinhaltung mit Sanktionen und Strafen konfrontiert werden.

DORA Informationsregister für IKT-Drittdienstleister

Was bedeutet die Einführung des DORA-Informationsregister?

Ab 2025 sind Finanzinstitute verpflichtet, ein detailliertes und aktuelles DORA-Informationsregister über die vom Institut beauftragten IKT-Drittdienstleister zu führen. Die genauen Anforderungen sind in den am 10.01.2024 final veröffentlichten Implementing Technical Standards (ITS) festgelegt. Diese Anforderungen gehen über die bisherige regulatorische Praxis hinaus, wie z.B. das EBA-Auslagerungsregister, und beinhalten eine größere Anzahl von Datensätzen sowie mehr Datenpunkte pro Datensatz. .

Welche Informationen müssen im neuen DORA Informationsregister für IKT-Drittdienstleister enthalten sein?

Das neue DORA IKT-Register umfasst knapp hundert Attribute in 15 Untertabellen mit teils komplexen vordefinierten Antwortoptionen. Es enthält auch Informationen über sonstige IT-Fremdbezüge, die bisher in ähnlichen Registern nicht erfasst wurden. Die Daten müssen kontinuierlich aktuell gehalten werden und bis zu 5 Jahre nach Beendigung der Leistungsbeziehung ausgewiesen werden.

Wie wirkt sich das DORA IKT-Register auf die operative Führung des Register aus?

Die Zusammenarbeit zwischen der ersten (1st LoD) und zweiten Verteidigungslinie (2nd LoD) am IKT-Register wird zu einem Daten- und Kollaborationsthema. Bisher wurden ähnliche Berichtsanforderungen häufig in Excel-Dateien geführt, was jedoch angesichts des neuen Umfangs an Daten und beteiligten Stakeholdern nicht mehr ausreicht.

Was macht das DORA IKT-Register so anspruchsvoll?

Das DORA IKT-Register besteht aus einer Vielzahl von Attributen, verteilt auf 15 Tabellenblättern, die für IKT-Leistungen erfasst werden müssen. Innerhalb des Registers gibt es zahlreiche Querverweise, abhängige Pflichtfelder sowie einen starken Fokus auf Datenqualität, weshalb Eingabeformate und Datentypen speziell definiert sind. Die Informationen werden in der Regel innerhalb der 1st LoD erfasst und gepflegt. Die 2nd LoD muss in der Lage sein, Änderungen nachzuvollziehen und ggf. zu korrigieren. Darüber hinaus werden derzeit ähnliche Informationen in anderen Berichten wie z.B. dem EBA-Auslagerungsregister oder dem IT-Risk Questionnaire abgefragt, wobei sich die geforderten Datentypen und Formatvorgaben häufig unterscheiden.
Die große Anzahl an IKT-Dienstleistungen und die damit verbundenen und zu involvierenden Stakeholder sowie die heterogene Datenlandschaft und redundante Datenerfassung werden zukünftig eine große Herausforderung darstellen.

Warum reicht eine einfache Excel-Tabelle nicht für das DORA IKT-Register aus?

Das DORA IKT-Reporting stellt eine weitere Berichtspflicht im Finanzsektor dar. Die Meldungen rücken zunehmend in den Fokus der Aufsicht, so stellt beispielsweise die Bafin in ihrem Bericht „Risiken im Fokus der Bafin 2024“ IKT-Risikokonzentrationen als einen der Hauptfokusbereiche dar. Die Berichte müssen mit den Vorjahresangaben sowie untereinander konsistent und vergleichbar sein. Auch dies wird von der Aufsicht aktiv geprüft.
 
Bei dieser Vielzahl an Berichtsanforderungen und beteiligten Stakeholdern, den sich ändernden IKT-Leistungsbeziehungen und dem wachsenden Fokus der Aufsicht stößt Excel sehr schnell an seine Grenzen. Kollaboration, Berechtigungsmanagement und Zugriffssteuerung sowie mögliche Freigabeprozesse lassen sich mit Excel nur bedingt abbilden. Zudem ist Excel oft als eine Art Schattenbuchhaltung angelegt und greift nicht auf die vorhandenen Live-Daten z.B. aus einem Vertragsverwaltungssystem oder einem Auslagerungsmanagementsystem zu. Um ein stets aktuelles und pflegeleichtes Register führen zu können, ist Excel daher nicht geeignet.

Welche Vorteile bietet die Microsoft Power Platform Lösung für DORA IKT-Register Kontrolle im Vergleich zu Excel?

Die Microsoft Power Platform bietet erweiterte Funktionen, die Excel bei der Verwaltung komplexer Anforderungen wie dem DORA IKT-Register überlegen sind. Power Apps, ein Teil der Power Platform, ermöglicht z.B. die Entwicklung anpassbarer, mitarbeiterorientierter Anwendungen, die auf große Datenstrukturen zugreifen und diese effizient verwalten können. Dies ist von entscheidender Bedeutung für das DORA IKT-Register, das sich durch eine komplexe Datenstruktur, hohe Anforderungen an die Datenqualität und -konsistenz sowie die Einhaltung von Compliance-Anforderungen definiert.

Die Power Platform bietet Lösungen für Freigabeprozesse, Erinnerungen über Teams und Outlook, effiziente Benutzerverwaltung und sichere Änderungsverfolgung. Diese Funktionen sind unerlässlich, um den Herausforderungen umfangreicher Berichtsanforderungen und sich ändernder IKT-Leistungsbeziehungen gerecht zu werden. Im Gegensatz zu Excel verbessert die Power Platform die Zusammenarbeit und das Datenmanagement erheblich, ermöglicht den Zugriff auf Live-Daten und sorgt für eine aktuelle, leicht zu pflegende Datenbasis.

Kurz gesagt, die Microsoft Power Platform bietet eine robuste, sichere und zeitgemäße Lösung für das DORA IKT-Register, die flexibel und anpassungsfähig für zukünftige Anforderungen bleibt.

Gibt es Potenzial für zukünftige Erweiterungen der Microsoft Power Platform Lösung?

Ja, sowohl die IKT-Lösung kann jederzeit spezifisch erweitert und angepasst werden, wie auch neue Lösungen geschaffen werden können. Die Microsoft Power Platform dient als zentrale No-Code / Low-Code Technologieplattform, auf der sämtliche Lösungen aufgebaut werden können.

Wie unterstützt HSO beim Aufbau des DORA-Informationsregister?

Der zuständige Bereich Financial Services hat in diesem Zusammenhang bereits eine Power Platform Lösung für das Informationsregister DORA entwickelt, welche die Basis für eine kundenindividuelle Lösung darstellt. Auf dieser Basis kann im Rahmen eines gemeinsamen Implementierungsprojektes unter Berücksichtigung der vorliegenden kundenspezifischen Anforderungen gemeinsam, schnell und effizient eine individuelle, leistungsfähige Lösung umgesetzt werden.

Dabei profitieren Sie sowohl vom umfassenden Branchen- und Compliance-Knowhow als auch von der lösungsorientierten und zukunftsfähigen Technologie-DNA der HSO. Erfahren Sie hier mehr über unsere kundenindividuelle Lösung DORA-Informationsregister mit Microsoft Power Platform.

Erfahren Sie hier mehr über unsere Projekte

Warum HSO?

Sie möchten mehr über unsere Softwarelösung für das DORA IKT-Register erfahren? Jetzt kostenfreie Beratung anfragen.

Profitieren Sie von der HSO-Softwarelösung auf Basis der Microsoft Power Platform für Ihr IKT-Reporting und erstellen Sie interne und externe Berichte für Ihr Drittparteienmanagement einfach, effizient und sicher.

Mit der Nutzung dieses Formulars erklären Sie sich mit der Speicherung und Verarbeitung der von Ihnen angegebenen Daten gemäß unserer Private Policy einverstanden. Sie können sich jederzeit von den gesendeten Nachrichten abmelden. Bitte lesen Sie unsere Datenschutzerklärung, um weitere Informationen darüber zu erhalten, wie Sie sich abmelden können, wie wir mit dem Datenschutz verfahren und wie wir uns für den Schutz und die Wahrung Ihrer Privatsphäre einsetzen.