IKT-Drittparteirisiken & Third Party Risk Management (TPRM) im Fokus von DORA

• Neue DORA-Anforderungen an den Umgang mit IKT-Risiken und die Dienstleister-Überwachung im TPRM
• Häufig identifizierte Umsetzungs-Schwierigkeiten im TPRM
• Effektive Steuerung von Drittparteirisiken bei Auslagerungen und IKT-Drittdienstleistungen – Abgrenzungen MaRisk zu DORA und Vorgehensweise in der Praxis
• Wirtschaftsprüfer-Erfahrungsbericht: Durchführung / Begleitung von (Sonder-)Prüfungen der BaFin / BuBa mit Schwerpunkt IKT-TPRM

Die neuen DORA-Anforderungen verändern grundlegend den Umgang mit IKT-Risiken und die Überwachung von Dienstleistern im Third Party Risk Management (TPRM). Finanzinstitute müssen IKT-Risiken systematisch identifizieren, bewerten und steuern, um die digitale operationale Resilienz zu gewährleisten. Besonders kritisch sind die neuen Kriterien zur Einstufung wesentlicher und kritischer IKT-Dienstleister sowie die erweiterten Anforderungen an die Vertragsgestaltung, Prüfrechte und Notfallpläne. Zudem gelten DORA und MaRisk parallel, sind aber nicht vollständig deckungsgleich, wodurch es zu Doppelregulierungen kommt.

Herausforderungen ergeben sich zudem bei der Integration der neuen DORA-Vorgaben in bestehende TPRMProzesse, insbesondere in der Dokumentation, Risikoanalyse und Berichterstattung. Schärfere Meldepflichten bei IKT-Vorfällen und regulatorische Vorgaben zu Exit- Strategien erhöhen den Handlungsdruck.

Die erfahrenen Referenten aus der Instituts- und Prüfungs-Praxis zeigen praxisnahe Lösungen zur DORAkonformen Umsetzung und Prüfung auf und geben wertvolle Umsetzungs- Hinweise und Praxis-Tipps.

Die Referent*innen geben ausschließlich ihre persönliche Auffassung und nicht die eines bestimmten Instituts, der Bundesbank, der BaFin oder einer anderen Aufsichtsbehörde wieder. Die Referent*innen nehmen auch keine offizielle aufsichtliche Auslegung regulatorischer Sachverhalte vor.