Überprüfung der DORA-Konformität von (IKT-)Dienstleistern & Cloud Service Providern

• Verschärfte Anforderungen aus neuen DORA-Vorgaben an die Sicherstellung der Ordnungsmäßigkeit der Prozesse und Abläufe im Auslagerungsmanagement und bei IKT-Drittdienstleistern
• Beurteilung der Ordnungsmäßigkeit der organisatorischen Ausgestaltung und Prozess-Strukturen des IKT-Dienstleisters
• Prüfung der Funktionsfähigkeit /Ordnungsmäßigkeit der Dienstleister-Prozesse sowie der Wirksamkeit der Internen Revision des (IT-)Dienstleisters

Durch DORA ist ein direkter Aufsichtszugriff auf die – bisher nicht direkt regulierten – Dienstleister möglich. Aufgrund steigender (IKT-)Risiken prüft die Aufsicht zunehmend intensiver das Auslagerungsmanagement und die Dienstleistersteuerung der Banken und Sparkassen sowie die daran angeschlossenen Dienstleister.

Für die auslagernden Institute ist es daher umso wichtiger, funktionierende Prozesse im Auslagerungsmanagement, der Dienstleistersteuerung und der Internen Revision aufzubauen, um Risiken aus Auslagerungen und besonders bei IKT-Dienstleistungen frühzeitig zu erkennen und Gegensteuerungsmaßnahmen einleiten zu können.

Hierfür sind teilweise Vor-Ort- Prüfungen des Dienstleisters notwendig, um abschätzen zu können, welche Risiken für die Institute aus der Dienstleistung bestehen und um den Aussagegehalt der Dienstleister- Berichterstattung einschätzen zu können.

Mit zunehmender Größe der IKT-Dienstleister und Cloud-Service- Provider gestaltet sich auch deren Überprüfung bzw. Risikoanalyse zunehmend schwierig und die Verhandlungsmacht des auslagernden Instituts sinkt mit zunehmender Dienstleister-Abhängigkeit.