Stefan Wendt
Eines der zentralen Instrumente, das der Digital Operational Resilience Act (DORA) fordert, ist ein effektives Informationsregister. Es soll gewährleisten, dass Finanzdienstleister die Übersicht über bestehende Abhängigkeiten von Drittanbietern behalten. Was vergleichsweise trivial erscheint, ist aber tatsächlich eine der höheren Hürden auf dem Weg zur Compliance, die bis Januar 2025 hergestellt sein muss. Es gibt Werkzeuge dafür – deren Qualität sich aber erst noch beweisen muss.
DORA legt einen einen Schwerpunkt auf den angemessenem Umgang mit der zunehmenden Abhängigkeit des Finanzsektors von Drittanbietern. Ziel ist es, die Betriebsstabilität im Falle einer schwerwiegenden Störung aufrechtzuerhalten. Die Voraussetzung dafür ist naheliegend: Eine Bank muss ein umfassendes und aktuelles Bild von seinen Drittanbietern haben und die Vertragsbeziehungen im Blick behalten.
Deshalb ist eine Kernanforderung und ein wesentlicher Teil des Managements des IKT-Drittparteienrisikos aus DORA der Aufbau und Unterhalt des Informationsregisters, „(…) das sich auf alle vertraglichen Vereinbarungen über die Nutzung von durch IKT-Drittdienstleister bereitgestellten IKT-Dienstleistungen bezieht (…)“. Jedes Finanzunternehmen muss künftig solch ein Register vorhalten – ein reines Auslagerungsregister gemäß EBA- und die EIOPA-Leitlinien reicht von seinem Informationsgehalt nicht aus. Und das ist keineswegs eine untergeordnete Regelung: Europäische (EBA, EIOPA und ESMA) sowie nationale Aufsichten (BaFin, FMA) haben in ihren Hearings und Veröffentlichungen mehrfach klargemacht, dass sie mit Blick auf den Stichtag beim Informationsregister kein „Pardon“ walten lassen werden.
Immer weniger Anbieter, immer höhere Konzentrationsrisiken
Ein Informationsregister zahlt ganz wesentlich auf die Kernideen von DORA ein. Europäische und nationale Finanzmarktaufsichten wissen um den hohen Grad extern vergebener IKT-Dienstleistungen an Dritte – entsprechend hoch sind Fremdvergabequote und Abhängigkeit der Finanzunternehmen.
Tatsache ist, dass immer weniger Dienstleister in der Lage sind, den aufsichtlichen und regulatorischen Anforderungen mittelbar nachzukommen. Zwangsläufig verringert sich damit der Kreis der Anbietere, auf den Banken und Versicherungen zurückgreifen können. Zugleich nutzen immer mehr Finanzunternehmen auch die Public-Cloud-Umgebungen der US-Hyperscaler wie AWS, GCP und Microsoft Azure auch für kritische Applikationen und Daten, was ein hohes Maß an Konzentrationsrisiken verursacht. Kommt es zu betrieblichen Störungen in den IKT-Diensten eines Unternehmens oder wird ein Unternehmen erfolgreich von außen angegriffen, in seinen Daten und Systemen korrumpiert, wächst aufgrund der hohen Abhängigkeiten die Ansteckungsgefahr, dass sich diese Vorfälle vermehren und aus einem Einzelfall eine systemische Bedrohung wird.
Um diese Risiken steuern zu können, muss das besagte Informationsregister alle vertraglichen Vereinbarungen betreffend die Nutzung von IKT-Dienstleistungen, die von IKT-Drittdienstleistern bereitgestellt werden, dokumentieren. Und die Finanzunternehmen müssen es den Aufsichtsbehörden jederzeit ganz oder in Teilen zur Verfügung stellen können, um letzteren ein Verständnis der IKT-bezogenen Abhängigkeiten des Unternehmens zu ermöglichen.
Einfache Anforderung, hoch komplexe Umsetzung
Für die Realisierung stellen die Aufsichtsbehörden einen Implementing Technical Standard (ITS) zur Verfügung. Er gibt mit 15 (!) Tabellenblättern, die durch die Verwendung verschiedener spezifischer Schlüssel miteinander verbunden sind, und den damit verbundenen rund 100 (!) Attributen/Datenfeldern standardisierte Vorlagen zur Erfassung vor. Auf diese Weise sind Informationen, die im Zusammenhang mit den von den Finanzunternehmen beauftragten IKT-Drittdienstleistern stehen, zu erfassen und dauerhaft zu pflegen. Die damit verbundenen Datensätze sind deutlich umfangreicher als Auslagerungs- bzw. Ausgliederungsregister nach EBA- und EIOPA-Leitlinien, auch werden mehr Datenpunkte pro Datensatz abgefragt. Vertragsinformationen müssen bis zu fünf Jahre nach Vertragsbeendigung noch verfügbar sein.
Die Herausforderung in der praktischen Umsetzung liegt zunächst in der Komplexität der im Register zu erfassenden IKT-Drittdienstleister-Verträge. DORA verwendet eine deutlich umfassendere Definiton von „IKT“ als bislang geübte Praxis. So spielt es nach DORA fortan keine Rolle mehr, ob eine Auslagerung oder eine Ausgliederung vorliegt; der neue führende Oberbegriff ist „IKT-Drittdienstleistung“, so dass sich schon die schiere Menge der zu erfassenden Verträge um ein Vielfaches erhöht.
Für noch mehr Informationstiefe sorgt die Forderung, die IKT-Drittpartei-Verträge im Register auf Unternehmens- (Mutterunternehmen) sowie teilkonsolidierter und konsolidierter (Tochterunternehmen) Ebene zu erfassen. Unterstützt der IKT-Dienst eine „wichtige“ oder „kritische“ Funktion im Unternehmen, sind zusätzlich die IKT-Dienstleistungsketten, die sich aus den Unterauftragnehmern ergeben, im Informationsregister abzubilden. Ziel ist, die damit verbundenen Risiken feststellen, dokumentieren und überwachen zu können.
Die Praxis zeigt aber aktuell, dass nur der beauftragte IKT-Drittdienstleister als Hauptauftragnehmer alle relevanten Informationen zur gesamten IKT-Subdienstleisterkette zur Verfügung stellen kann; aktuell scheitert es hier noch vielfach an erforderlichem Verständnis und Wissen bei den Dienstleistern.
Revisionssicherheit als Stolperstein für einfache Tabellen
Die praktische Umsetzung des Informationsregisters auf Basis von Spreadsheets, etwa mit MS Excel, ist schon aus Gründen der Komplexität nicht erfolgversprechend. Hinzu kommt, dass vor dem Hintergrund der Anforderungen ein umfassende Historien- und Protokollverwaltung gefordert ist, um die notwendige Revisionssicherheit herzustellen. Gerade der letzte Anspekt lässt erwarten, dass den Aufsichten perspektivisch eine Umsetzung via Tabelle als nicht mehr belastbar erscheinen wird.
Zudem sind praktikable Möglichkeiten für Freigabeprozesse und Reportings wichtig für effiziente Prozesse beim Finanzdienstleister, wenn es um das Handling von Verträgen geht. Vor diesem Hintergrund nutzen viele Banken den aktuell laufenden Prozess der Registereinführung zur Auswahl eines Tools für das IKT-Drittpartei-Risikomanagement, mit dessen Hilfe sich zusätzlich die entsprechenden IKT-Drittdienstleisterverträge verwalten sowie die Analyse und Überwachung der jeweils im Zusammenhang stehenden Risiken realisieren lassen. Dabei zeigt sich, dass ein möglichst umfassender Ansatz, wie ihn Werkzeuge wie CloudGate verfolgen, mehr Erfolg verspricht als singuläre Tools für einzelne Anforderungen wie das Informationsregister.
Spannend wird zu sehen sein, welche Erkenntnisse die freiwilligen Probeläufe für das Informationsregister hervorbringen, die bis zum Frühherbst 2024 von der BaFin bzw. FMA durchgeführt wurden. Die Aufsichtsbehörden liefern dabei Feedback etwa zu der aktuellen Qualität ihrer im Register hinterlegten Daten.