Due Diligence von IKT-Dienstleistungen und IKT-Dienstleistern im Kontext der Anforderungen der DORA-Verordnung

Die Digitalisierung hat in der Finanz- und Versicherungswirtschaft in den letzten Jahren eine beispiellose Dynamik entwickelt. Mit dieser Transformation gehen steigende regulatorische Anforderungen einher, die eine risikoorientierte und strukturierte Steuerung der IT-gestützten Geschäftsprozesse notwendig machen. Die Digital Operational Resilience Act (DORA)-Verordnung der EU stellt dabei einen bedeutenden Meilenstein dar. Diese zielt darauf ab, die digitale Resilienz von Finanzunternehmen und deren Dienstleistern zu stärken und einheitliche Standards in Bezug auf IKT-Risiken zu etablieren. Ein zentrales Element der DORA-Verordnung ist die Due Diligence von IKT-Dienstleistungen und -Dienstleistern. Dieser Blog-Beitrag beleuchtet, wie eine strukturierte und regulatorisch konforme Due Diligence im Finanz- und Versicherungsumfeld ausgestaltet sein muss.

Definition der "kritisch wichtigen Funktion" nach DORA

Eine zentrale Herausforderung bei der Anwendung der DORA-Verordnung ist die eindeutige Definition des Begriffs "kritisch wichtige Funktion". DORA selbst liefert einen Rahmen, überlässt jedoch den konkreten Anwendungsfall der Auslegung durch das Institut. Kritisch wichtig ist eine Funktion dann, wenn ihre Störung erhebliche Auswirkungen auf die finanzielle Stabilität, den Geschäftsbetrieb oder die Einhaltung gesetzlicher Verpflichtungen des Instituts hat. Hierzu zählen insbesondere Kernprozesse wie Zahlungsverkehr, Kreditvergabe, Vermögensverwaltung und regulatorisches Reporting. Die Feststellung der Kritikalität muss systematisch, dokumentiert und auf Grundlage definierter Kriterien erfolgen, wobei sowohl interne als auch externe Faktoren einbezogen werden müssen.

Prozesslandkarte als Grundlage der Due Diligence

Eine aktuelle und vollständige Prozesslandkarte ist das Fundament jeder fundierten Due Diligence. Sie ermöglicht die Identifikation aller relevanten Geschäftsprozesse und deren Abhängigkeiten zu IKT-Dienstleistungen. Nur durch eine vollständige Übersicht lässt sich bewerten, welche Dienste als kritisch einzustufen sind. Die Prozesslandkarte sollte sowohl fachliche als auch technische Prozessbeschreibungen enthalten und klar dokumentieren, welche Softwarelösungen, Hardwarekomponenten und IT-Dienstleister zur Unterstützung der jeweiligen Prozesse eingesetzt werden. Darüber hinaus ist eine kontinuierliche Aktualisierung zwingend notwendig, um Veränderungen durch neue Technologien oder organisatorische Anpassungen adäquat abzubilden.

Schutzbedarfsfeststellung auf Prozess- und Dienstleistungsebene

Ein weiterer zentraler Baustein ist die Schutzbedarfsfeststellung, welche für jeden relevanten Geschäftsprozess und die unterstützenden IKT-Dienstleistungen erfolgen muss. Dabei sind insbesondere die drei Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit (CIA) zu berücksichtigen. Die Schutzbedarfsanalyse sollte risikobasiert erfolgen und im Rahmen der Informationssicherheitsstrategie des Instituts eingebettet sein. Prozesse mit hoher Relevanz für die Einhaltung gesetzlicher Vorgaben oder für den Geschäftserfolg erfordern in der Regel einen hohen Schutzbedarf. Die Analyse muss granular genug sein, um auch Unterschiede innerhalb eines Prozesses oder Dienstes abbilden zu können.

Konsistenzprüfung der Schutzbedarfe

Eine der häufigsten Schwachstellen in Due-Diligence-Prozessen ist die fehlende Konsistenzprüfung der Schutzbedarfe zwischen Prozessen und den sie unterstützenden IKT-Dienstleistungen. Ein Prozess darf niemals einen geringeren Schutzbedarf aufweisen als die zugrunde liegende IKT-Dienstleistung, da dies zu Fehlbewertungen im Risikomanagement führen kann. Daher ist ein Abgleich zwingend erforderlich. Dieser Abgleich stellt sicher, dass die technische und organisatorische Sicherheit der Dienstleistung den Anforderungen des Geschäftsprozesses entspricht. Eventuell sind zusätzliche Maßnahmen, wie Verschlüsselung, Redundanz oder Hochverfügbarkeitslösungen erforderlich, um das erforderliche Schutzniveau zu gewährleisten.

Risikobetrachtung und Dienstleisterbewertung

Im Rahmen der Due Diligence ist eine umfassende Risikobetrachtung des IKT-Dienstleisters durchzuführen. Dazu zählen unter anderem:

• Marktpräsenz: Wie stabil ist der Dienstleister am Markt positioniert? Existieren Anzeichen für wirtschaftliche Schwächen?
• Reifegrad der Dienstleistung: In welchem Stadium befindet sich die angebotene Dienstleistung? Wie lange ist sie bereits produktiv im Einsatz?
• Substituierbarkeit: Wie einfach lässt sich der Dienstleister oder die Dienstleistung ersetzen? Gibt es geeignete Alternativen?
• Standort der Leistungserbringung und Datenspeicherung: Erfolgt die Dienstleistung in einem EU-Mitgliedsstaat oder einem Drittland? Welche Datenschutzanforderungen gelten?
• Sub-Dienstleister: Werden Leistungen an Dritte ausgelagert? Welche Rolle spielen diese in der Leistungserbringung? Wie kritisch ist deren Beitrag?
• Rückführung der Dienstleistung: Welche Komplexität besteht bei einer Rückführung der ausgelagerten Dienstleistung ins Institut? Ist ein Exit-Szenario vorhanden?
• Konzentrationsrisiken: Bestehen Abhängigkeiten von einem oder wenigen Dienstleistern oder Standorten?
• Interessenkonflikte: Gibt es mögliche Interessenkonflikte, etwa durch Beteiligungsverhältnisse?
• EU-Sanktionsliste: Steht der Dienstleister oder einer seiner Sub-Dienstleister auf einer Sanktionsliste?

Diese Kriterien sind systematisch zu erfassen, zu bewerten und regelmäßig zu überprüfen.

Brutto- und Netto-Risiken sowie mitigierende Maßnahmen

Ein zentrales Element der Risikosteuerung ist die Unterscheidung zwischen Brutto- und Netto-Risiken. Bruttorisiken stellen die ungefilterten Risiken dar, die mit der IKT-Dienstleistung einhergehen. Netto-Risiken sind die verbleibenden Risiken nach Berücksichtigung der implementierten Sicherheits- und Steuerungsmaßnahmen. Die Einführung von mitigierenden Maßnahmen – wie etwa SLAs, vertraglichen Ausstiegsoptionen, Business Continuity-Plänen oder technischen Sicherheitsvorkehrungen – ist entscheidend, um die Risiken auf ein akzeptables Maß zu senken. Im Rahmen der Due Diligence sind diese Maßnahmen zu identifizieren, zu bewerten und kontinuierlich auf ihre Wirksamkeit zu prüfen.

Fazit: Due Diligence als kontinuierlicher Steuerungsprozess

Die Due Diligence von IKT-Dienstleistungen und -Dienstleistern ist kein einmaliger Akt, sondern ein kontinuierlicher Prozess, der tief in die IT-Governance und das Risikomanagement eingebettet sein muss. Die Anforderungen der DORA-Verordnung erhöhen die regulatorischen Anforderungen erheblich und erfordern ein strukturiertes, systematisches und nachvollziehbares Vorgehen. Für Institute der Finanz- und Versicherungsbranche bedeutet dies, dass sie ihre Prozesse, Systeme und Dienstleister noch intensiver analysieren, steuern und dokumentieren müssen. Nur so lassen sich die Anforderungen von DORA erfüllen und die digitale Resilienz nachhaltig stärken.