Robin Schmeisser, Geschäftsführer Fabasoft Contracts GmbH

Eine wesentliche Säule des Digital Operational Resilience Act¹ bildet das Management der IKT-Dienstleister. So verpflichtet die DORA-Verordnung der EU-Finanzunternehmen dazu, jegliche bezogenen IT-Services lückenlos und transparent in Form eines Informationsregisters zu dokumentieren. Dieses muss umfangreiche Angaben zu den Lieferanten und IT-Dienstleistungen enthalten, darunter sämtliche Verträge sowie verschiedenste Nachweise und Prüfungen wie Due Diligence, Risikobewertungen und Exit-Strategien. Mit der näher rückenden Umsetzungsfrist bis 17.01.2025 gilt es für die mehr als 22.000 betroffenen Betriebe, rechtzeitig die erforderlichen Maßnahmen zu ergreifen. Eine Schlüsselrolle nimmt dabei die Digitalisierung ein.

An der Quelle der Informationen beginnen

Um die neuen Dokumentations- und Berichtspflichten von DORA schnell und effizient zu erfüllen, braucht es eine nahtlose Digitalisierung des gesamten Auslagerungsprozesses inklusive des aus regulatorischer Sicht erforderlichen Berichtswesens. Mehrfach ausgeführte Tätigkeiten wie das händische Aufsetzen und Warten von Listen, Kalendereinträgen und Auswertungen entfallen damit. Daher ist es essenziell, mit der Digitalisierung bereits beim anfänglichen Sourcing der Lieferanten und dem damit verbundenen Vertragsmanagement zu beginnen. Die Vereinbarungen mit IKT-Dienstleistern enthalten sämtliche relevanten Informationen zum Lieferanten, zur festgelegten Leistung, zu involvierten Subunternehmen u. v. m. und stellen somit die Basis für alle nachfolgenden Aktivitäten dar.

Eine smarte, auf DORA spezialisierte Software wie Fabasoft DORA spart wertvolle Ressourcen, erhöht die Transparenz, minimiert Risiken und sorgt für eine jederzeitige Auskunftsfähigkeit bei Ad-hoc-Anfragen.

Standardisiertes Vorgehen entlang des Auslagerungszyklus

Definierte Vorlagen und Checklisten sowie automatisierte und übersichtliche Zusammenfassungen erleichtern und strukturieren bei Erstklassifizierung der IKT-Dienstleistungen die Vorentscheidung hinsichtlich einer möglichen Auslagerung.

Nach positiver Beurteilung binden normierte Prüfprozesse die Stakeholder in die Abläufe mit ein und sichern die vollständige Einhaltung aller regulatorischen Vorgaben. So initiiert die Software bei Anlage eines neuen IKT-Dienstleisters im System selbstständig die Einholung der notwendigen Unterlagen: Darunter Risikobewertungen, Wesentlichkeitsbeurteilungen, Exit-Strategien, Zertifikate sowie Leistungsbeschreibungen etc. Durch hinterlegte Fristen starten Reminder und gegebenenfalls Eskalationsworkflows, die rechtzeitig an bevorstehende Tätigkeiten (z. B. wiederkehrende Überprüfungen oder Erneuerung von Nachweisen) erinnern.

Zudem unterstützen digitale Prozesse und standardisierte Vorlagen bei der gesetzeskonformen Vertragserstellung. DORA-spezifische Informationen wie die Bewertung der Auslagerung, die Beschreibung des Auslagerungsgegenstands oder die Dokumentation der Assets gelangen aus der Akte direkt in den Vertrag. Die Anwendung und Verwaltung der erforderlichen Klauseln erfolgt mithilfe der Klauselbibliothek verlässlich und gesteuert.

Zur sicheren und nahtlosen Zusammenarbeit integrieren smarte Tools zusätzlich die Lieferanten aktiv in die Workflows. Als externes Mitglied erhält der Partner Zugang zu den erforderlichen Unterlagen und kann selbst Dokumente teilen, Fragebögen bearbeiten oder Verträge signieren. Die Verwendung elektronischer Unterschriften gemäß eIDAS-Verordnung² fördert darüber hinaus einen schnellen Vertragsabschluss.

Einfaches Generieren von Prüfberichten

All diese Prozessschritte (darunter auch Freigaben) sind dank elektronischer Workflow-Unterschriften revisionssicher und direkt im System nachvollziehbar. Monitoringberichte liefern dabei eine Übersicht über offene Aktivitäten und stellen die Vollständigkeit der Nachweise und Dokumentationen sicher. So wissen die Verantwortlichen immer über den Status ihrer Auslagerungen Bescheid und können die Durchführung sämtlicher Tätigkeiten speziell in Auditsituationen jederzeit belegen.

Da die Informationen von Beginn an digitalisiert und kategorisiert im System hinterlegt sind, lassen sich Prüfberichte wie das Informationsregister für das wiederkehrende oder anlassbezogene Reporting einfach gemäß den technischen Implementierungsstandards (ITS) generieren. Dies sichert auch die Ad-hoc-Auskunftsfähigkeit bei spontanen Anfragen der Behörden.

PRAXISTIPPS

• Die Umsetzung von DORA verlangt eine ganzheitliche Betrachtung und Weiterentwicklung der bestehenden Geschäftsprozesse.
• Dabei sollten Finanzinstitute den gesamten Auslagerungszyklus vom ersten Schritt an digitalisieren – dem Sourcing eines Lieferanten und dem damit verbundenen Vertragsmanagement.
• Der Einsatz der passenden Werkzeuge optimiert nicht nur die Arbeitsabläufe, sondern unterstützt auch bei der nachweislichen Erfüllung der regulatorischen Vorgaben und Sorgfaltspflichten sowie bei der Vorbereitung auf aufsichtsrechtliche Prüfungen.

Mehr Informationen unter www.fabasoft.com/dora

¹ Verordnung (EU) 2022/2554: L_2022333DE.01000101.xml (europa.eu)

² Verordnung (EU) Nr. 910/2014: BSI - eIDAS Verordnung (bund.de)