Die Deutsche Bundesbank hat in ihrem Monatsbericht – September 2024 einen Bericht über den Digital Operational Resilience Act (DORA) aus der Perspektive von bankgeschäftlichen Prüfungen veröffentlicht. Beleuchtet werden unter anderem Lernfelder für zukünftige DORA-Prüfungen. Hierbei konzentriert sich die Bundesbank neben den Bereichen Governance und Organisation, IKT-Risikomanagementrahmen, IKT-Kontrollfunktion auch auf das Gebiet IKT-Drittparteienrisikomanagement.

Hervorgehoben wird die Bedeutung des IKT-Drittparteienrisikos und der von ihnen erbrachten IKT-Dienstleistungen als Teil des IKT-Risikos eines Finanzunternehmens. Diese sollten sich organisatorisch entsprechend so aufstellen, dass das IKT-Drittparteienrisiko vollständig kontrolliert und gesteuert werden kann. Dies gilt insbesondere dann, wenn IKT-Drittdienstleister von der Aufsicht als sogenannte „kritische“ IKT-Drittdienstleister eingeordnet werden. Dies geschieht auf Basis von Informationsregistern, die von den Finanzunternehmen geführt und von der Aufsicht eingefordert werden. Insbesondere Anbieter von Cloud Computing, Software, Datenanalysen sowie Dienstleistungen aus Rechenzentren, aber auch Zahlungsdienste mit Zahlungsabwicklungstätigkeiten und den Betrieb von Zahlungsinfrastrukturen werden hier in den Fokus der Aufsicht rücken.

Die Bundesbank betont in ihrem Bericht, dass einzelne IKT-Drittdienstleister eine große Marktmacht erlangen könnten. Dieser Umstand könnte es den Finanzunternehmen erschweren, beispielsweise in Vertragsverhandlungen die gemäß DORA aufsichtlich geforderten Informations- und Prüfungsrechte in ausreichendem Maße zu implementieren und die Überwachung der IKT-Risiken angemessen wahrnehmen zu können.

Zusammenfassend verdeutlicht der Bericht die Bedeutung des IKT-Drittparteienrisikomanagements im Rahmen von DORA. Bereits in Prüfungen gemäß nationalen sektorspezifischen Regelungen wurde vermehrt festgestellt, dass hinsichtlich der bestehenden aufsichtlichen Anforderungen unvollständige Verträge mit IKT-Drittdienstleistern abgeschlossen und die daraus resultierenden Risiken unzureichend transparent gemacht und entsprechend gesteuert wurden.

Um den nun deutlich umfangreicheren Anforderungen entsprechen zu können, stehen Finanzunternehmen vor einigen Herausforderungen und sollten sich vor in Kraft treten von DORA entsprechend vorbereiten.