DORA, MaRisk und LkSG – Was ist bei der Dienstleistersteuerung von Kreditinstituten zu beachten?

11.10.2022
Compliance
5 Minuten

Mit der EBA Guideline 2019/02 begann der nunmehr immer noch andauernde regulatorische „Sprint“ zur Neugestaltung der Dienstleistersteuerung zunächst für die größeren, durch die EZB beaufsichtigten, Institute. Deren Umsetzung für alle auch national über die BaFin überwachten Institute folgte im vergangenen Jahr durch die Veröffentlichung der 6. MaRisk-Novelle. Ergänzende, implizit auf die Dienstleistersteuerung wirkende, Maßnahmen sind in den Bankaufsichtlichen Anforderungen an die IT (BAIT) im gleichen Atemzug verankert worden. Ende des Jahres 2021 wurden die Anforderungen an das Berichts- und Meldewesen zum Auslagerungsmanagement über das Finanzmarktintegritätsstärkungsgesetz (FISG) weiter verschärft.

Im Mai 2022 hat sich dann der Vorsitz des Rates mit dem Europäischen Parlament auf die Einführung des Digital Operational Resilience Act (DORA) geeinigt, der bislang nur als Entwurf vorliegt und wahrscheinlich ab 2024 Wirkung entfalten wird.

Neben den Veränderungen auf europäischer Ebene wurde im Jahr 2021 das Lieferkettensorgfaltspflichtengesetz (LkSG) veröffentlicht, welches ab 2023 von Unternehmen mit mehr als 3.000 Mitarbeiter:innen, ab 2024 auch von Unternehmen mit mehr als 1.000 Mitarbeiter:innen einzuhalten ist. Insbesondere für größere Institute stellt sich daher die Frage, wie die Anforderungen des LkSG in ein bereits bestehendes IT-Risko- oder Compliancemanagement integriert werden kann.

Und über die Anforderungen an die Berichterstattung von Nachhaltigkeitsrisiken wollen wir an dieser Stelle gar nicht erst sprechen…

Was ist neu und was bleibt?

Eine kleine Entwarnung zu Beginn, die Anforderungen von DORA werden aus Sicht der Kreditinstitute nicht zu einer massiven Überarbeitung der Prozesse der Dienstleistersteuerung führen. Dies wurde schon vom FISG erledigt, welches einen erheblichen Teil der DORA-Regulierung vorwegnimmt. Die große Last von DORA zur Verbesserung der IT-Sicherheit und deren Dokumentation wird vielmehr auf die Dienstleister verlagert, die eine Vielzahl von zusätzlichen Informationen an die Institute liefern oder sich im Extremfall direkt von den Aufsichtsbehörden überwachen lassen müssen.

Deutliche Gemeinsamkeiten bei den Anforderungen von DORA und den MaRisk/BAIT an die Kreditinstitute bestehen im Wesentlichen bei:

  • Einführung der zentralen Funktion eines „Auslagerungsbeauftragten“

  • Laufende und initiale Risikoanalysen für bestehende und beabsichtigte Auslagerungen

  • Erstellung eines „Auslagerungsregisters“ mit sämtlichen Prozessen, die auf Dienstleister outgesourct sind

  • Strategische Integration der auslagerten Prozesse in das interne IT-Risikomanagement

  • Regelungen zum Datenschutz und zusätzlichen Sicherheitsanforderungen

  • Überprüfung des BCM bzw. Notfallmanagements beim Dienstleister

  • Konkretisierung der zu treffenden vertraglichen Vereinbarungen (bspw. Standorte von Rechenzentren, Qualitätsstandards, Verhaltenskodex)

  • Vertragliche Vereinbarung von Informations- und Prüfungsrechten bei wesentlichen und nicht wesentlichen Auslagerungen

  • Unterstützung bei Wechsel auf einen anderen Dienstleister oder Reintegration durch den Dienstleister bei Kündigung

DORA konkretisiert im Wesentlichen die bereits bekannten Anforderungen der MaRisk/BAIT und verstärkt nochmals den Wunsch, Auslagerungen nur mit Dienstleistern einzugehen, welche angemessene und aktuelle Standards für die Informationssicherheit einhalten. Diese Formulierung wird faktisch dazu führen, dass Dienstleister regelmäßig eine Zertifizierung nach ISO 27001 oder weitergehende Audits nach den Standards des IDW oder der ISA (IDW PS 951 oder 880 bzw. ISAE 3402 oder 3000) mit Bezug zur Informationssicherheit bereitstellen müssen.

Die verstärkte Forderung nach internen oder externen Audits bei Dienstleistern wird zudem durch die Verpflichtung zur Überprüfung der Fähigkeiten und Kenntnisse der Prüfer durch die Institute deutlich. Hier wird es erforderlich sein, dass nach ISO 27001 zertifizierte Auditoren oder Wirtschaftsprüfer bei den Audits zum Einsatz kommen, um dieser Verpflichtung nachzukommen.

Höhere Verwaltungsaufwendungen sind durch DORA insbesondere bei der Neugestaltung von vertraglichen Vereinbarungen mit den Dienstleistern zu erwarten, da u.a. analog zu den MaRisk/BAIT vertragliche Kündigungsrechte bei Schwächen im Risikomanagement und bei gesetzlichen Verstößen aufgenommen werden sollen, jedoch die Regelungstiefe von DORA deutlich differenzierter ist. Dies ist ebenso bei den weiter konkretisierten Anforderungen an Exit-Strategien, Konzentrationsrisiken, Weiterverlagerungen und der Abwägung von Alternativdienstleistern – auch unter Berücksichtigung einer Kostenanalyse – zu erkennen.

Das FISG hat bereits im vergangenen Jahr neue bürokratische Maßstäbe hinsichtlich der Pflicht zur Anzeige der Absicht, des Vollzugs, wesentlicher Änderungen sowie schwerwiegender Vorfälle im Rahmen von bestehenden oder beabsichtigten Auslagerungen in Form eines Auslagerungsregisters gesetzt. Diese Regelungen sollen zwar primär nur für wesentliche Auslagerungen gelten, allerdings muss jede neue Vertragsvereinbarung zunächst eine Risikoanalyse durchlaufen, um eine Einschätzung zum Vorliegen einer (wesentlichen) Auslagerung zu treffen, wodurch faktisch keine Erleichterung besteht. DORA sieht wie das FISG ebenso die Weitergabe von Informationen in Form eines Auslagerungsregisters an die Aufsichtsbehörden vor. Daher sollte hier schlimmstenfalls eine technische Anpassung des Meldeumfangs an DORA bzgl. der mindestens jährlichen Berichterstattung an die Aufsichtsbehörden zu erwarten sein.

Also, alles nicht so schlimm? Mit Blick auf DORA sicherlich nicht. Die großen Herausforderungen bestehen derzeit vorrangig in der technischen Umsetzung der Berichterstattung im Rahmen des Auslagerungsregisters über das FISG. Sollte dieser Meilenstein erledigt sein, müssen die Institute nicht sorgenvoll auf DORA blicken, denn vieles sollte organisatorisch und prozessual auch durch die Implementierung der MaRisk-Novelle umgesetzt worden sein.

Warum sollte schon frühzeitig auf das LkSG geachtet werden?

Viele kleinere Institute werden die Relevanz aufgrund des Geltungsbereichs nicht für sich identifiziert haben, ein Überschreiten der Mitarbeiterzahl von 1.000 könnte jedoch bei den Konzentrationstendenzen in der Kreditwirtschaft schnell durch Fusionen erreicht sein. Aus diesem Grund ist es sinnvoll, einen Blick auf die Regelungen zu werfen und zu klären, ob bedeutende Inhalte des LkSG bereits durch die MaRisk/BAIT oder DORA abgedeckt werden.

Auch hier die beruhigende Botschaft vorweg, mit einem etablierten und funktionsfähigen IT-Risikomanagement sind die Voraussetzungen zur Umsetzung des LkSG zu einem großen Teil schon geschaffen. Analog zu den MaRisk ist ein Lieferketten-Risikomanagementsystem zur Überwachung der Sorgfaltspflichten einzurichten. Dieses bezieht sich beim Beispiel einer Auslagerung von IT-Services auf den direkten Vertragspartner und sämtliche Weiterverlagerungen an Subunternehmen, die in die Serviceerbringung eingebunden sind. In der Regel werden diese Vertragsparteien bei einer Risikoanalyse im Sinne von AT 9 MaRisk oder durch die Analyse der Vereinbarung zur Auftragsverarbeitung gemäß EU-DSGVO identifiziert und können somit als Basis für die Festlegung der Lieferkette dienen.

Die von den Kreditinstituten außerdem verpflichtend zu implementierenden Präventionsmaßnahmen zur Wahrung der Sorgfaltspflichten könnten zur Vermeidung von Redundanzen bei der zeitnahen Überarbeitung der vertraglichen Vereinbarungen gemäß DORA oder FISG berücksichtigt werden. Prinzipiell sieht das LkSG vor, dass bei schwerwiegenden Menschenrechtsverletzungen eine Geschäftsbeziehung zu beenden wäre, wodurch Exit-Strategien für den Ernstfall im Einklang mit dem Auslagerungsmanagement vorliegen sollten.

Sicherlich wird die Berichtspflicht zur Lieferketten-Compliance, welche einmal jährlich durch die BAFA kontrolliert wird und nicht in die bestehende Nachhaltigkeitsberichterstattung eingebunden werden darf, zu deutlichen Mehraufwendungen führen. Zur Inspiration kann aber dennoch aufgrund der thematischen Verwandtschaft auf die Berichterstattung des Auslagerungsbeauftragten zurückgegriffen werden.

Schmerzlich sind hingegen die drastischen Bußgelder von 100.000 - 800.000 € oder bis zu 2 % des Jahresumsatzes, falls kein System zur Risikoüberwachung der Lieferketten eingerichtet ist, auch wenn kein aktiver Schadensfall vorliegt. Da scheint eine Sonderprüfung nach § 44 KWG mit Fokus auf die Umsetzung der Anforderungen der MaRisk/BAIT zum Auslagerungsmanagement noch fast als das kleinere Übel.

Was ist jetzt zu tun?

Nutzen Sie bereits jetzt die Chance, die Vorgaben von DORA proaktiv in die laufenden Projekte zur Anpassung des Auslagerungsmanagements an die aktuellen MaRisk/BAIT und das FISG zu integrieren, um mögliche über diese hinausgehende Detailanforderungen frühzeitig aufzudecken.

Größere Institute mit 3.000 bzw. 1.000 Mitarbeiter:innen sollten ebenso jetzt beginnen, Strukturen für das LkSG zu schaffen und diese zu dokumentieren. Vorrangig sollte geklärt werden, ob die bestehenden Compliancemanagementsysteme geeignet sind, die Anforderungen des LkSG abzubilden. Die Einführung von zusätzlichen Tools wird erheblichen Einführungsaufwand auslösen, der tunlichst vermieden werden sollte.

Sollten Sie Unterstützung bei der aufsichtskonformen Umsetzung der zahlreichen Anforderungen zur Dienstleistersteuerung benötigen, so stehen wir Ihnen gerne mit unserer langjährigen Erfahrung zur Seite.

Kommen Sie gerne zur Vereinbarung eines Erstgesprächs auf uns zu. Wir freuen uns auf ein Kennenlernen!

Immer bestens informiert mit den Newslettern von SCHOMERUS

Abonnieren
Steuerberatung und Rechtsberatung
Schomerus & Partner mbB
Steuerberater Rechtsanwälte
Wirtschaftsprüfer
Wirtschaftsprüfung
Hamburger Treuhand-Gesellschaft
Schomerus & Partner mbB
Wirtschaftsprüferungs-Gesellschaft
Standort Hamburg
Deichstraße 1
20459 Hamburg
Standort Berlin
Bülowstraße 66
10783 Berlin
Standort München
Möhlstraße 35
81675 München
Standort Stralsund
An den Bleichen 15
18435 Stralsund
Standort Düsseldorf
Königsallee 61
40215 Düsseldorf
Pixel