DORA und MaRisk/BAIT – Was kommt als Dienstleister von Banken auf mich zu?
Bereits 2019 wurde der Startschuss zur Neugestaltung der Dienstleistersteuerung in den Banken gegeben, in Deutschland wurde in 2021 durch die MaRisk-Novelle und die BAIT-Anpassungen das Auslagerungsmanagement weiter verschärft.
Im Mai 2022 hat sich dann der Vorsitz des Rates mit dem Europäischen Parlament auf die Einführung des Digital Operational Resilience Act (DORA) geeinigt, der bislang nur als Entwurf vorliegt und wahrscheinlich ab 2024 Wirkung entfalten wird.
Worauf muss ich mich als Dienstleister von Banken einstellen?
In der Praxis werden die Anforderungen der Banken aus den MaRisk/BAIT an Ihre Dienstleister massiv zunehmen. Dies beginnt bei der Bereitstellung einer Vielzahl von zusätzlichen Informationen an die Banken und endet im Extremfall bei der direkten Überwachung des Dienstleisters durch die Aufsichtsbehörden.
Bereits die Vertragsneugestaltung mit Konkretisierungen zum Datenschutz und zur IT-Sicherheit (bspw. Standorte von Rechenzentren, Qualitätsstandards, Weiterverlagerungen, Verhaltenskodex) sowie die Vereinbarung von Informations-, Kündigungs- und Prüfungsrechten und die zu regelnde Unterstützung beim Wechsel auf einen anderen Dienstleister wird die Legal- und Compliance-Abteilungen an ihre Grenzen bringen.
Die Kommunikation zwischen Bank und Dienstleister wird durch die Einführung der zentralen Funktion eines „Auslagerungsbeauftragten“ bei den Banken deutlich intensiviert. Diese Stelle oder unterstützendes Personal wird regelmäßig mit den Dienstleistern Gespräche zur Entwicklung der Services und deren Risikogehalt führen wollen.
Aufgrund der strategischen Integration der auslagerten Prozesse in das interne IT-Risikomanagement der Banken wird zudem beim Dienstleister die Überprüfung des BCM bzw. Notfallmanagements gefordert. Dies könnte sich bspw. in regelmäßigen Vor-Ort-Prüfungen bemerkbar machen.
DORA erweitert im Wesentlichen die bereits bekannten Anforderungen der MaRisk/BAIT und verstärkt die Ausrichtung an aktuellen Sicherheitsstandards. Dies wird faktisch dazu führen, dass Dienstleister regelmäßig eine Zertifizierung nach ISO 27001 und weitergehende Audits nach den Standards des Instituts der Wirtschaftsprüfer oder der ISA (IDW PS 951 oder 880 bzw. ISAE 3402 oder 3000) mit Bezug zur Informationssicherheit und dem Internen Kontrollsystem bereitstellen müssen.
Die verstärkte Forderung nach internen oder externen Audits bei Dienstleistern wird zudem durch die Verpflichtung zur Überprüfung der Fähigkeiten und Kenntnisse der Prüfer durch die Banken deutlich. Hier wird es erforderlich sein, dass die Wirksamkeit der Internen Revision des Dienstleisters anhand von Zertifikaten, wie bspw. dem IDW PS 983, gegenüber den Banken nachgewiesen wird.
Interne und externe Prüfungen sollten im Idealfall durch speziell geschultes Personal bzw. nach ISO 27001 zertifizierte Auditoren oder Wirtschaftsprüfer durchgeführt werden, um diesen Verpflichtungen nachzukommen.
Was ist jetzt zu tun?
Nutzen Sie bereits jetzt die Chance, Ihre internen Abteilungen und das Beauftragtenwesen für die Kommunikation mit den Banken zur Überwachung der IT-Sicherheit und des Datenschutzes sowie der Compliance-Anforderungen zu schulen und fit zu machen. Stellen Sie zudem Ihre Strukturen und Prozesse so auf, dass diese umfangreicheren internen oder externen Prüfungen durch die Banken oder beauftragten Auditoren gewachsen sind.
Wir unterstützen Sie bei der Überarbeitung Ihrer internen Prozesse und Dokumentationen zur Vorbereitung auf anstehende Audits oder übernehmen die Tätigkeiten der Internen Revision.
Alternativ stellen wir Ihnen die gegenüber den Banken benötigten Zertifikate nach ISO 27001, IDW PS 951/ISAE 3402 (Internes Kontrollsystem), IDW PS 880 (Softwarebescheinigungen) oder zur Wirksamkeit der Internen Revision aus.
Kommen Sie gerne zur Vereinbarung eines Erstgesprächs auf uns zu. Wir freuen uns auf ein Kennenlernen!
