Inventar aller Prozesse, die von IKT-Drittdienstleistern abhängen

Contents

Inventar aller Prozesse, die von IKT-Drittdienstleistern abhängen (Art. 8 Abs. 5 und 6 DORA)
Inhaltliche Anforderungen laut DORA
Prüfungsrelevanz

Inventar aller Prozesse, die von IKT-Drittdienstleistern abhängen (Art. 8 Abs. 5 und 6 DORA)

Nach Art. 8 Abs. 5 und 6 DORA müssen Finanzunternehmen ein spezifisches Inventar aller Prozesse erstellen, die vollständig oder teilweise von IKT-Drittdienstleistern abhängen. Dabei sind besonders jene Prozesse zu erfassen, die kritische oder wichtige Funktionen unterstützen.

Ziel ist es, die Vernetzungen zwischen internen Abläufen und externen IKT-Diensten transparent zu machen – um Risiken systematisch zu analysieren, Wiederherstellungspfade zu planen und Exit-Strategien bewerten zu können.

Inhaltliche Anforderungen laut DORA

1. Identifikation drittabhängiger Prozesse (Art. 8 Abs. 5)

Vollständige Erfassung aller IKT-gestützten Prozesse, bei denen externe Anbieter essenzielle Komponenten liefern (z. B. Hosting, Plattform, SaaS)
Priorisierung nach Kritikalität und Wiederanlaufzeit
Dokumentation der funktionalen Abhängigkeit und der Art der Dienstleistung (z. B. Speicherung, Verarbeitung, Schnittstellenbetrieb)

2. Analyse der Vernetzungen mit IKT-Drittdienstleistern

Zuordnung von konkreten Dienstleistern zu Prozessen (inkl. Konzerninterne Anbieter)
Identifikation von gemeinsam genutzten Dienstleistern (Konzentrationsrisiken)
Verknüpfung mit Dienstleistungsverträgen, SLAs, Exit-Klauseln und Prüfrechten
Referenzierung in Auslagerungsregister und Business-Impact-Analysen

3. Aufbau und Pflege eines strukturierten Drittabhängigkeitsinventars (Art. 8 Abs. 6)

Zentrales Inventar (z. B. als Teil des BCM-Tools oder GRC-Systems)
Angabe von Prozessname, verantwortlicher Stelle, betroffener Dienstleistung, Kritikalität und IKT-Dienstleister
Regelmäßige Prüfung und Aktualisierung, mindestens jährlich oder bei wesentlichen Änderungen
Verknüpfung mit Business-Continuity-Plänen, Reaktionsstrategien und Audits

Prüfungsrelevanz

Aufsicht und interne Revision erwarten:

Vorliegen eines aktuellen Inventars drittabhängiger Prozesse
Dokumentierte Schnittstellen zwischen Geschäftsprozessen und ausgelagerten IKT-Komponenten
Plausible Begründung der Kritikalität und Einschätzung des Wiederanlaufs
Konsistenz mit dem IKT-Drittparteienregister gemäß Art. 28 DORA
Anbindung an Verträge, SLA-Management, Exit-Pläne und Prüfstrategien