Contents
Leitlinie für die Nutzung von IKT-Dienstleistungen (Art. 5 Abs. 2 lit. h DORA)
Artikel 5 Absatz 2 Buchstabe h der Verordnung (EU) 2022/2554 (DORA) verpflichtet das Leitungsorgan eines Finanzunternehmens zur Genehmigung und regelmäßigen Überprüfung einer Leitlinie zur Nutzung von IKT-Dienstleistungen durch Drittdienstleister.
| Vorschrift | Inhalt |
|---|---|
| Art. 5 Abs. 2 lit. h DORA | Genehmigung und Überwachung einer Leitlinie zu IKT-Dienstleistungen von Drittanbietern durch das Leitungsorgan |
Ziel der Leitlinie
Die Leitlinie für IKT-Dienstleistungen schafft einen verbindlichen Rahmen für alle Vereinbarungen mit IKT-Drittdienstleistern und definiert:
- Voraussetzungen für die Auswahl und Bewertung von Anbietern
- Kriterien zur Einstufung kritischer Drittdienstleistungen
- Genehmigungs-, Überwachungs- und Exitprozesse
- Verantwortlichkeiten innerhalb des Unternehmens
Inhalte einer DORA-konformen Leitlinie
| Bestandteil | Beschreibung |
|---|---|
| Geltungsbereich | Alle vertraglich vereinbarten externen IKT-Dienstleistungen |
| Governance | Rolle des Leitungsorgans und der zweiten Verteidigungslinie |
| Risiko- & Kritikalitätsbewertung | Kriterien für kritische Dienstleistungen (Art. 28 DORA) |
| Vertragliche Mindestanforderungen | Sicherheits-, Verfügbarkeits-, Exit- und Auditklauseln |
| Monitoring- und Kontrollprozesse | Regelmäßige Leistungs- und Risikoüberwachung |
| Exit-Strategien | Regelungen für geordneten Ausstieg inkl. Datenmigration |
Verbindung zu anderen DORA-Anforderungen
Diese Leitlinie ist ein zentraler Baustein im Zusammenspiel mit:
- Art. 28 DORA: Management des IKT-Drittparteienrisikos
- Art. 30 DORA: Verträge mit IKT-Drittdienstleistern
- Art. 6 DORA: IKT-Risikomanagementrahmen
- Art. 5 Abs. 2 lit. g DORA: Budgetierung und Ressourcenplanung
Best Practices für Finanzunternehmen
- Erstelle eine eigenständige „Leitlinie für IKT-Dienstleistungen“ im Word-Format
- Lasse die Leitlinie mindestens jährlich vom Leitungsorgan genehmigen
- Stelle sicher, dass alle Verträge mit Drittdienstleistern gegen diese Leitlinie geprüft werden
- Verknüpfe die Leitlinie mit deinem internen Auslagerungsregister und Risikobewertungstool