Finanzunternehmen wie Kreditinstitute, Zahlungsdienstleister und E-Geldinstitute sind seit einigen Jahren von umfangreichen Dokumentations- und Berichtspflichten betroffen, unter anderem durch die Outsourcing-Leitlinien der European Banking Authority (EBA). Diese fordern ein zentrales Auslagerungsregister, das Informationen über alle ausgelagerten IT-Services enthalten muss. Jenes Register ist stets zu warten und auf Aufforderung der entsprechenden Behörde bereitzustellen. Mit dem Digital Operational Resilience Act (DORA), der ab dem 17. Januar 2025 EU-weit umgesetzt werden muss, verschärfen sich die bestehenden Vorgaben noch weiter: Alle Finanzunternehmen sind nun verpflichtet, ein Informationsregister aufzusetzen, das sämtliche bezogene IT-Dienstleistungen enthält. Das betrifft auch jene Services, die laut bisheriger Definition des Gesetzgebers als „Fremdbezug“ nicht in das Reporting fielen, wie beispielsweise der reine Bezug einer Software. DORA stuft hingegen alle IT-Leistungen als „Auslagerung“ ein, die im Register aufzuführen sind. Zudem fordert DORA weitreichendere Details zu den Lieferketten der beauftragten Dienstleister.
Mehrfachen Arbeitsaufwand vermeiden
Die Informations- und Auslagerungsregister überschneiden sich inhaltlich stark, da beide teilweise sehr ähnliche oder gar dieselben Informationen enthalten. Beispielsweise die vollständige Auflistung der Auslagerungsverträge, Vertragsmetadaten wie Laufzeit und Kündigungsfristen, Lieferanteninformationen und Konzernstrukturen, Wesentlichkeits- und Kritikalitätsbewertungen sowie Angaben zur Auslagerung. Trotzdem fällt die Verantwortung für die zwei Register in der Praxis häufig in vollkommen unterschiedliche Zuständigkeitsbereiche innerhalb der Unternehmen. Dies bedeutet doppelten Arbeitsaufwand und kann bei fehlender Abstimmung zu Redundanzen und Übertragungsfehlern führen. Da die Aufsicht in beiden Fällen derselben Behörde obliegt (BaFin), könnte es dadurch passieren, dass Firmen unterschiedliche Informationen zu derselben Auslagerung berichten.
Mit digitalen Prozessen Synergien schaffen
Zur effizienten Umsetzung der regulatorischen Vorgaben muss daher eine Abstimmung zwischen Auslagerungs- und Informationsregister stattfinden – mithilfe eines einheitlichen Digitalisierungskonzepts des gesamten Auslagerungszyklus. Angefangen bei der Erstklassifizierung einer möglichen Auslagerung und dem Einholen aller erforderlichen Unterlagen und Prüfungen, über die Vertragsverhandlungen mit dem Lieferanten, bis zum damit verbundenen Berichtswesen.
Eine auf DORA spezialisierte Software, wie Fabasoft DORA, nutzt dafür ein smartes Datenmodell, das jene Abläufe automatisiert. Die digitalen Prozesse orientieren sich an dem Aufbau und Ablauf innerhalb des Finanzunternehmens und integrieren sämtliche Stakeholder, die über die benötigten Informationen verfügen. Alle Beteiligten greifen damit auf eine einheitliche Datenbasis zu und können die erforderlichen Prüfberichte wie das Auslagerungs- oder Informationsregister automatisiert generieren. Dies minimiert den Ressourceneinsatz und ermöglicht eine jederzeitige Auskunftsfähigkeit, auch bei Ad-hoc-Anfragen der Behörde.
Weitere Kernfunktionen von Fabasoft DORA bilden definierte Vorlagen und Checklisten für die Bewertung von IKT-Drittdienstleistern, elektronische Workflow-Unterschriften und Audit-Logs, Klauselbibliotheken und DORA-konforme Vertragsvorlagen sowie digitale Workflows zur verlässlichen Durchführung geplanter Prüfungen. Zusätzlich ermöglicht die KI-basierte Compliance-Analyse eine automatische Identifizierung von Abweichungen im Vertragsbestand hinsichtlich der DORA-Regulatorik. Aufgrund des hohen Standardisierungsgrades und des Selfservice-Ansatzes lässt sich die cloudbasierte Software in nur wenigen Wochen ohne Projekt implementieren.
Mehr Informationen zu Fabasoft DORA finden Sie hier: fabasoft.com/DORA
Robin Schmeisser
Robin Schmeisser ist Geschäftsführer der Fabasoft Contract GmbH.
