Im Kontext steigender Cyberbedrohungen gewinnt die strikte Einhaltung bzw. Umsetzung entsprechender Compliance-Vorschriften stetig an Bedeutung. Als Bereitsteller kritischer Infrastruktur gilt insbesondere für Finanzunternehmen, IT-Ausfälle und sicherheitsrelevante Vorfälle zu verhindern, um für die Aufrechterhaltung des Betriebs zu sorgen. Mit dem Digital Operational Resilience Act (DORA) erließ die EU ein Regelwerk zur Sicherstellung der digitalen Betriebsstabilität sowie zur Vermeidung systemischer Risiken im Finanzsektor.
Die neuen Vorgaben harmonisieren und verschärfen die bestehenden regulatorischen Anforderungen an das IKT-Management und greifen in den IT-Betrieb bzw. in die Auslagerungen an Dritte ein. Gleichzeitig nehmen die Nachweis- und Berichtspflichten zu, die einen erheblichen Mehraufwand bedeuten. Mit der näher rückenden Umsetzungsfrist bis 17. Januar 2025 gilt es für die mehr als 22.000 betroffenen Finanzunternehmen und IKT-Dienstleister, rechtzeitig die erforderlichen Maßnahmen zu ergreifen.
Eine Schlüsselrolle nimmt dabei die Digitalisierung ein. An welcher Stelle diese ansetzen muss, um alle bestehenden Geschäftsprozesse miteinzubinden, erläutert Robin Schmeisser, Geschäftsführer der Fabasoft Contracts GmbH, einem Anbieter von Vertragsmanagement-Software:
An der Quelle der Informationen beginnen
Am Anfang einer jeden geschäftlichen Zusammenarbeit steht ein Vertrag, so auch bei der Beauftragung eines IKT-Dienstleisters. Jene Vereinbarungen enthalten sämtliche relevanten Informationen zum Lieferanten, zur festgelegten Leistung, zu involvierten Subunternehmen u. v. m. und stellen somit die Basis für alle nachfolgenden Aktivitäten dar. Sind diese Daten allerdings nicht von Beginn des Geschäftsprozesses digital erfasst, müssen die Akteure viele Tätigkeiten mehrfach ausführen. Zum Beispiel das händische Aufsetzen und Warten von Listen, Kalendereinträgen und Auswertungen.
Für eine durchdachte Digitalisierung sollten Finanzunternehmen daher an der Quelle der Informationen ansetzen – dem Sourcing der Lieferanten und dem damit verbundenen Vertragsmanagement. Darunter fallen jene Abläufe, die mit dem Hinzukommen eines neuen Dienstleisters in der Organisation entstehen, etwa in Bezug auf Due Diligence oder das Einholen von Unterlagen und Nachweisen. Der Einsatz des richtigen digitalen Tools führt nicht nur zu erheblichen Arbeitserleichterungen, sondern gibt den Verantwortlichen auch die nötige Sicherheit, dass sie allen erforderlichen Sorgfaltspflichten nachweislich nachkommen.
Prozesse digital und nachvollziehbar steuern
Vom anfänglichen Sourcing eines Lieferanten, über den Abschluss der Verträge, bis hin zum laufenden Controlling und Reporting der Vereinbarungen – eine smarte Vertragsmanagement-Software wie Fabasoft Contracts bildet alle Ebenen des Auslagerungsprozesses digital und revisionssicher ab.
Bei Anlage eines neuen IKT-Dienstleisters im System steuert die Software selbstständig die Einholung der notwendigen Unterlagen: Darunter Risikobewertungen, Wesentlichkeitsbeurteilungen, Auslagerungsgenehmigungen, Zertifikate sowie Leistungsbeschreibungen. Durch das Hinterlegen von Fristen starten Reminder und gegebenenfalls Eskalationsworkflows, die rechtzeitig an bevorstehende Tätigkeiten (z. B. wiederkehrende Überprüfungen, Erneuerung von Nachweisen) erinnern.
Neben dem Sourcing unterstützen die Workflows auch bei der gesetzeskonformen Vertragserstellung. Die DORA-spezifischen Informationen wie die Bewertung der Auslagerung, die Beschreibung des Auslagerungsgegenstands oder die Dokumentation der Assets gelangen aus der Akte direkt in den Vertrag. Die Anwendung und Verwaltung der Standardvertragsklauseln der EU erfolgt mithilfe der Klauselbibliothek verlässlich und gesteuert. Zur sicheren und nahtlosen Zusammenarbeit integriert das smarte Tool die Lieferanten aktiv in die Workflows. Als externes Mitglied erhält der Partner Zugang zu den erforderlichen Vertragsakten und kann selbst Dokumente teilen, bearbeiten oder signieren.
Berichtspflichten automatisiert erfüllen
All diese Prozessschritte (darunter auch Freigaben) sind dank elektronischer Workflow-Unterschriften direkt im System nachvollziehbar und revisionssicher einsehbar. So stellen die Verantwortlichen die nachweisliche Durchführung sämtlicher Aktivitäten sicher und können dies speziell in Auditsituationen jederzeit belegen.
Beim wiederkehrenden oder anlassbezogenen Reporting unterstützt die automatisierte Berichterstellung. Dadurch, dass die Informationen von Beginn an kategorisiert in der digitalen Akte hinterlegt sind, lassen sich die benötigten Auswertungen auf Knopfdruck generieren. In einem Auslagerungsregister mit unterschiedlichen Filter- und Sortiermöglichkeiten bleiben alle kritischen IKT-Dienstleistungen jederzeit im Blick. Somit gelingt auch die schnelle Beantwortung von Ad-hoc-Anfragen.
Fazit
Die Umsetzung von DORA verlangt eine ganzheitliche Betrachtung und Weiterentwicklung der bestehenden Geschäftsprozesse. Der Einsatz der passenden Werkzeuge optimiert nicht nur die Arbeitsabläufe, sondern unterstützt auch bei der nachweislichen Erfüllung der neuen gesetzlichen Vorgaben und Sorgfaltspflichten. Nicht zuletzt, weil der Geschäftsführung von Finanzunternehmen die Verantwortung für die Einhaltung der Vorschriften obliegt.
Robin Schmeisser, Geschäftsführer der Fabasoft Contracts GmbH