Die meisten von DORA betroffenen Finanzinstitute können sich nur schwer mit den Worten „Informationsregister“ und „Vorteile“ im selben Satz anfreunden, da der Aufwand für die DORA-Umsetzung derzeit noch sichtbarer erscheint als die möglichen Vorteile. Die Frage, ob das Informationsregister für ein Finanzinstitut eher Vor- oder Nachteile mit sich bringt, soll an dieser Stelle jedoch nicht im Vordergrund stehen.
Vielmehr wollen wir aufzeigen, dass trotz des anfänglichen Aufwands bei der Umsetzung von DORA, insbesondere der Etablierung des Informationsregisters, erhebliche Vorteile für Finanzinstitute verborgen liegen. Diese gilt es zu erkennen und weiterzuentwickeln, um sie zu skalieren und daraus einen echten Mehrwert für das Unternehmen zu generieren.
In diesem Blogbeitrag möchten wir genau diese Vorteile näher beleuchten.
Transparente Gruppenbeziehungen:
Die ersten Templates des Informationsregisters – RT.01.01, RT.01.02 und RT.01.03 - enthalten Informationen zu den Leistungserbringern und Leistungsempfängern von IKT-Dienstleistungen sowie zur Hierarchie innerhalb des Unternehmens. Darüber hinaus werden Attribute wie Land, die Art des Unternehmens und die Muttergesellschaft innerhalb der Unternehmensgruppe erfasst.
Sofern diese Informationen vorliegen, kann mit einem geeigneten Tool für Third Party Risk Management eine übersichtliche, dynamische und interaktive Hierarchie der gesamten Unternehmensgruppe als Input für das Informationsregister gebildet werden. So lässt sich schnell nachvollziehen, welche Unternehmen und Niederlassungen zum Unternehmen gehören und wie diese miteinander verknüpft sind.
Im Zusammenhang mit den Templates RT.02.01, RT.02.02, RT.02.03 und RT.03.01 lässt sich insbesondere darstellen, welche IKT-Verträge von welchen Unternehmen unterzeichnet wurden und welche Unternehmen und Niederlassungen innerhalb der Gruppe die IKT-Dienstleitungen aus diesen Verträgen nutzen.
Diese Hierarchie kann als “Single Point of Truth” für sämtliche Themen rund um den Austausch von Dienstleitungen innerhalb der Gruppe dienen.
Bei gruppenweiten Maßnahmen oder Kontrollen im Bereich Informationssicherheit sind die relevanten Unternehmen und die richtigen Ansprechpartner stets aktuell verfügbar.
Im Falle von IKT-Vorfällen ist jederzeit bekannt, welches Unternehmen betroffen sein könnte. Die Betroffenen können dann schnell informiert werden, um ggf. sofortige Maßnahmen zu ergreifen.
Standardisierte Vertragsstrukturen:
Das Informationsregister sieht drei Arten von Verträgen vor:
Eine nachfolgende oder nachträgliche Vereinbarung gehört immer zu einer übergreifenden Vereinbarung. Optional können auch weitere Arten wie Anhänge und Anlagen definiert werden. Diese sind zwar nicht für das Informationsregister relevant, jedoch in der Praxis unverzichtbar.
Durch die Zuordnung der Vertragsdokumente gem. der Vertragsart entstehen Hierarchien der Verträge im gesamten Unternehmen, die an einem zentralen Ort abgelegt werden. Selbstverständlich ist die Darstellung solcher dynamischen Hierarchien ohne eine geeignete Lösung für das Vertragsmanagement nicht möglich.
Die Vertragsmanager haben so jederzeit alle ihre Verträge im Blick und es ist klar ersichtlich, welche Dokumente zu welchem Vertragskonstrukt und welchem Dienstleister gehören. Dies sorgt für Transparenz und ermöglicht eine bessere Steuerung der Verträge. Die weiteren vertragsspezifischen Felder im Informationsregister, wie die jährlichen Kosten im Template RT.01.01, können dabei helfen, die Planung für IKT-Kosten zu unterstützen und wertvolle Statistiken sowie Entwicklungstrends für Management Reports zu erstellen.
Einheitliche Definitionen:
Das Template b_99.01 im Informationsregister enthält Definitionen von Begriffen und Bewertungsskalen, die für das gesamte Informationsregister gelten. Hierzu zählen beispielsweise die Definitionen der verschiedenen Vertragsarten. So wird im Template etwa gefragt, wie das Unternehmen die Vertragsart „Overarching Arrangements“ definiert. Ebenso werden Angaben zur Sensibilität von Daten und zu den Auswirkungen sowie Wahrscheinlichkeiten in Bezug auf verschiedene Themen abgefragt (z.B. „gering“, „mittel“ und „hoch“).
Diese Definitionen sind nicht nur für das Informationsregister relevant, sondern auch für die Nutzer, die diese Bewertungen für einzelne Verträge bzw. IKT-Dienstleistungen oder andere Sachverhalte in anderen Themen Bereichen vornehmen sollen. Mit eindeutigen Definitionen lässt sich die Qualität der Bewertungen verbessern und eine höhere Konsistenz bei der Bewertung ähnlicher Sachverhalte erreichen.
Fazit und Ausblick:
Die Umsetzung von DORA, insbesondere die Einführung des Informationsregisters, mag auf den ersten Blick wie eine anspruchsvolle Aufgabe erscheinen. Doch je mehr Finanzinstitute sich mit der Materie auseinandersetzen, desto mehr wird deutlich: Hinter dem anfänglichen Aufwand stecken langfristige Vorteile, die Transparenz und Effizienz im Unternehmen erhöhen.
Lorem ipsum dolor sit amet, consectetur adipiscing elit, sed do eiusmod tempor incididunt ut labore et dolore magna aliqua. Ut enim ad minim veniam, quis nostrud exercitation ullamco laboris nisi ut aliquip ex ea commodo consequat. Duis aute irure dolor in reprehenderit in voluptate velit esse cillum dolore eu fugiat nulla pariatur.
Block quote zxcZDcasdcasdcasd
Ordered list
Unordered list
Bold text
Emphasis
Superscript
Subscript