.svg)
Während die MaRisk von wesentlichen Auslagerungen spricht, verwenden die EBA-Leitlinien zur Auslagerung (EBA/GL/2019/02) die Formulierung „kritische oder wesentliche Auslagerung“, um eine Auslagerung von kritischen oder wesentlichen Funktionen zu bezeichnen, wobei kritisch und wesentlich in der Praxis überwiegend synonym verwendet werden und so hat sich die Bezeichnung “wesentlich” in der Praxis durchgesetzt.
Nun kommt die DORA (Digital Operation Resilienz Act) mit der etwas langen Bezeichnung „IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen“, im Folgenden zur Vereinfachung kurz „kritische IKT-Dienstleistungen“ genannt.
Eine kritische oder wichtige Funktion wird gemäß DORA (Artikel 3, Nr. 22) wie folgt definiert:
„Kritische oder wichtige Funktion“: Eine Funktion, deren Ausfall die finanzielle Leistungsfähigkeit eines Finanzunternehmens oder die Solidität oder Fortführung seiner Geschäftstätigkeiten und Dienstleistungen erheblich beeinträchtigen würde oder deren unterbrochene, fehlerhafte oder unterbliebene Leistung die fortdauernde Einhaltung der Zulassungsbedingungen und -verpflichtungen eines Finanzunternehmens oder seiner sonstigen Verpflichtungen nach dem anwendbaren Finanzdienstleistungsrecht erheblich beeinträchtigen würde.
Vergleicht man diese Definition mit den Teilziffern 29 und 30 der EBA-Leitlinien zur Auslagerung kommt man zu dem Ergebnis, dass eine kritische IKT-Dienstleistung gem. DORA eine wesentliche Auslagerung mit IKT-Bezug gem. EBA/GL/2019/02 darstellt. Somit sind die kritischen IKT-Dienstleistungen gem. DORA eine Teilmenge der wesentlichen Auslagerungen eines Instituts, da diese auch Non-IT-Auslagerungen umfassen können.
Daher können die Begriffe „wesentlich“, „wichtig“ und „kritisch“ bei der Beschreibung einer (IKT-)Dienstleistung synonym verwendet werden. Dennoch ist es ratsam, einen Begriff einheitlich in der schriftlich fixierten Ordnung und im gesamten Rahmenwerk zu verwenden, um Verwirrungen zu vermeiden.
Aus meiner Sicht führt DORA somit keine Änderung der Methode der Wesentlichkeitseinstufung einer (IT-)Auslagerung herbei. Die Anforderung zur Durchführung von regelmäßigen und ad-hoc Überprüfungen bzw. Aktualisierungen einer Risikoanalyse für Auslagerungen und sonstige IT-Fremdbezüge (bzw. sonstige IKT-Dienstleistungen) bleibt natürlich bestehen.
Auch wenn DORA nicht zwischen einem “sonstigen IT-Fremdbezug" (nach BAIT) und einer “nicht-wesentlichen Auslagerung” (nach MaRisk & EBA/GL/2019/02) unterscheidet und heutzutage nicht-wesentliche Auslagerungen im selben Maß wie sonstige IT-Fremdbezüge überwacht und gesteuert werden, sollte diese Unterscheidung weiterhin beibehalten werden.
Nach DORA werden “kritische IKT-Dienstleister" durch die Aufsichtsbehörden identifiziert und überwacht. Hier ist es wichtig, die Bezeichnung “kritischer IKT-Dienstleister" von “kritische IKT-Dienstleistung" abzugrenzen. Ein kritischer IKT-Dienstleister kann zugleich auch ein Anbieter einer kritischen IKT-Dienstleistung (aka wesentlicher IT-Auslagerung) sein, muss er aber nicht. Ob ein IKT-Dienstleister kritisch oder nicht kritisch ist, bestimmen die Aufsichtsbehörden (siehe Link). Mit anderen Worten, es besteht weder Korrelation noch Kausalität zwischen “kritischer IKT-Dienstleister" und “kritische IKT-Dienstleistung".
Verwechslung mit Informationssicherheit und Business Continuity Management (BCM).
Diese Definitionen sind stark von den Begriffen „kritische Informationen“ oder „kritische Assets“ im Informationssicherheitsmanagement abzugrenzen, da letztere sich auf das Risikoprofil hinsichtlich der davon betroffenen Informationen beschränken.
Die Zeitkritikalität eines Geschäftsprozesses, einer Funktion oder eines Assets (bzw. einer Ressource wie IT, Gebäude, Dienstleistung oder Personal) ist ein Ergebnis der Business Impact Analyse (BIA) im Rahmen des Business Continuity Management Lifecycle. Die Frage, ob die Zeitkritikalität eine Wesentlichkeit herbeiführt, wird in einem späteren Beitrag beantwortet.
Zusammenfassung:
- Eine Auslagerung kann einen IKT-Bezug (IT-Auslagerung) oder keinen IKT-Bezug haben.
- Eine IKT-Dienstleistung nach DORA kann eine kritische IKT-Dienstleistung (wesentliche IT-Auslagerung gem. MaRisk/EBA-Leitlinien zur Auslagerung) oder eine nicht-kritische IKT-Dienstleistung (eine nicht-wesentliche IT-Auslagerung oder ein sonstiger IT-Fremdbezug gem. MaRisk/EBA-Leitlinien zur Auslagerung) sein.
- “Kritischer IKT-Dienstleister" und kritische “IKT-Dienstleistung” sind zwei unterschiedliche, voneinander unabhängige Klassifizierungen.
- Kritikalität in der Informationssicherheit bezieht sich auf den Schutzbedarf der Informationen und die damit verbundenen Risiken.
- Zeitkritikalität im BCM drückt das Schadenpotential des Ausfalls eines Geschäftsprozesses für einen bestimmten Zeitraum aus.
Lorem ipsum dolor sit amet, consectetur adipiscing elit, sed do eiusmod tempor incididunt ut labore et dolore magna aliqua. Ut enim ad minim veniam, quis nostrud exercitation ullamco laboris nisi ut aliquip ex ea commodo consequat. Duis aute irure dolor in reprehenderit in voluptate velit esse cillum dolore eu fugiat nulla pariatur.
Block quote zxcZDcasdcasdcasd
Ordered list
Unordered list
Bold text
Emphasis
Superscript
Subscript
