Einführung eines Lead Overseers
Durch die Einführung eines gemeinsamen Aufsichtsrahmens führt die EU mit der DORA-Verordnung ein zusätzliches gemeinsames Aufsichtsnetz ein, um die Koordinierung zwischen den europäischen Finanzaufsichtsbehörden EBA, ESMA und EIOPA in diesem sektorübergreifenden Dossier zu stärken. DORA ist die erste Finanzregulierung, die Drittanbieter aus dem Bereich IKT (Informations- und Kommunikationstechnik) direkt umfasst.
FCG betrachtet die Einführung einer federführenden Aufsichtsbehörde (Lead Overseer) als vielversprechenden Schritt seitens der EU, da sich die Einhaltung der Vorschriften gegenüber IKT-Drittanbietern für Finanzinstitute in der Vergangenheit als schwierig erwiesen hat. Die Initiative hat Vorteile und Nachteile – diese haben wir im folgenden Artikel skizziert, einige der aufkommenden Risikoprobleme identifiziert und mögliche zukünftige Auswirkungen untersucht.
Aufgaben und Befugnisse des Lead Overseers
Ein Lead Overseer wird mit dem Ziel ernannt, ausreichende Bedingungen für eine umfassende Überprüfung des IKT-Risikos von Drittanbietern zu schaffen. Die Rolle umfasst die Aufgabe, Risiken für einzelne Finanzinstitute und für das gesamte Finanzökosystem zu identifizieren (Konzentrationsrisiko). Darüber hinaus wird dieser federführende Aufseher Empfehlungen zu IKT-Risikofragen abgeben und Maßnahmen zum Schutz des Finanzsektors vorschlagen. Im Rahmen ihres Mandats sind die nationalen Behörden Teil der Funktion und müssen den Empfehlungen folgen.
Die ESAs werden über einen “Gemeinsamen Ausschuss” die kritischen IKT-Drittanbieter benennen. Die Bewertung kritischer Dienstleister basiert auf den Systemauswirkungen des Anbieters, z. B. indem berücksichtigt wird, wie viele Finanzinstitute die jeweiligen Anbieter unterstützen, wie viele dieser Unternehmen global systemrelevant sind (G-SRI) und wie viele davon anderweitig systemrelevant sind (A-SRI).
Der federführende Aufseher bewertet, ob jeder kritische IKT-Drittanbieter über einen umfassenden, soliden und wirksamen Rahmen verfügt, um den IKT-Risiken zu begegnen, die er für Finanzunternehmen darstellen kann. Der Rahmen sollte aus Regeln, Verfahren, Mechanismen und Vorkehrungen bestehen, die Sicherheits-, Resilienz- (Kontinuität) und Risikomanagementvereinbarungen berücksichtigen, die auf hohen Sicherheitsstandards, Vertraulichkeit und Datenintegrität beruhen. Darüber hinaus sollten Governance-Regelungen einschließlich einer Organisationsstruktur mit klaren, transparenten und kohärenten Haftungsregeln aufgenommen werden, die ein wirksames IKT-Risikomanagement ermöglichen. Zusätzlich sollte auch die Prüfung von IKT-Systemen, Infrastrukturen, IKT-Kontrollen und -Audits Teil des Rahmens sein. Diese können auf einschlägigen nationalen und internationalen Standards basieren, die für die Erbringung der IKT-Dienstleistungen des Anbieters für Finanzunternehmen gelten, wie z.B. ISAE 3402, SAS-70 u.ä.
Die Befugnisse des Lead Overseers reichen von der Möglichkeit, alle relevanten Informationen und Unterlagen anzufordern, allgemeine Untersuchungen und Kontrollen (einschließlich physischer Kontrollen) durchzuführen, Daten oder elektronische Informationen zu überprüfen, die in IKT-Systemen gespeichert sind, bis hin zur Versiegelung von Räumlichkeiten und Informationen während einer Untersuchung. Mit anderen Worten, er hat ein starkes Mandat gegenüber den kritischen IKT-Drittanbietern.
Darüber hinaus kann der Lead Overseer Empfehlungen zu Anforderungen, Prozessen, Sicherheit, Strategien Resilienzplänen, Incident-Management und Testung von IKT-System, IKT-Infrastruktur und IKT-Kontrollen entwickeln. Nach Abschluss einer Überprüfung kann der federführende Aufseher Berichte anfordern, um die vom Anbieter in Bezug auf seine Empfehlungen ergriffenen Maßnahmen zu überprüfen. Halten die kritischen Drittanbieter die Anforderungen der DORA-Verordnung nicht ein, kann er ein Zwangsgeld von bis zu 1% des durchschnittlichen weltweiten Tagesumsatzes im vorangegangenen Geschäftsjahr verhängen (Artikel 31 Absatz 6 DORA).
Unser Fazit
FCG geht davon aus, dass Finanzunternehmen von der DORA-Verordnung und der neuen Rolle des Lead Overseers profitieren werden, da die Anforderungen an Finanzinstitute und kritische Drittanbieter harmonisiert werden.
Darüber hinaus werden kritische Drittanbieter vom Lead Overseer geprüft, der die zukünftige Governance und das Management des IKT-Risikomanagements und der Informationssicherheit sicherstellt. Dies hat jedoch eine Kehrseite: der federführende Aufseher hat auch das Mandat, ein Finanzinstitut zu zwingen, die Nutzung eines IKT-Drittanbieters, ganz oder teilweise einzustellen. Ein nicht zu unterschätzender Schritt, da Finanzinstitute zumeist erhebliche Investitionen in diese kritischen Dienstleistungen getätigt haben und die Durchsetzung eines Ausstiegsplanes eine komplexe Herausforderung sein wird.
Ebenso haben Drittanbieter der Finanzindustrie es schwierig, sich auf die neuen Anforderungen und Prüfungen durch einen Lead Overseer vorzubereiten, da man kaum vorhersagen kann, wen die ESAs als kritische Drittanbieter identifizieren werden.
Um weitere Informationen zu erhalten, besuchen Sie bitte die DORA-Website von FCG.