Die “Digital Operational Resilience Act” (DORA) ist eine europäische Verordnung, die darauf abzielt, die digitale Betriebsfähigkeit von Finanzdienstleistern zu stärken. Dabei entstehen oft Fragen, wie Vermögensverwalter die Anforderungen der Verordnung in der Praxis umsetzen können. Dieser Beitrag gibt Antworten auf einige der häufigsten Fragen.
FAQ aus der Praxis zu DORA: Was Sie wissen müssen
1. Banken: Müssen deren Plattformen als IKT-Systeme erfasst werden?
- Wenn Sie Plattformen oder Webportale von Banken nutzen, wie z. B. ein Login-Bereich oder eine API-Schnittstelle, handelt es sich um externe technologische Systeme. Diese sollten als IKT-Systeme erfasst werden, insbesondere wenn:
- Die Plattform entscheidend für den operativen Betrieb ist.
- Eine API-Schnittstelle bereitgestellt wird, die automatisierte Prozesse wie Buchungen oder Datenübertragungen ermöglicht.
Praxisbeispiel: Eine Depotbank stellt eine Plattform bereit, über die Kunden auf Portfolioberichte zugreifen können. Diese Plattform wäre als IKT-System zu erfassen. Sollte die Bank hingegen nur klassische Bankdienstleistungen ohne spezifische technologische Infrastruktur bereitstellen, wäre sie nicht als IKT-Dienstleister einzustufen. Die API hingegen ist ein IKT-Asset, weil sie ein eigenständiges, kritisches Element innerhalb des grösseren IKT-Systems darstellt (ermöglicht die Datenübertragungen oder automatisierte Buchungen). Sie muss daher separat in einem IKT-Asset-Register dokumentiert werden, wenn sie für den operativen Betrieb wesentlich ist.
2. Office 365 Suite: Muss sie erfasst werden?
Die Office 365 Suite umfasst Anwendungen wie Outlook, Teams, SharePoint und OneDrive, die zentral für die Zusammenarbeit und Kommunikation genutzt werden. Ob Office 365 erfasst werden muss, hängt von den folgenden Kriterien ab:
- Direkter Vertrag: Haben Sie eine Lizenz direkt bei Microsoft erworben? Falls ja, ist Microsoft als IKT-Dienstleister zu erfassen.
- Kritikalität: Ist der Betrieb Ihres Unternehmens von der Verfügbarkeit der Suite abhängig? In den meisten Fällen wird Office 365 als kritisches System eingestuft, da E-Mails, Dokumentenspeicherung und Teamkommunikation ohne Zugriff erheblich eingeschränkt wären.
Praxisbeispiel: Ein Unternehmen nutzt Teams für interne Besprechungen und OneDrive zur Speicherung von Dokumenten. Der Ausfall von Office 365 würde den operativen Betrieb beeinträchtigen. Daher sollte die Suite als kritisches IKT-System und Microsoft als IKT-Dienstleister erfasst werden.
3. Portfolio-Management-Systeme wie z. B. Assetmax: Wie werden diese eingestuft?
Portfolio-Management-Systeme wie Assetmax spielen oft eine zentrale Rolle in der Vermögensverwaltung. Ob diese Systeme erfasst werden müssen, hängt von ihrer Nutzung und Kritikalität ab:
- Direkte Nutzung: Wird das System genutzt, um Portfolios zu verwalten, Berichte zu generieren oder regulatorische Anforderungen zu erfüllen, muss es als IKT-System erfasst werden.
- Kritikalität: Wenn ein Ausfall des Systems den operativen Betrieb erheblich beeinträchtigen würde, sollte es als kritisch eingestuft werden.
Praxisbeispiel: Ein Unternehmen nutzt Assetmax für die Verwaltung von Kundenportfolios und zur Erstellung regulatorischer Berichte. Der Ausfall des Systems würde die Betriebsfähigkeit stark beeinträchtigen. Daher sollte Assetmax als kritisches IKT-System und ggf. der Anbieter als IKT-Dienstleister erfasst werden.
4. CRM-Systeme wie Expersoft: Wie werden sie eingestuft?
Portfolio-Management-Systeme wie Assetmax spielen oft eine zentrale Rolle in der Vermögensverwaltung. Ob diese Systeme erfasst werden müssen, hängt von ihrer Nutzung und Kritikalität ab:
- Direkte Nutzung: Wird das System genutzt, um Portfolios zu verwalten, Berichte zu generieren oder regulatorische Anforderungen zu erfüllen, muss es als IKT-System erfasst werden.
- Kritikalität: Wenn ein Ausfall des Systems den operativen Betrieb erheblich beeinträchtigen würde, sollte es als kritisch eingestuft werden.
Praxisbeispiel: Ein Unternehmen nutzt Expersoft zur zentralen Verwaltung von Kundenkontakten und zur Dokumentation von Interaktionen. Der Verlust des Systems würde erhebliche Auswirkungen auf den operativen Betrieb haben. Daher sollte Expersoft als kritisches IKT-System und der Anbieter als IKT-Dienstleister erfasst werden.
5. Internes Kontrollsysteme (IKS) wie Formalize: Wie werden sie eingestuft?
IKS-Plattformen wie Formalize.com sind entscheidend, um interne Kontrollprozesse zu automatisieren und regulatorische Anforderungen zu erfüllen. Ob sie erfasst werden müssen, hängt von ihrer Kritikalität und Nutzung ab:
- Direkte Nutzung: Wird die Plattform genutzt, um interne Kontrollsysteme zu dokumentieren, Workflows zu steuern oder Compliance-Reports zu erstellen, sollte sie als IKT-System erfasst werden.
- Kritikalität: Wenn ein Ausfall des Systems dazu führt, dass Kontrollprozesse nicht ausgeführt werden können, sollte es als kritisch eingestuft werden.
Praxisbeispiel: Ein Unternehmen nutzt Formalize, um interne Audit-Prozesse zu dokumentieren und Genehmigungsworkflows zu steuern. Der Ausfall der Plattform würde erhebliche Auswirkungen auf die Einhaltung regulatorischer Vorschriften haben. Daher sollte Formalize als kritisches IKT-System und ggf. der Anbieter als IKT-Dienstleister erfasst werden.
6. Hosting-Anbieter für Homepages: Müssen sie erfasst werden?
Hosting-Anbieter für Homepages sind in der Regel nicht relevant für Vermögensverwalter, da über diese Plattformen keine direkten Dienstleistungen angeboten werden. Sollte die Homepage jedoch eine zentrale Rolle im Geschäftsbetrieb spielen, z. B. als Kundenportal oder für die Bereitstellung essenzieller Informationen, kann eine Erfassung notwendig sein.
Praxisbeispiel: Ein Vermögensverwalter nutzt eine Webseite ausschließlich als digitale Visitenkarte. In diesem Fall ist der Hosting-Anbieter nicht relevant. Sollte die Webseite jedoch als Kundenportal mit direktem Zugang zu Dienstleistungen dienen, wäre der Hosting-Anbieter als IKT-Dienstleister und das System als kritisch zu erfassen.
Fazit
Die korrekte Erfassung von IKT-Systemen und -Dienstleistern nach DORA erfordert eine detaillierte Analyse der Nutzung, Kritikalität und direkten Verträge. Je klarer die Nutzung und Abhängigkeit von einem System ist, desto leichter lässt sich entscheiden, ob es erfasst werden muss. Eine strukturierte Dokumentation hilft dabei, den Überblick zu behalten und die Compliance zu gewährleisten.
Die Experten der Peak Compliance stehen Ihnen jederzeit gerne zur Verfügung.
