Cyberbedrohungen nehmen stetig zu. Mit dem Digital Operational Resilience Act (DORA) soll ein Regelwerk zur Sicherstellung der digitalen Betriebsstabilität etabliert werden. Bei der Umsetzung der DORA-Verordnung spielt Digitalisierung eine Schlüsselrolle. An welcher Stelle diese ansetzen muss, um alle bestehenden Geschäftsprozesse miteinzubinden, erläutert Robin Schmeisser (Fabasoft Contracts GmbH) im Gastbeitrag.
Am Anfang einer jeden geschäftlichen Zusammenarbeit steht ein Vertrag, so auch bei der Beauftragung eines Informations- und Kommunikationstechnik-Dienstleisters. Jene Vereinbarungen enthalten sämtliche relevanten Informationen zum Lieferanten, zur festgelegten Leistung, zu involvierten Subunternehmen u.v.m. und stellen somit die Basis für alle nachfolgenden Aktivitäten dar. Sind diese Daten allerdings nicht von Beginn des Geschäftsprozesses digital erfasst, müssen die Akteur:innen viele Tätigkeiten mehrfach ausführen. Zum Beispiel das händische Aufsetzen und Warten von Listen, Kalendereinträgen und Auswertungen.
Für eine durchdachte Digitalisierung sollten Finanzunternehmen daher an der Quelle der Informationen ansetzen – dem Sourcing der Lieferanten und dem damit verbundenen Vertragsmanagement. Darunter fallen jene Abläufe, die mit dem Hinzukommen eines neuen Dienstleisters in der Organisation entstehen, etwa in Bezug auf Due Diligence oder das Einholen von Unterlagen und Nachweisen. Der Einsatz des richtigen digitalen Tools führt nicht nur zu erheblichen Arbeitserleichterungen, sondern gibt den Verantwortlichen auch die nötige Sicherheit, dass sie allen erforderlichen Sorgfaltspflichten nachweislich nachkommen.
Prozesse digital und nachvollziehbar steuern
Vom anfänglichen Sourcing eines Lieferanten, über den Abschluss der Verträge, bis hin zum laufenden Controlling und Reporting der Vereinbarungen – eine smarte Vertragsmanagement-Software wie Fabasoft Contracts bildet alle Ebenen des Auslagerungsprozesses digital und revisionssicher ab. Bei Anlage eines neuen IKT-Dienstleisters im System steuert die Software selbstständig die Einholung der notwendigen Unterlagen: Darunter Risikobewertungen, Wesentlichkeitsbeurteilungen, Auslagerungsgenehmigungen, Zertifikate sowie Leistungsbeschreibungen. Durch das Hinterlegen von Fristen starten Reminder und gegebenenfalls Eskalationsworkflows, die rechtzeitig an bevorstehende Tätigkeiten (z. B. wiederkehrende Überprüfungen, Erneuerung von Nachweisen) erinnern.
Neben dem Sourcing unterstützen die Workflows auch bei der gesetzeskonformen Vertragserstellung. Die DORA-spezifischen Informationen wie die Bewertung der Auslagerung, die Beschreibung des Auslagerungsgegenstands oder die Dokumentation der Assets gelangen aus der Akte direkt in den Vertrag. Die Anwendung und Verwaltung der Standardvertragsklauseln der EU erfolgt mithilfe der Klauselbibliothek verlässlich und gesteuert. Zur sicheren und nahtlosen Zusammenarbeit integriert das smarte Tool die Lieferanten aktiv in die Workflows. Als externes Mitglied erhält der Partner Zugang zu den erforderlichen Vertragsakten und kann selbst Dokumente teilen, bearbeiten oder signieren.
Berichtspflichten automatisiert erfüllen
All diese Prozessschritte (darunter auch Freigaben) sind dank elektronischer Workflow-Unterschriften direkt im System nachvollziehbar und revisionssicher einsehbar. So stellen die Verantwortlichen die nachweisliche Durchführung sämtlicher Aktivitäten sicher und können dies speziell in Auditsituationen jederzeit belegen.
Beim wiederkehrenden oder anlassbezogenen Reporting unterstützt die automatisierte Berichterstellung. Dadurch, dass die Informationen von Beginn an kategorisiert in der digitalen Akte hinterlegt sind, lassen sich die benötigten Auswertungen auf Knopfdruck generieren. In einem Auslagerungsregister mit unterschiedlichen Filter- und Sortiermöglichkeiten bleiben alle kritischen IKT-Dienstleistungen jederzeit im Blick. Somit gelingt auch die schnelle Beantwortung von Ad-hoc-Anfragen.
Fazit:
Die Umsetzung von DORA verlangt eine ganzheitliche Betrachtung und Weiterentwicklung der bestehenden Geschäftsprozesse. Der Einsatz der passenden Werkzeuge optimiert nicht nur die Arbeitsabläufe, sondern unterstützt auch bei der nachweislichen Erfüllung der neuen gesetzlichen Vorgaben und Sorgfaltspflichten. Nicht zuletzt, weil der Geschäftsführung von Finanzunternehmen die Verantwortung für die Einhaltung der Vorschriften obliegt.