Prüfungen im Bereich des IKT-Drittparteienmanagements

Anforderungen aus dem Digital Operational Resilience Act (DORA)

• Axel Becker
• Maria Dzolic

Mit DORA, der Verordnung (EU) 2022/2554 über die digitale operationale Resilienz im Finanzsektor (Digital Operational Resilience Act), hat die Europäische Union eine finanzsektorweite Regulierung für die Themen Cybersicherheit, IKT-Risiken und digitale operationale Resilienz geschaffen. Diese Verordnung trägt wesentlich dazu bei, den europäischen Finanzmarkt gegenüber Cyberrisiken und Vorfällen der Informations- und Kommunikationstechnologie (IKT) zu stärken. Dies betrifft unter anderem auch die Interne Revision, die ihren risikoorientierten Prüfungsansatz auf die neuen Prüffelder auszuweiten hat. In vier Beiträgen zur DORA-Basisverordnung sind wir auf die ersten Veränderungen eingegangen. Dieser Beitrag, der dem Spezialbeitrag zur Prüfung des Informationsregisters folgt, geht auf die Prüfungserfordernisse zum Management des Drittparteienrisikos ein, stellt die Thematik dar und leitet spezielle Checklisten/Prüfungsfragen für den praktischen Einsatz ab. Dieser Artikel soll eine Hilfestellung für die Internen Revisionen darstellen, das IKT-Drittparteienrisiko in den Finanzunternehmen wirksam zu überprüfen.