Sektor
Finanz
DORA · BaFin BAIT / VAIT / KAIT / ZAIT · MaRisk · EBA-Outsourcing-Leitlinien.
Sektorale Risiken
DORA-Drittparteirisiko
Der Digital Operational Resilience Act verlangt eine durchgängige Risikobewertung externer IKT-Dienstleister, einschließlich Konzentrations- und Sub-Outsourcing-Risiken.
SWIFT-Abhängigkeit
Zahlungsverkehr und Settlement hängen an Infrastrukturen, deren Steuerung außerhalb der EU sanktionierbar ist.
US-Sekundärsanktionen
Sanktionsregime können dazu führen, dass IKT-Dienste aus den USA für EU-Institute kurzfristig unverfügbar werden.
Schrems II
Transatlantischer Datentransfer steht weiterhin unter rechtlicher Unsicherheit. Bankgeheimnis und MiFID-Daten verlangen klare Jurisdiktion.
Kontosperrungen durch nicht-EU-Akteure
Plattformbasierte Bankdienstleistungen können durch Drittstaatentscheidungen administrativ ausfallen.
Regulatorischer Anker
| Regelwerk | Status | Wesentliche Anforderung | Anschluss an EDSO |
|---|---|---|---|
| DORA | verbindlich seit 17.01.2025 | Operative Resilienz, kritische IKT-Drittparteien | Grundlage für D1- und D4-Nachweise |
| BaFin BAIT / VAIT / KAIT / ZAIT | behördlich | IT-Anforderungen der Finanzaufsicht | D2 / D3-Mindeststandards |
| MaRisk | behördlich | Auslagerungsregeln | Anker für D1 |
| EBA-Outsourcing | Leitlinien | Sub-Outsourcing-Transparenz | Anker für D4 |
Empfohlene Mindestlevel pro Anwendungsfall
| Anwendungsfall | Gesamt | D1 | D2 | D3 | D4 | Begründung |
|---|---|---|---|---|---|---|
| Kernbanken-Plattform | L2 | L2 | L2 | L2 | L2 | Kritische IKT-Funktion gemäß DORA. |
| Zahlungs-Settlement / SWIFT-Alternative | L3 | L3 | L3 | L3 | L3 | Geopolitisches Risiko, Settlement-Finalität. |
| Risk-Reporting-Plattform | L2 | L2 | L2 | L1 | L2 | Aufsichtsrechtliche Berichterstattung. |
| Trading-Frontend | L2 | L2 | L2 | L2 | L1 | MiFID-Pflichten, marktkritisch. |
| Marketing / CRM Retail | L1 | L1 | L1 | L1 | L1 | Geringes systemisches Risiko. |
Typische Anwendungsfälle
DORA-Kritikalitätsbewertung
- Szenario
- Eine Universalbank prüft ihre IKT-Drittparteien nach Art. 28 DORA.
- Risiken
- Konzentrationsrisiko bei zwei US-Hyperscalern, fehlende Exit-Pläne.
- EDSO-Anwendung
- EDSO L2 als Referenz für "kritische IKT-Funktion".
- Vorgehen
- Portfolio-Modus im Level-Rechner, Lieferanten-Mapping über das Register.
Cloud-Migration einer Versicherung
- Szenario
- Ein Versicherer migriert die Bestandsverwaltung in eine europäische souveräne Cloud.
- Risiken
- VAIT-Konformität bei Migration, Übergangsphase mit Mischbetrieb.
- EDSO-Anwendung
- L2-Ziel mit D2 = L2 zwingend für Versichertendaten.
- Vorgehen
- Self-Assessment, dann formale Zertifizierung der Zielplattform.
Krypto-Verwahrung
- Szenario
- Ein Krypto-Verwahrer betreibt Wallet-Infrastruktur für institutionelle Kunden.
- Risiken
- Schlüsselkontrolle durch externe HSM-Anbieter, geopolitische Verfügbarkeit.
- EDSO-Anwendung
- L3 für Schlüsselmaterial, L2 für Begleitsysteme.
- Vorgehen
- Domänen-Profil-Audit, anschließend Vollzertifizierung.
Vorlagen und Sofort-Einstiege
Ausschreibungs-Generator
Mit voreingestellten Sektor-Parametern
Register
Anbieter und Dienste mit Sektor-Filter
Self-Assessment
Sektor voreingestellt, in ca. 20 Minuten
Sektor-spezifische Leitfäden
- EDSO und DORA — Anschlussleitfaden — Wie EDSO-Nachweise in die DORA-Drittparteibewertung einfließen.
- Versicherer-Lastenheft EDSO L2 — Vorlage für VAIT-konforme Vergaben mit Souveränitätsanforderung.
Sektor-Konsultationen
Derzeit keine sektor-spezifischen Konsultationen.
Ansprechpartner
Anwendungsrat — Quadrant Anwender / Sektor Finanz — Sektor-Sprecher
Kontaktformular (Sektor voreingestellt)