DORA mit bit-MaRisk

Der Digital Operational Resilience Act (DORA) wirkt sich europaweit auf die Regulierungsbehörden, Kredit-, Finanz- und Versicherungsinstitute, sowie deren Dienstleistungspartner mit IKT-Bezug aus.
Durch die konkreten Vorgaben von DORA und der derzeit in Abstimmung befindlichen RTS und ITS entsteht Anpassungsbedarf bei den Abläufen zur Erfüllung von aufsichtsrechtlichen Anforderungen.
Hieraus resultiert wiederum Anpassungsbedarf für unsere Software bit-MaRisk.

Bereits heute sind eine Vielzahl Bereiche der Anwendung flexibel konfigurierbar und können ohne Notwendigkeit von technischen/funktionalen Anpassungen an Ihre institutsspezifischen Anforderungen angepasst werden.
Dennoch prüfen wir derzeit, welche technischen Erweiterungen erforderlich sind und bis wann diese umgesetzt werden. Hierzu findet in einem gemeinsamen Arbeitskreis zur Interpretation und Umsetzung von DORA ein Austausch mit Privatbanken, Instituten und Verbänden der S-Finanzgruppe und aus dem Genossenschaftssektor statt.
Nach derzeitiger Releaseplanung wird diese Überprüfung auf Basis der aktuell vorliegenden Informationen spätestens bis zum Herbst 2024 abgeschlossen sein.
Infolge dieser Überprüfung wird eine E-Mail-Benachrichtigung an unsere Ansprechpartner für die betroffenen Module erfolgen.

Bereits in der Version 24.1 (April 2024) sind erste Anpassungen enthalten, die auch auf die Umsetzung der DORA Anforderungen abheben.
Weitere Anpassungen werden mit der Version 24.2 (September 2024) bereitgestellt.
Darüber hinaus werden kleinere Erweiterungen im Rahmen von Builds für die Versionen 24.1 und 24.2 umgesetzt.

Sofern wesentliche Funktionserweiterungen erforderlich sind, wird zusätzlich ein außerplanmäßiges Update 24.3 zum Jahresende erstellt. Insbesondere, falls sich die Finalisierung der RTS oder ITS verzögert.
Zudem wird die Weiterentwicklung auch mit den Versionen 25.1 und darüber hinaus im Jahr 2025 fortgesetzt.

Bereits heute können wir Ihnen folgende häufig gestellten Fragen zur Anpassung von bit-MaRisk beantworten:

Wird eine Bewertung der Gefährdungen von IKT-Assets ermöglicht?
Ja.
Die Risikobeurteilung von IKT-Assets wurde bereits mit dem Release 24.1 ermöglicht und umfasst auch die Ableitung von erforderlichen Maßnahmen unter Berücksichtigung des Schutzbedarfs.

Wird eine Kennzeichnung von IKT-Verträgen ermöglicht?
Ja.
Zusätzlich zur bereits heute bestehenden Möglichkeit einer Kategorisierung werden spezielle Kennzeichen für IKT-Verträge, -Vertragspartner und -Weiterverlagerungen mit Integration in die Risikoanalyse und Risikoermittlung im Modul Vertragsverwaltung und Dienstleistersteuerung ergänzt. Diese Änderung wurde bereits mit dem Release 24.1 bereitgestellt.

Wird das Informationsregister umgesetzt?
Ja.
Die verschiedenen Datensätze, insbesondere im Modul Vertragsverwaltung und Dienstleistersteuerung, werden um die für das Informationsregister benötigten Felder erweitert, sofern diese noch nicht vorhanden sind.
Eine Auswertung der Informationen für das Informationsregister wird ebenfalls, vergleichbar zur heutigen Lösung für das nationale Auslagerungsregister, umgesetzt.
Zudem wird eine Schnittstelle für die direkte Übertragung der erforderlichen Angaben in das Meldeportal geprüft.

Wird die angepasste Risikoermittlung Dienstleistungsbezug im Modul Vertragsverwaltung und Dienstleistersteuerung umgesetzt?
Bei der Risikoermittlung Dienstleistungsbezug handelt es sich um eine MS Excel Vorlage des DSGV für die S-Finanzgruppe.
An der Weiterentwicklung dieser Vorlage ist die bit Informatik GmbH nicht beteiligt.
Sobald eine aktualisierte Fassung dieser Datei vorliegt, wird diese auf ihre technische Umsetzbarkeit in bit-MaRisk geprüft und erforderliche Anpassungen werden zeitnah umgesetzt.

Sie benötigen eine Anpassung in bit-MaRisk dringend, um Ihr DORA-Projekt voranzubringen?
Dann teilen Sie uns Ihre konkrete Anforderung per E-Mail an unseren Support oder über den bit-Helpdesk (ALT + F1 in bit-MaRisk) unter Angabe von „[DORA]“ im Betreff mit.
Wir berücksichtigen Ihr Feedback bei der Analyse und Konzeption, bitten jedoch um Verständnis dafür, dass derzeit noch nicht für jede Anpassung ein verbindlicher Releasetermin genannt werden kann.