Die DORA-Verordnung (Digital Operational Resilience Act-Verordnung) fordert von Banken die Stärkung der digitalen Resilienz ihrer IT-Prozesse. Als führender Dienstleister für regulatorische Anforderungen bietet die ZAM eG maßgeschneiderte Lösungen. Der Fokus liegt dabei auf IT-Regulatorik, Outsourcing-Management und IT-Governance, um Effizienz und Transparenz mit der Einhaltung regulatorischer Vorgaben zu verbinden. Die genossenschaftliche Philosophie der ZAM eG, geprägt von Transparenz, Effizienz und Nachhaltigkeit, sichert eine DORA-konforme Unterstützung für die digitale Zukunft.
Der zentrale Verfahrenslieferant der ZAM eG für IT-Regulatorik ist eine Plattform zur strukturierten Umsetzung regulatorischer Anforderungen in Informationssicherheits-, IKT-Risiko- und Notfallmanagement. Durch automatisierte, digitale Schnittstellen fließen aktuelle Daten direkt von der ZAM eG und den von ihr überwachten Dienstleistern in die Systemlandschaft der Banken. Dies reduziert den Aufwand für die Institute und stellt sicher, dass diese sich mehr mit den Inhalten, als mit der Erfassung beschäftigen können.
Darüber hinaus geht das Verfahren über die reine Datenbereitstellung hinaus: Es aggregiert Informationen aller teilnehmenden Banken und nutzt diesen kollektiven Wissenspool, um kontinuierliche Optimierungen und Updates zu bieten. Die integrierte FORUM-Softwaresuite bildet die Basis und ermöglicht dank vieler Musterinformationen einen einfachen Einstieg in die IT-Regulatorik.
DORA verlangt ein einheitliches IKT-Risikomanagement, in dem IT-Prozesse und -Risiken umfassend klassifiziert, bewertet und überwacht werden. Die ZAM eG unterstützt Institute bei der Umsetzung, etwa durch einen einheitlichen Bankensollmaßnahmenkatalog, der alle aktuellen Anforderungen aus DORA, MaRisk, BAIT sowie ISO 27001 und ISO 27002 enthält. Daraus abgeleitet erfolgt eine Aktualisierung der schriftlich fixierten Ordnung, einschließlich Notfallmanagement und Richtlinien.
Die ZAM eG bietet einen umfassenden IKT-Risikomanagement-Rahmen, der den neuesten regulatorischen Anforderungen entspricht und IKT-Risiken strukturiert dokumentiert. Eine integrierte Exportfunktion unterstützt das operative Risikomanagement (OpRisk), und regelmäßige Berichte an die Leitungsebene stellen die Erfüllung der Aufsichtsanforderungen sicher.
Eine zentrale Anforderung von DORA ist die systematische Klassifikation kritischer oder wichtiger Geschäftsprozesse, IKT-Assets und IKT-Dienstleistungen. Dieser strukturierte Ansatz der ZAM eG berücksichtigt die Anforderungen des Geschäftsfortführungs- und Notfallmanagements und hilft Banken, die regulatorischen Vorgaben ressourcenschonend zu erfüllen.
DORA fordert detaillierte Sicherheitsmaßnahmen und eine erweiterte Betrachtung der Notfallszenarien. Die ZAM eG bietet eine Methodik, die Schwachstellenscans, Netzwerksicherheitsbewertungen sowie regelmäßige Soll-/Ist-Abgleiche abbildet und daraus gegebenenfalls Risiken ableitet. So können Institute ihre Sicherheitsmaßnahmen implementieren und kontinuierlich evaluieren. Darüber hinaus wurden die erweiterten Anforderungen an das Notfallmanagement unter Berücksichtigung aller DORA-relevanten Notfallszenarien gemäß Art. 26 Abs. 2 des RTS on ICT risk management framework umgesetzt. Die ZAM eG sorgt für die notwendige Dokumentation und Berichterstattung, die bei Bedarf der Aufsicht vorgelegt werden kann.
DORA setzt neue Standards für die Steuerung und Überwachung von Drittparteienrisiken. Die ZAM eG bietet eine strukturierte Lösung für das Management dieser Risiken, einschließlich Due-Diligence-Prüfungen, Monitoring und Risikoberichterstattung und garantiert ein hohes Sicherheitsniveau.
Arthur Hoffmann
Arthur Hoffmann ist Spezialist Verfahrenslieferant bei der ZAM eG.
