TPRM in Zeiten von DORA – die 5 größten Fehler bei der Klassifikation von IKT-Dienstleistungen

Mit dem Digital Operational Resilience Act (DORA) sind Finanzinstitute verpflichtet, ihr Auslagerungsmanagement bzw. Third Party Risk Management (TPRM) für IKT-Dienstleistungen erheblich zu stärken und enger mit Funktionen wie Informationssicherheit und Business Continuity Management (BCM)zu verzahnen.

Als IKT-Dienstleistungen gelten nach DORA alle digitalen Dienste oder Datendienste, die über das Internet oder elektronische Kommunikationsnetze bereitgestellt werden, sowie Rechenzentrumsleistungen wie Rechen-, Speicher- oder Netzressourcen. Diese müssen identifiziert, dokumentiert und auf ihre Kritikalität geprüft werden.

Der Maßstab für die Kritikalität hängt von der unterstützten Geschäftsfunktion ab. Jede IKT-Dienstleistung dient einem internen Geschäftsprozess oder einer Geschäftsunterfunktion. Unterstützt eine IKT-Dienstleistung eine kritische Geschäftsfunktion, greifen deutlich strengere regulatorische Anforderungen.

In der Aufsichtspraxis zeigen sich immer wieder dieselben Muster. Hier sind die 5 größten Fehler bei der Klassifikation von IKT-Dienstleistungen:

1. IKT-Dienstleistungen sind nur Software

Viele Institute reduzieren IKT-Dienstleistungen auf reine Softwareprodukte. Doch auch Softwareentwicklung, DevOps und IT-Dienstleistungen zählen dazu.
Für ein Finanzinstitut kann der Ausfall eines DevSecOps-Teams denselben Schadenverursachen wie der Ausfall der Software selbst.
Folge: Auch Entwicklungsleistungen und externes IT-Personal müssen ins Risikomanagement einbezogen werden.

2. Klassifikation nur nach Schutzbedarf oder BIA

Oft orientieren sich Häuser an CIA-Werten oder Business Impact Analysen (BIA).
Hat eine Anwendung niedrigen Schutzbedarf, wird sie fälschlicherweise nicht als IKT-Dienstleistung erfasst.
Beispiel: Ein SaaS-Tool mit niedrigem Schutzbedarf ist trotzdem eine IKT-Dienstleistung und gehört ins Register.
Kernfehler: DORA definiert IKT-Dienstleistungen unabhängig vom Schutzbedarf und der Zeitkritikalität.

3. Software-Lizenzen werden pauschal ausgeschlossen

Ein häufiger Irrtum: Lizenzen = keine IKT-Dienstleistung.

Reine Nutzungsrechte (z. B. Kauf einer unbefristeten Lizenz ohne Service) sind tatsächlich keine IKT-Dienstleistung. Aber: Sobald Support, Wartung oder Betrieb mitgeliefert werden, liegt eine IKT-Dienstleistung vor.
Dauer der Dienstleistung ≠ Dauer der Lizenz.

4. Kritische Funktionen werden falsch definiert

Häufig werden Funktionen ausschließlich anhand der Ergebnisse einer Business Impact Analyse (BIA) als kritisch oder nicht kritisch eingestuft. Eine weitere fehlerhafte Methode ist, eine Funktion nur dann als kritisch zu klassifizieren, wenn alle Risikokennzahlen gleichzeitig auf dem höchsten Level stehen – zum Beispiel: SBA = hoch, BIA = hoch, OCIR = kritisch.

Das führt dazu, dass Funktionen mit niedrigem Schutzbedarf, aber hohem BIA oder hoher OCIR-Einstufung, nicht als kritisch erkannt werden, obwohl sie nach DORA als kritisch gelten können.

5. Falsche Zuordnung von Unterstützungsleistungen

Häufig wird unsauber bewertet, ob eine IKT-Dienstleistung eine kritische Funktion tatsächlich unterstützt

• Manche Institute markieren fast alles als „unterstützend“ (Overreporting).
• Andere übersehen echte Abhängigkeiten (gefährliche Lücken).

Die Kernfrage lautet:
Könnte die kritische Funktion ohne diese IKT-Dienstleistung weiterlaufen – ja oder nein?

Fazit

Die Klassifikation von IKT-Dienstleistungen ist der zentrale Hebel für ein DORA-konformes TPRM.
Die größten Fehler entstehen durch zu enge Definitionen, falsche Maßstäbe und unsaubere Abhängigkeitserfassung.
Nur wer hier präzise arbeitet, legt die Basis für ein vollständiges Informationsregister und für belastbare Risikoanalysen – und vermeidet schmerzhafte Findings bei der nächsten Aufsichtsprüfung.

Benötigen Sie Beratung oder Software, um solche Fehler zu vermeiden? Dann nehmen Sie gerne Kontakt mit uns auf.