Transparente Weiterverlagerungen
Leno ermöglicht eine effiziente und regelkonforme Dokumentation und Überwachung der gesamten Auslagerungsketten und IKT-Unterauftragsvergaben.
Warum Weiterverlagerungen eine Herausforderung sind
- Keine vollständige Abbildung von Haupt- und Unterauftragnehmern gemäß DORA, EBA-Leitlinien und MaRisk
- Unklare Zuordnung zu kritischen oder wichtigen Funktionen
- Änderungen in der Lieferkette werden nicht systematisch erfasst
- Abhängigkeiten zwischen Haupt- und Unterauftragnehmern sind nicht klar erkennbar
- Konzentrations- und Ausfallrisiken bleiben unentdeckt
- Verantwortlichkeiten entlang der Lieferkette sind unklar
- Fehlende Nachvollziehbarkeit von Bewertungen und Genehmigungen
- Dokumentation ist nicht prüfungssicher oder nicht aktuell
- Erhöhtes Risiko von Feststellungen durch Aufsicht und Revision
%201.png)
Wie Leno Weiterverlagerungen und IKT-Unterauftragsvergaben steuert
- Abbildung von Hauptdienstleister → Unterauftragnehmer → weitere Ebenen
- Kennzeichnung kritischer und wichtiger Funktionen
- Vollständige Historie aller Änderungen
- Bewertung von:
- Kritikalität
- Konzentrationsrisiken
- Informationssicherheitsrisiken
- Datenschutz
- Ausfall- und Abhängigkeitsszenarien
- Verknüpfung mit bestehenden IKT-Risikobewertungen
- Regelmäßige und revisionssichere Aktualisierung der Risikoanalyse
- Automatisiertes Übertragen ins Auslagerungsregister und das Informationsregister
- Nachverfolgung von Änderungen in den Lieferketten
%20%202%20(1).png)
Warum Leno Weiterverlagerungen und IKT-Dienstleistungen effektiver steuert
Weiterverlagerungen werden mit Basisfunktionen, statischen Workflows oder Einzellösungen dokumentiert – ohne vollständige Transparenz über mehrstufige Lieferketten.
Andere Tools
.png)
.png)
.png)
Wichtige Fragen zu Weiterverlagerungen und IKT-Unterauftragsvergaben
1. Was ist die Leno?
Leno ist eine modulare Plattform für Governance, Risk & Compliance (GRC), die Unternehmen bei der Automatisierung und Digitalisierung von Compliance- und Risikomanagement-Prozessen unterstützt. Mit Leno etablieren Sie Auslagerungsmanagement, Vertragsmanagement, Informationssicherheit und BCM etablieren.
2. Welche Module bietet Leno?
Leno ist modular, integriert und automatisiert.
Aktuell stehen folgende Module zur Verfügung:
- Leno TPRM – für Third Party Risk Management und Auslagerungsmanagement
- Information Security & Resilience (ISR) – für Informationssicherheitsmanagement und Business Continuity Management (BCM)
- Leno CLM – für Vertragsmanagement
Alle Module greifen nahtlos ineinander und bilden gemeinsam ein ganzheitliches Governance-, Risk- und Compliance-Management (GRC) ab.
3. Wie ist die Leno Plattform technisch aufgebaut?
Leno ist eine webbasierte Cloud-Plattform, entwickelt nach modernen Sicherheits- und Architekturstandards. Die Lösung ist skalierbar, mandantenfähig und kann flexibel an Ihre internen Strukturen, Prozesse und Berechtigungen angepasst werden.
4. Ist Leno sicher?
Ja. Sicherheit steht bei Leno an oberster Stelle. Die Plattform erfüllt höchste Anforderungen an Datenschutz, Informationssicherheit und Compliance. Alle Daten werden verschlüsselt gespeichert und übertragen, und das Hosting erfolgt in zertifizierten Rechenzentren innerhalb der EU.
5. Kann Leno in bestehende Systeme integriert werden?
Ja. Über standardisierte Schnittstellen (APIs) kann Leno problemlos in bestehende Systeme wie ERP-, GRC- oder CMS-Lösungen integriert werden. Damit lassen sich Daten für Dienstleister, Verträge und Risiken effizient synchronisieren.
6. Ist Leno mehrsprachig verfügbar?
Ja. Die Plattform unterstützt standardgemäß Deutsch und Englisch. Weitere Sprachen können auf Anfrage ergänzt werden.
7. Wie erfolgt die Benutzerverwaltung?
Kunden authentifizieren sich über Single Sign-On (SSO).Leno bietet eine rollenbasierte Benutzer- und Rechteverwaltung, mit der sichergestellt wird, dass Ihr Berechtigungskonzept automatisch abgebildet wird.
8. Welche Unterstützung bietet Leno beim Onboarding und Support?
Unsere Experten begleiten Sie von der Einführung bis zum produktiven Betrieb. Wir bieten Schulungen, technische Unterstützung und laufenden Support, um eine reibungslose Nutzung der Plattform sicherzustellen. Auf Wunsch übernehmen wir auch die initiale Datenmigration und Konfigurationen, sofern notwendig.
9. Wird Leno regelmäßig aktualisiert?
Ja. Leno wird kontinuierlich weiterentwickelt. Regulatorische Änderungen, Optimierungen und neue Funktionen werden regelmäßig bereitgestellt, sodass Sie immer auf dem neuesten Stand bleiben.
10. Welche Vorteile bietet Leno gegenüber anderen GRC-Plattformen?
- Hoher Automatisierungsgrad durch KI- Modularer Aufbau
und flexible Erweiterbarkeit
- Schnelle Implementierung und intuitive Benutzeroberfläche
- Regulatorische Expertise direkt in der Software abgebildet
- Hosting & Support aus Deutschland
Eine Weiterverlagerung liegt vor, wenn ein Dienstleister Leistungen, die er für ein Finanzinstitut erbringt, ganz oder teilweise an einen Dritten auslagert. Dies gilt unabhängig davon, ob die Auslagerung dauerhaft oder temporär erfolgt. Sind von dieser Weiterverlagerung Leistungen der Informations- und Kommunikationstechnologie (IKT) betroffen, spricht man von einer IKT-Unterauftragsvergabe.
Eine Weiterverlagerung liegt vor, wenn ein Dienstleister Leistungen, die er für ein Finanzinstitut erbringt, ganz oder teilweise an einen Dritten auslagert. Dies gilt unabhängig davon, ob die Auslagerung dauerhaft oder temporär erfolgt. Sind von dieser Weiterverlagerung Leistungen der Informations- und Kommunikationstechnologie (IKT) betroffen, spricht man von einer IKT-Unterauftragsvergabe.
Nicht jeder Unterauftragnehmer muss formal genehmigt werden – entscheidend ist die Risikorelevanz. Unterauftragnehmer, die Leistungen im Zusammenhang mit kritischen oder wichtigen Funktionen erbringen oder wesentliche IKT-Risiken beeinflussen, müssen vorab bewertet und genehmigt werden. Bei nicht-kritischen Leistungen kann eine vereinfachte Dokumentation ausreichen.
Nicht jeder Unterauftragnehmer muss formal genehmigt werden – entscheidend ist die Risikorelevanz. Unterauftragnehmer, die Leistungen im Zusammenhang mit kritischen oder wichtigen Funktionen erbringen oder wesentliche IKT-Risiken beeinflussen, müssen vorab bewertet und genehmigt werden. Bei nicht-kritischen Leistungen kann eine vereinfachte Dokumentation ausreichen.
Die Dokumentation muss so tief gehen, dass Risiken aus Weiterverlagerungen vollständig nachvollziehbar und steuerbar sind. Solange aus einer Weiterverlagerung ein Risiko entstehen kann, das für das Institut relevant ist, müssen Bewertung, Entscheidungsgrundlage, Genehmigung und Überwachung dokumentiert sein.
Die Dokumentation muss so tief gehen, dass Risiken aus Weiterverlagerungen vollständig nachvollziehbar und steuerbar sind. Solange aus einer Weiterverlagerung ein Risiko entstehen kann, das für das Institut relevant ist, müssen Bewertung, Entscheidungsgrundlage, Genehmigung und Überwachung dokumentiert sein. Für Aufsicht und Prüfer muss jederzeit erkennbar sein, welche Weiterverlagerungen bestehen, welche Risiken bewertet wurden und wie diese gesteuert werden.
Leno stellt alle prüfungsrelevanten Informationen zu Weiterverlagerungen zentral, aktuell und nachvollziehbar bereit. Risikoanalysen, Genehmigungen, Entscheidungen und Änderungen in der IKT-Lieferkette sind strukturiert dokumentiert und jederzeit revisionssicher abrufbar.
Leno stellt alle prüfungsrelevanten Informationen zu Weiterverlagerungen zentral, aktuell und nachvollziehbar bereit. Risikoanalysen, Genehmigungen, Entscheidungen und Änderungen in der IKT-Lieferkette sind strukturiert dokumentiert und jederzeit revisionssicher abrufbar. So können Institute gegenüber interner Revision, Wirtschaftsprüfern und Aufsicht schnell und konsistent Auskunft geben, ohne Informationen manuell zusammenzustellen.
Aufsichtsrechtlich wird erwartet, dass Finanzinstitute auch Transparenz und Kontrollmöglichkeiten über Unterauftragnehmer haben, die im Rahmen von Weiterverlagerungen eingesetzt werden. Entscheidend ist nicht nur der Vertrag, sondern die tatsächliche Überwachung der gesamten IKT-Lieferkette.
Aufsichtsrechtlich wird erwartet, dass Finanzinstitute auch Transparenz und Kontrollmöglichkeiten über Unterauftragnehmer haben, die im Rahmen von Weiterverlagerungen eingesetzt werden. Entscheidend ist nicht nur der Vertrag, sondern die tatsächliche Überwachung der gesamten IKT-Lieferkette. Das Institut bleibt auch bei Unterauftragnehmern voll verantwortlich und muss Risiken bewerten, Genehmigungen dokumentieren und Änderungen nachvollziehen können.
