IHRE ENTSCHEIDUNGEN BEEINFLUSSEN
Aufsichtsbehörde
BaFin
Vorstand
Reputation

DORA – Digitale operationale Resilienz

Das Register

Meridian Capital Partners – Mittwoch, 10:14 Uhr – Frankfurt

Ein interaktives Szenario zu einem IKT-Register mit 83 nicht registrierten Anbietern, einer BaFin-Meldefrist von 10 Tagen und der Frage, in welchem Umfang Sie Angaben machen.

83 Anbieter sind nicht registriert. Das Register ist ein fortlaufend aktualisiertes behördliches Dokument. Wesentliche Ungenauigkeiten stellen einen Verstoß dar.

Amira Osei
Amira Osei

Katharina – ich muss Ihnen etwas zeigen. Ich habe den NexCore-Vertrag zur Verlängerung des Portfoliomanagementsystems durchgesehen und dabei eine Klausel zu Unterauftragsverarbeitern gefunden. NexCore nutzt Helix Infrastructure für seine europäische Recheninfrastruktur. Helix nutzt ApexCloud für die Speicherung.

Katharina Engel

ApexCloud. Das steht im Register – als direkter Anbieter für Risikoanalysen. Ich kenne ApexCloud. Ich habe dem Vorstand vor achtzehn Monaten die „Cloud-First“-Konsolidierung empfohlen. ApexCloud EU-West war meine Entscheidung.

Amira Osei

Dann müssen Sie sich das ansehen. Es geht nicht nur um Risikoanalysen. Es geht um Compliance-Berichterstattung. Um Kundenberichterstattung. Vier unserer sieben kritischen Dienste – über verschiedene Wege, die wir nie zurückverfolgt haben. NexCore, Helix und zwei weitere Unterauftragsverarbeiter, die niemand geprüft hat. Das ist nicht im Register verzeichnet, weil wir bei der ersten Ebene aufgehört haben.

Katharina Engel

Wie viele insgesamt?

Amira Osei

Einhundertdreißig. Im Register sind siebenundvierzig verzeichnet. Dreiundachtzig ohne Dokumentation. Zwölf laufen über ApexCloud EU-West – dieselbe Region, die im vergangenen Dezember sechs Stunden lang ausgefallen war. Damals hatten wir Glück. Laut dem Register der BaFin sind wir bei siebenundvierzig Anbietern exponiert. Tatsächlich sind wir bei einhundertdreißig exponiert.

📋 Amira's Audit Summary — Meridian ICT Register
47
Dokumentiert
83
Nicht dokumentiert
12
ApexCloud
⚠ ApexCloud EU-West – dieselbe Region wie beim Ausfall im Dezember. 4 von 7 kritischen Diensten sind über nicht geprüfte Unterauftragsverarbeiter gefährdet.
Einer der angebotenen Dienste: SME payroll processing — ~3,200 small employers, including Lena Okonkwo, eine Bäckereibesitzerin aus Berlin, die am 15. jedes Monats 14 Mitarbeiter bezahlt. Sollte ApexCloud EU-West erneut ausfallen, kann sie die Gehaltsabrechnung nicht durchführen.
Kurze Überprüfung – wie hoch ist das tatsächliche Risiko?
Bevor Sie die Angelegenheit weiterleiten – was ist hier der gefährlichste Befund?
Die Konzentration ist das, was Ihnen zum Verhängnis wird. 83 fehlende Einträge sind ein Verwaltungsproblem, das Sie mit einem Sprint beheben können. Vier kritische Dienste bei einem einzigen Infrastrukturanbieter – das ist ein Single Point of Failure. DORA-Artikel 29 wurde speziell verfasst, um genau dieses Muster zu erkennen.
Mittwoch, 11:42 Uhr

Die Heatmap

Amira ruft die Abhängigkeitsübersicht auf dem Bildschirm im Lagezentrum auf. Vierzig Kacheln, farblich gekennzeichnet nach dem Ort, an dem der jeweilige Dienst letztendlich ausgeführt wird.

ApexCloud leuchtet in der Mitte auf und beginnt, das Raster darunter rot zu färben – Portfoliomanagement, Compliance-Berichterstattung, Kundenberichterstattung, Abwicklung. Vier von sieben kritischen Diensten, ein Infrastrukturanbieter, drei Vertragsebenen, die niemand geprüft hat.

Dies ist keine Lücke in der Dokumentation. Es handelt sich um ein Konzentrationsrisiko – und es steht seit achtzehn Monaten im Register, versteckt hinter der Bezeichnung „EU-West-Konsolidierung“, die Sie damals genehmigt haben.

DORA Art. 28 · Third-Party Risk Classification

Classify Meridian's ICT Services

Wählen Sie für jeden Dienst die entsprechende DORA-Risikostufe aus.

0 von 5 bewertet

Core payment processing infrastructure
Real-time transaction monitoring
Trading execution platform
HR payroll software (cloud)
E-Mail- und Dokumentenverwaltung
Entscheidungspunkt
10:47 Uhr

Das Problem mit der Ablage

Das Register, das Sie vor drei Wochen bei der BaFin gesendet haben, ist in wesentlichen Punkten unvollständig. Was tun Sie?

Gemäß Artikel 28 der DORA muss das Register vollständig und korrekt sein. Ein unvollständiges Register ist keine Formsache – es bedeutet, dass Ihre Risikobewertung hinsichtlich Konzentrationsrisiken fehlerhaft ist. Die BaFin hat Ihr aktuelles Register in ihren Akten. Das nächste Aufsichtsfenster ist in 10 Werktagen.

Melden Sie die Lücke unverzüglich der BaFin
Informieren Sie die BaFin proaktiv darüber, dass das Register einer wesentlichen Korrektur bedarf, erläutern Sie die Lücke und legen Sie einen überarbeiteten Zeitplan für die vollständige Einreichung vor. Seien Sie transparent, bevor die Behörde den Fehler selbst entdeckt.
§ View legal reference
Das Register intern aktualisieren und bei der nächsten Gelegenheit erneut einreichen
Korrigieren Sie das Register und senden Sie die berichtigte Fassung im nächsten Meldezeitraum in 10 Tagen ein. Sie müssen die ursprüngliche Lücke nicht kennzeichnen – die berichtigte Fassung ersetzt sie einfach.
§ View legal reference
Warte ab, bis Lukas beurteilt hat, ob das tatsächlich eine Rolle spielt
Der CTO hat die Architektur entwickelt. Bevor Sie jemanden darüber informieren, sollten Sie seine Einschätzung einholen, ob dieses Konzentrationsrisiko tatsächlich besteht oder ob die Unterauftragsverarbeiter über unabhängige Ausfallsicherungsmechanismen verfügen, die dieses Risiko mindern.
§ View legal reference
Katharina Engel
11:30 AM

Anmeldung eingereicht – +3 Punkte

Katharina Engel

Die BaFin wurde informiert. Ich habe ihr mitgeteilt, dass das Register eine wesentliche Korrektur erfordert, dass wir den Fehler selbst festgestellt haben und dass eine berichtigte Einreichung innerhalb von fünf Werktagen erfolgen wird.

Amira Osei

Das ist eine gewagte Behauptung. Wie haben sie darauf reagiert?

Katharina Engel

Zur Kenntnis genommen. Sie haben um die überarbeitete Zeitplanung in schriftlicher Form gebeten und darauf hingewiesen, dass die Selbstauskunft bei der Beurteilung durch die Vorgesetzten positiv gewertet wird. Das waren ihre genauen Worte.

Eine proaktive Offenlegung ist der richtige Ansatz und – was entscheidend ist – derjenige, den die Aufsicht honoriert. Ein Unternehmen, das eigene Compliance-Lücken erkennt und meldet, bevor dies die Aufsicht tut, demonstriert genau jene Governance-Kultur, die mit der DORA geschaffen werden soll.

Artikel 28 enthält zwar keine konkrete Frist für die Berichtigung eines Registers – die Verpflichtung zur Führung eines korrekten und aktuellen Registers besteht jedoch fortlaufend. Es ist besser, eine Berichtigung mit einer Begründung einzureichen, als darauf zu hoffen, dass die ursprüngliche Lücke unbemerkt bleibt.

DORA Artikel 28 – Das Register ist keine Momentaufnahme

Gemäß Artikel 28 Absatz 3 sind Finanzunternehmen verpflichtet, ein aktuelles Informationsregister mit Informationen zu allen vertraglichen Vereinbarungen über die Nutzung von IKT-Diensten zu führen. Das Register ist keine einmalige Einreichung, sondern ein fortlaufendes Dokument. Eine wesentliche Unrichtigkeit stellt einen fortdauernden Verstoß dar, solange sie besteht. Die Selbstmeldung einer Lücke verwandelt einen potenziellen Aufschlussbefund in einen Beweis für die Reife der Unternehmensführung.

Amira Osei
10 Days Later

Leise Korrektur — -1 Punkt

Amira Osei

Das berichtigte Register wurde hinterlegt. 130 Anbieter, vollständig erfasst.

Katharina Engel

Gut. Und die ursprüngliche Lücke?

Amira Osei

Das wird nicht erwähnt. Die neue Einreichung ersetzt einfach die alte.

Das berichtigte Register ist besser als das Original. Die Aufsichtsprüfung wird jedoch die Meldungen vom Oktober und November miteinander vergleichen. Dabei wird es feststellen, dass in einem Monat 83 Anbieter aufgeführt waren. Es wird nach dem Grund dafür fragen.

Wenn Sie ein korrigiertes Register vorlegen, ohne die Lücke offenzulegen, wird der Beamte der Aufsicht als jemand behandelt, den es zu lenken gilt, anstatt ihn zu informieren. Wenn die BaFin nach der Diskrepanz fragt – und das wird sie tun –, wird das Gespräch schwieriger verlaufen, als es sein müsste.

DORA Artikel 28 – Aufsichtsbehörden lesen Änderungsprotokolle

Die Aufsichtsbehörden führen Aufzeichnungen über alle Versionen des Registers. Ein Anstieg um 83 Anbieter innerhalb eines Berichtszeitraums bleibt nicht unbemerkt – er ist ein Warnsignal. Wenn der Prüfer fragt: „Warum ist Ihr Register zwischen Oktober und November um 83 Anbieter gewachsen?“, und die Antwort lautet: „Wir haben einen Abgleichfehler festgestellt“, ohne dass dies proaktiv offengelegt wurde, lautet die Folgefrage: „Warum wurde uns dies nicht mitgeteilt, als Sie den Fehler entdeckt haben?“ Die Zeitspanne zwischen der Entdeckung eines Problems und dessen Meldung an die Aufsicht wirft stets Fragen auf.

Lukas Bauer
3 Days Later

Warten auf Lukas — -2 Punkte

Lukas Bauer

Ich habe mir das angesehen. Ja, ApexCloud ist bei mehreren Diensten Teil des Stacks. Aber so funktioniert Cloud-Architektur nun einmal. Jeder große Anbieter nutzt dieselben drei oder vier Anbieter für die zugrunde liegende Infrastruktur. Das ist der Branchenstandard.

Katharina Engel

Das mag stimmen. Doch gemäß Artikel 29 der DORA sind wir verpflichtet, das Konzentrationsrisiko zu bewerten und zu dokumentieren. Sollte der EU-West-Standort von ApexCloud ausfallen, verlieren wir gleichzeitig vier kritische Dienste. Das ist das Konzentrationsrisiko. Die Tatsache, dass es sich um einen „Branchenstandard“ handelt, bedeutet nicht, dass er den Vorschriften entspricht.

Lukas Bauer

Wollen Sie der BaFin mitteilen, dass unsere Architektur dem gleichen Muster folgt wie die aller anderen Vermögensverwalter in Frankfurt?

Lukas hat in Bezug auf branchenübliche Architekturmuster sachlich Recht. Er irrt jedoch in der Annahme, dass dies das Konzentrationsrisiko konform macht. Die DORA sieht keine Ausnahme von den Pflichten des Registers für „Branchenstandards“ vor.

Das dreitägige Warten auf die Bestätigung dessen, was Amira bereits festgestellt hatte, hat fast ein Drittel des Aufsichtszeitraums in Anspruch genommen – und zu einem Gespräch geführt, das nichts an der aufsichtsrechtlichen Verpflichtung ändert. Die Lücke muss weiterhin gemeldet werden.

DORA Artikel 29 – Konzentrationsrisiken müssen bewertet, nicht verteidigt werden

Artikel 29 verpflichtet Finanzunternehmen dazu, das aus Abhängigkeiten von Dritten – einschließlich Unterauftragsvergaben – resultierende IKT-Konzentrationsrisiko zu bewerten. Bei dieser Bewertung geht es nicht darum, zu beurteilen, ob die Konzentration angemessen ist oder dem Marktstandard entspricht – es handelt sich vielmehr um eine dokumentierte Analyse dessen, was passieren würde, wenn der konzentrierte Anbieter ausfallen würde. Wenn vier kritische Dienste von ein und derselben Infrastruktur abhängig sind und für diese Abhängigkeit keine dokumentierte Ausweichlösung außerhalb der betroffenen Region besteht, ist das Konzentrationsrisiko real, unabhängig davon, ob andere Unternehmen über dieselbe Architektur verfügen.

Katharina Engel
Katharina Engel

Stefan. Artikel 30 Absatz 2 Buchstabe a der DORA. Wir haben einen vertraglichen Anspruch darauf, die Vorkehrungen von NexCore zur Gewährleistung der IKT-Resilienz, einschließlich der Weitergabe an Unterauftragnehmer, zu prüfen. Ich benötige Ihre vollständige Liste der Unterauftragsverarbeiter, die Vereinbarungen über die Weitergabe an Unterauftragnehmer sowie die Aufzeichnungen über die Resilienztests der letzten zwölf Monate. Noch heute.

Stefan Weidner

Katharina – ich verstehe Sie. Und ich möchte Ihnen gerne helfen. Doch unsere Beziehungen zu Unterauftragsverarbeitern beinhalten geschäftlich sensible Infrastrukturdetails, und wir sind gegenüber unseren eigenen Anbietern zur Vertraulichkeit verpflichtet. Das ist keine Hindernispolitik – es handelt sich um eine berechtigte rechtliche Komplexität. Geben Sie mir bitte zehn Werktage Zeit, damit unser Rechtsteam sich gründlich damit befassen kann.

Katharina Engel

Stefan, das Prüfungsrecht ist in Abschnitt 14.3 Ihres Rahmenvertrags über Dienstleistungen geregelt. Wir haben es ausgehandelt. Sie haben es unterzeichnet. Es gibt keine rechtlichen Unklarheiten zu klären – es handelt sich um ein Recht, das Sie entweder ausüben oder verletzen. Zehn Werktage sind kein Zeitrahmen, den ich akzeptieren kann. Ich habe in sieben Tagen ein Überprüfungsfenster.

Stefan Weidner

Ich werde... mein Bestes tun. Aber ohne die rechtliche Freigabe kann ich keinen Zeitplan garantieren.

2:15 PM
📧 Email — sent 14:22
From: katharina.engel@meridian-capital.eu
To: stefan.weidner@nexcore-systems.com
Subject: Formeller Prüfungsantrag – DORA Art. 30 Abs. 2 Buchstabe a – Antwort erforderlich bis [Datum+5]
Stefan – dies stellt eine förmliche Aufforderung gemäß Artikel 30 Absatz 2 Buchstabe a und Ziffer 14.3 unserer Rahmenvereinbarung dar. Eine ausbleibende Antwort innerhalb von fünf Werktagen wird der BaFin als Vertragsverletzung gemeldet. Zehn Werktage sind nicht akzeptabel.
NexCore hat noch sieben Werktage Zeit, bevor das Überwachungsfenster von Meridian beginnt.
Die Stimmung im Raum einschätzen
Wofür verschafft sich Stefan eigentlich Zeit?
Er verschafft sich Zeit, um Unterlagen zu erstellen, die eigentlich bereits vorliegen müssten. Gemäß Art. 30 Abs. 2 Buchstabe a ist das Prüfungsrecht eindeutig – eine „rechtliche Prüfung“ ist nicht erforderlich. Zehn Werktage sind die übliche Verzögerung, wenn ein Anbieter seine Unterlagen nicht in Ordnung hat.
Entscheidungspunkt
14:45 Uhr

Der Verkäufer weicht aus

Der Compliance-Leiter von NexCore zögert die Sache hinaus. Er weiß, dass Sie ein Recht auf Einsichtnahme haben – er nutzt eine „rechtliche Prüfung“ als Vorwand, um Zeit zu gewinnen. Die Frist für die Einsichtnahme beträgt 7 Werktage. Welche Hebel haben Sie?

Artikel 30 Absatz 2 Buchstabe a der DORA-Verordnung gewährt Ihnen Prüfungsrechte gegenüber externen IKT-Anbietern. Doch ein vertragliches Recht, das Sie nicht rechtzeitig durchsetzen können, ist kein Recht. Bei Stefan ist dies bereits zur Gewohnheit geworden – die letzte Prüfungsanforderung dauerte sechs Wochen.

Stellen Sie einen formellen Prüfungsantrag gemäß Artikel 30 mit einer Frist von 5 Tagen zur Erfüllung der Anforderungen
Legen Sie die Aufforderung schriftlich vor, verweisen Sie auf die Vertragsklausel und die DORA-Verpflichtung, setzen Sie eine Frist von 5 Tagen und weisen Sie darauf hin, dass eine Nichtbefolgung der BaFin als Vertragsverletzung gemeldet wird.
§ View legal reference
Über Lukas an den CEO von NexCore weiterleiten
Nutzen Sie Ihre Beziehung zum CTO, um an Stefan vorbei zu kommen. Lukas kennt den CEO von NexCore von Branchenveranstaltungen. Eine informelle Eskalation könnte schneller zum Ziel führen als eine formelle Anfrage.
§ View legal reference
Akzeptieren Sie vorerst eine allgemeine Zusicherung
Stefan bietet an, eine schriftliche Zusicherung zu geben, dass die Unterauftragsverarbeiter von NexCore DORA-gleichwertige Standards erfüllen. Nehmen Sie dies als vorläufigen Nachweis an, bis das vollständige Audit angesetzt ist.
§ View legal reference
Stefan Weidner
4 Days Later

„The Deadline Works“ – +3 Punkte

Stefan Weidner

Katharina. Wir haben unsere rechtliche Prüfung abgeschlossen. Ich sende Ihnen nun die Liste der Unterauftragsverarbeiter sowie die Zusammenfassungen der Resilienztests zu. Ich möchte darauf hinweisen, dass ein Teil der Unterlagen geschäftlich sensibel ist.

Katharina Engel

Zur Kenntnis genommen. Alle eingegangenen Informationen werden gemäß den Vertraulichkeitsbestimmungen der MSA behandelt. Wie lautet die RTO von NexCore im Falle eines Ausfalls von ApexCloud EU-West?

Stefan Weidner

Vier Stunden. Mit einem vollständigen Failover auf EU-Central innerhalb von 12 Stunden, falls der Ausfall von EU-West länger als zwei Stunden andauert.

Katharina Engel

Das ist ein Zeitfenster von 12 Stunden, in dem vier unserer kritischen Dienste beeinträchtigt sind. Dies muss im Register und in unserer Risikobewertung für Konzentrationsrisiken erfasst werden.

Es war die formelle schriftliche Aufforderung mit den damit verbundenen Konsequenzen, die Stefan zum Handeln bewog. Eine „rechtliche Prüfung“ ist eine Verzögerungstaktik, die bei informellen Aufforderungen funktioniert – sie funktioniert jedoch nicht, wenn die Nichteinhaltung dokumentierte Kosten nach sich zieht.

Die 4-Stunden-RTO-Daten sind von entscheidender Bedeutung. Sie wandeln das Konzentrationsrisiko von einem „theoretischen“ in ein „quantifiziertes“ Bild um: Im schlimmsten Fall eines Ausfalls von ApexCloud EU-West sind vier kritische Dienste für bis zu 12 Stunden nicht verfügbar.

DORA Article 30(2)(a) — Audit Rights Must Be Exercised

Artikel 30 Absatz 2 Buchstabe a schreibt vor, dass Verträge das Recht des Finanzunternehmens vorsehen müssen, Prüfungen, Inspektionen und Bewertungen des IKT-Drittdienstleisters durchzuführen, einschließlich des Rechts, Unterauftragnehmer zu prüfen. Ein Recht, das nie ausgeübt wird, bietet keinen Schutz. Wenn ein Anbieter die Prüfung verzögert, ist die richtige Reaktion eine schriftliche Aufforderung, in der die Verpflichtung und die Folgen einer Nichteinhaltung ausdrücklich dargelegt werden. Anbieter, die sich Prüfungen widersetzen, geben damit einen Hinweis darauf, was bei einer Prüfung zutage treten würde.

Lukas Bauer
3 Days Later

Der informelle Weg – +1 Punkt

Lukas Bauer

Ich habe mit dem Geschäftsführer von NexCore gesprochen. Er meinte, Stefan sei übervorsichtig und sie würden uns das Besorgte besorgen. Rechnen Sie damit, dass bis Ende der Woche etwas eintrifft.

Katharina Engel

Ende der Woche. Das ist in 8 Tagen. Unser Überwachungszeitraum beginnt in 4 Tagen.

Lukas Bauer

Er sagte, er würde versuchen, es früher zu schaffen. Aber Katharina – Sie verlangen von ihnen, ihre gesamte Lieferkette offenzulegen. Das braucht Zeit, selbst bei bestem Willen.

Durch die informelle Eskalation ging es schneller voran, als es bei einer neuen rechtlichen Prüfung der Fall gewesen wäre – doch nicht schnell genug. Die Frist für die Entscheidung der Aufsicht wird ablaufen, bevor die Unterlagen vorliegen.

Beziehungsmanagement auf CEO-Ebene kann Probleme lösen, die mit formellen Anfragen nicht gelöst werden können, und umgekehrt. In diesem Fall wäre der formelle Weg schneller gewesen, da er eine dokumentierte Verpflichtung geschaffen hätte.

DORA Article 30 — Rights Need Enforcement Mechanisms

Vertragliche Prüfungsrechte sind nur so nützlich, wie Ihre Fähigkeit, sie genau dann durchzusetzen, wenn Sie sie tatsächlich benötigen. Ein Anbieter, der Unterlagen erst dann vorlegt, wenn es ihm passt, und nicht dann, wenn Ihre regulatorischen Verpflichtungen dies erfordern, ist ein Anbieter, dessen Governance-Praktiken in Ihrer Risikobewertung berücksichtigt werden müssen. Für regulatorische Zwecke ist die Aussage „Wir haben angefragt, und sie arbeiten daran“ nicht gleichbedeutend mit „Wir haben die Unterlagen erhalten und geprüft“.

Stefan Weidner
Am nächsten Tag

Die Bestätigungserklärung – 2 Punkte

Stefan Weidner

Ich habe Ihnen unser Standard-Bestätigungsschreiben eines unabhängigen Prüfers übermittelt. Darin wird bestätigt, dass NexCore und alle Unterauftragsverarbeiter die geltenden regulatorischen Standards einhalten, einschließlich der DORA-gleichwertigen Anforderungen an die Ausfallsicherheit.

Katharina Engel

Stefan, hier steht „DORA-konform“. DORA selbst gilt für Meridian, nicht für NexCore. Nach welchen Standards zertifizieren Sie eigentlich?

Stefan Weidner

Darüber müssten wir uns eingehender mit unseren Rechts- und Compliance-Teams beraten.

Ein Bestätigungsschreiben eines Anbieters, der Ihre Prüfungsanfrage hinauszögert, ist bedeutungslos. Es erweckt den Anschein einer Dokumentation ohne Substanz. Der BaFin-Prüfer wird fragen: „Was bescheinigt dieses Schreiben?“ Die Antwort lautet: nichts Konkretes.

Der Drang, etwas – irgendetwas – zu akzeptieren, anstatt darauf zu bestehen, was die DORA tatsächlich vorschreibt, ist genau das, worauf Prüfer achten. „Wir haben die Selbsteinschätzung eines Anbieters anstelle eines Audits akzeptiert“ ist ein Feststellungsergebnis, keine Risikominderung.

DORA Artikel 30 – Eine Selbstbescheinigung gilt nicht als Prüfungsnachweis

Eine vom Anbieter ausgestellte Bestätigungserklärung ist keine Prüfung. Artikel 30 Absatz 2 Buchstabe a räumt Finanzunternehmen das Recht ein, eigene Prüfungen und Bewertungen durchzuführen – und sich nicht auf vom Anbieter verfasste Bescheinigungen zu verlassen. Eine Zusicherungserklärung, die vage Formulierungen wie „DORA-konform“ verwendet, ohne auf konkrete Standards, Testergebnisse oder operative Kennzahlen Bezug zu nehmen, kann nicht als Nachweis dafür herangezogen werden, dass Ihre DORA-Verpflichtungen erfüllt wurden. Wenn die BaFin Ihre Prüfungsunterlagen anfordert und Sie eine Erklärung des Anbieters vorlegen, wird sie Sie fragen, warum Sie Ihre Prüfungsrechte gemäß Artikel 30 nicht ausgeübt haben.

Hildegard Fuchs
Hildegard Fuchs

Katharina. Erklären Sie mir bitte, was genau passiert ist.

Katharina Engel

Bevor ich fortfahre, möchte ich etwas anmerken. Vor achtzehn Monaten habe ich diesem Vorstand eine „Cloud-First“-Infrastrukturkonsolidierung empfohlen. ApexCloud EU-West bildete den Kern dieses Vorschlags. Der Vorstand hat ihn genehmigt. Mein Team hat nun festgestellt, dass vier unserer sieben kritischen Dienste über ApexCloud laufen – über drei verschiedene Unterauftrags-Ketten, die wir nie vollständig nachverfolgt haben. Das Register, das ich im Oktober bei der BaFin gesendet habe, umfasst siebenundvierzig Anbieter. Die tatsächliche Zahl beträgt einhundertdreißig. Für diese Diskrepanz bin ich verantwortlich.

Hildegard Fuchs

Sie haben der BaFin vor drei Wochen ein unvollständiges Register gesendet, und erst heute Morgen haben Sie mir davon berichtet.

Katharina Engel

Mein Analyst hat dies vor achtundvierzig Stunden entdeckt. Ich habe die BaFin bereits direkt informiert. Deshalb steht dies heute Vormittag auf der Tagesordnung – ich bin nicht hier, um um Erlaubnis zu bitten, sondern um Sie darüber zu informieren, was ich unternommen habe und wie es weitergeht.

Hildegard Fuchs

Dieses Unternehmen beschäftigt 1.200 Mitarbeiter und verwaltet ein Vermögen von 14 Milliarden Euro. Ich verstehe, warum Sie so schnell gehandelt haben. Doch der Vorstand muss verstehen, wie aus 130 Abhängigkeiten auf dem Papier 47 wurden – und ob dies das einzige Register ist, über das wir uns Sorgen machen sollten.

Donnerstag, 9:00 AM
📅 Board Risk Committee — Agenda
09:00 — ICT Register Gap: root cause
09:15 — Decision: disclosure approach ←
09:30 — Budget approval: infrastructure diversification
⏱ BaFin Supervisory Window
Register filed Incomplete
Corrected filing Due today
Art. 28 penalty exposure Bis zu 2 % des Umsatzes
Vorstand-Instinkt
Welche Antwort auf Hildegards Frage wird Katharina am meisten an Glaubwürdigkeit kosten?
„Liegt nicht in unserem Zuständigkeitsbereich“ ist die falsche Antwort für einen Vorstandsvorsitzenden. DORA-Artikel 28 Absatz 1 verpflichtet das Leitungsorgan ausdrücklich dazu, die gesamte IKT-Lieferkette, einschließlich der Weitervergabe von Aufträgen, zu überwachen. Ein Vorstand, der sich seiner Rechenschaftspflicht gemäß Artikel 28 bewusst ist, wird die Antwort „Liegt nicht in unserem Zuständigkeitsbereich“ entweder als Kompetenzlücke oder als Ausflucht auffassen – beides ist nicht tragbar.
Entscheidungspunkt
Donnerstag, 9:15 Uhr

Der Vorstand möchte die Situation verstehen

Hildegard Fuchs ist nicht verärgert – sie geht der Sache gründlich auf den Grund. Es geht nicht darum, wem die Schuld zuzuschreiben ist. Es geht darum, was der Vorstand darüber verstehen sollte, wie es dazu gekommen ist und was dies für die DORA-Position des Unternehmens bedeutet.

Das Leitungsorgan trägt gemäß Artikel 28 Absatz 1 des DORA-Gesetzes die direkte Verantwortung für das Risikomanagement im Bereich des IKT-Drittparteienrisikos. Wie Katharina dies darstellt, ist von Bedeutung – nicht für ihre Karriere, sondern weil das Verständnis des Vorstands darüber entscheidet, ob er das Budget und die Änderungen in der Unternehmensführung genehmigt, die erforderlich sind, um eine Wiederholung zu verhindern.

Stellen Sie das gesamte Konzentrationsrisikobild zusammen mit dem Sanierungsplan dar
Präsentieren Sie dem Vorstand die aktuelle Abhängigkeitskarte – alle 130 Anbieter, die Konzentration auf ApexCloud, die quantifizierte Resilienzlücke – und stellen Sie einen dreistufigen Sanierungsplan mit Budget und Zeitplan vor.
§ View legal reference
Stellen Sie die abgeschwächte Sichtweise dar – Lücke festgestellt, Lücke wird behoben, kein unmittelbares Risiko
Stellen Sie dies als eine Lücke in der Dokumentation dar, die erkannt wurde und derzeit behoben wird. Das Konzentrationsrisiko besteht zwar, es gibt jedoch Maßnahmen zu dessen Minderung. Betonen Sie, dass das Unternehmen dies selbst festgestellt hat.
§ View legal reference
Für die technische Bewertung wende dich bitte an Lukas
Die Fragen zur Architektur fallen in den Zuständigkeitsbereich des CTO. Stellen Sie die regulatorische Lücke dar und überlassen Sie es Lukas, die technischen Zusammenhänge zu erläutern. Teilen Sie sich die Bühne.
§ View legal reference
Hildegard Fuchs
Donnerstag, 10:30 AM

Das Gesamtbild – +3 Punkte

Hildegard Fuchs

Das 12-Stunden-Fenster für ein vollständiges Failover. Wird dies in unserer Bewertung der operativen Resilienz als akzeptabel eingestuft?

Katharina Engel

Das war nicht der Fall, da wir nicht wussten, dass es diese Funktion gab. Nun, da wir davon wissen, müssen wir entscheiden, ob wir NexCore dazu verpflichten, diese Funktion einzuschränken, ob wir unsere eigene Ausfallsicherung aufbauen oder ob wir bei mindestens zwei der vier Dienste auf Anbieter umsteigen, die nicht von ApexCloud abhängig sind.

Hildegard Fuchs

Was empfehlen Sie?

Katharina Engel

Diversifizieren Sie. Das kostet zwar mehr, doch das Konzentrationsrisiko ist struktureller Natur – wir können es nicht durch eine SLA mit dem Anbieter beheben.

Hildegard Fuchs

Legen Sie den Haushaltsentwurf dem Risikoausschuss im nächsten Monat vor. Grundsätzlich genehmigt.

Wenn man das Gesamtbild darstellt – einschließlich der unangenehmen 12-Stunden-RTO –, erhält der Vorstand die Informationen, die er benötigt, um eine fundierte Entscheidung zu treffen. Das Ergebnis ist die Genehmigung des Budgets für eine strukturelle Lösung und nicht für eine vorübergehende Notlösung.

Gemäß Artikel 28 Absatz 1 der DORA-Verordnung ist das Leitungsorgan unmittelbar für die Aufsicht über das IKT-Drittparteienrisiko verantwortlich. Ein Vorstand, dem das gesamte Bild der Konzentrationsrisiken vorliegt, kann diese Aufsicht im Rahmen einer Aufsichtsprüfung nachweisen. Ein Vorstand, dem lediglich eine „abgeschwächte Sichtweise“ vermittelt wurde, kann dies nicht.

DORA Artikel 28 Absatz 1 – Der Vorstand ist rechenschaftspflichtig, nicht nur informiert

Gemäß Artikel 28 Absatz 1 liegt die Verantwortung für die Umsetzung und Überwachung des IKT-Drittparteienrisikos direkt beim Leitungsorgan. Das bedeutet, dass der Vorstand nicht nur passiv Risikoberichte entgegennimmt, sondern für die auf der Grundlage dieser Informationen getroffenen Entscheidungen verantwortlich ist. Ist das Verständnis des Vorstands hinsichtlich des Konzentrationsrisikos unvollständig, ist seine Aufsicht per definitionem unzureichend. Nur durch die Darstellung des Gesamtbildes, einschließlich von Erkenntnissen, die ein schlechtes Licht auf die bisherige Unternehmensführung werfen, kann dem Vorstand die Grundlage für eine echte Aufsicht gegeben werden.

Hildegard Fuchs
Donnerstag, 10:30 AM

Die gelenkte Erzählung – 0 Punkte

Hildegard Fuchs

Es gibt also bereits Maßnahmen zur Risikominderung. Welche sind das?

Katharina Engel

NexCore hat für Ausfälle von ApexCloud EU-West eine RTO von 4 Stunden, wobei innerhalb von 12 Stunden ein vollständiges Failover auf EU-Central erfolgt.

Hildegard Fuchs

Das bedeutet, dass vier unserer kritischen Dienste bis zu 12 Stunden lang beeinträchtigt sein könnten. Das ist keine Risikominderung – das ist das Risiko.

Der Vorstandvorsitzende ist scharfsinniger, als es die Darstellung einer „abgemilderten Sichtweise“ vermuten lässt. Er hat verstanden, dass die RTO-Zahlen keine mildernden Faktoren sind – sie stellen vielmehr das Risiko dar. Der Versuch, das Bild zu beschönigen, hat den gegenteiligen Effekt: Es wirkt wie eine Schönfärberei.

Der Vorstand wird ohnehin einen Haushaltsentwurf verlangen. Der Unterschied besteht darin, dass Katharina in der Runde etwas an Glaubwürdigkeit eingebüßt hat und der Sanierungsplan nun unter etwas genauerer Beobachtung ausgearbeitet wird.

DORA Article 28 — Boards Ask Follow-Up Questions

Ein Leitungsorgan, das seinen Verpflichtungen gemäß Artikel 28 Absatz 1 der DORA nachkommt, wird jede ihm vorgelegte Risikozusammenfassung einer Prüfung unterziehen. Die Beschreibung eines Konzentrationsrisikos als „gemindert“, wenn die Minderung lediglich in einem 12-stündigen Failover-Fenster besteht, wird keiner einzigen Folgefrage standhalten. Der Drang, die Darstellung in einer Vorstandspräsentation zu steuern, ist zwar verständlich, erweist sich jedoch als kontraproduktiv, wenn das Mandat des Vorstands die direkte Aufsicht über das von Ihnen beschriebene Risiko umfasst.

Lukas Bauer
Donnerstag, 10:30 AM

Gemeinsame Bühne, verwirrende Botschaft — -2 Punkte

Lukas Bauer

Sehen Sie, die ApexCloud-Konfiguration entspricht dem branchenüblichen Standard. Alle großen Unternehmen in Frankfurt nutzen im unteren Bereich der Infrastruktur dieselben drei oder vier Anbieter. Die RTO von NexCore von vier Stunden liegt sogar über dem Marktdurchschnitt.

Hildegard Fuchs

Lukas, in der DORA gibt es keine Ausnahme für den „Marktdurchschnitt“. Katharina – erfüllt das Konzentrationsrisiko die Anforderungen von Artikel 29 der DORA, wie dokumentiert?

Katharina Engel

Nein. Die Dokumentation war unvollständig. Dies wird derzeit korrigiert.

Hildegard Fuchs

Der CTO sagt mir also, dass alles in Ordnung ist, während der CRO mir mitteilt, dass die Dokumentation nicht den Vorschriften entsprach. Ich benötige eine einheitliche Stellungnahme der Geschäftsleitung.

Lukas’ Argument vom „Branchenstandard“ ist in einer Diskussion über die DORA-Governance genau die falsche Botschaft. Es verwechselt den normalen Betriebsablauf mit der Einhaltung gesetzlicher Vorschriften. Der Vorstand erkannte diesen Widerspruch sofort.

Eine Risikofunktion, die in einer Sitzung des Vorstands keine einheitliche Sichtweise mit dem CTO vertreten kann, weist ein Governance-Problem auf. Die Gespräche zur Behebung dieses Problems werden nun die Forderung nach einer besseren Abstimmung zwischen der Risiko- und der Technologieführung beinhalten.

DORA Article 28(1) — Management Body Oversight Requires Alignment

Das Leitungsorgan kann keine wirksame Aufsicht über das IKT-Drittparteienrisiko ausüben, wenn der CRO und der CTO widersprüchliche Einschätzungen desselben Risikos vorlegen. DORA überträgt dem Leitungsorgan die Verantwortung dafür, dass das IKT-Risikorahmenwerk ordnungsgemäß umgesetzt wird – was voraussetzt, dass die Risiko- und Technologiefunktionen auf der Grundlage eines gemeinsamen Verständnisses davon arbeiten, wie die regulatorischen Anforderungen lauten und ob das Unternehmen diese erfüllt. „Branchenstandard“ ist keine rechtlich wirksame Verteidigung; „wir haben es geprüft und es ist angesichts unseres Risikoappetits akzeptabel“ hingegen schon.

Scenario Complete

Two Weeks Later

Das berichtigte Register wurde eingereicht. 130 Anbieter wurden vollständig erfasst, wobei die Konzentration auf ApexCloud gemäß Artikel 29 dokumentiert wurde. Die Vertragsprüfung von Amira Osei, bei der die Lücke festgestellt wurde, diente als Grundlage für ein neues Protokoll zur Erfassung von Unteraufträgen – jeder kritische IKT-Vertrag erfordert nun vor der Unterzeichnung eine dreistufige Abhängigkeitsanalyse. Die Aufsichtsfrist ist abgelaufen. Die BaFin hat die berichtigte Einreichung zur Kenntnis genommen. Der Vorstand hat auf der Sitzung des Risikoausschusses im November ein Budget für die Diversifizierung der Infrastruktur genehmigt.

Six weeks later · Berlin

Die Gehaltsabrechnung in Lena Okonkwos Bäckerei erfolgt am 15. Ihre Mitarbeiter werden pünktlich bezahlt. Sie erfährt nie, dass eines der Diversifizierungsprojekte auf Seite 34 der Unterlagen für die Sitzung des Meridian-Vorstands wegen ihr dort aufgenommen wurde – oder dass der von ihrer Bank beauftragte Gehaltsabrechnungsdienst für KMU zu den vier Risikopositionen gezählt worden wäre, hätte Meridian die Konzentration nicht erfasst. Das Register ist ein Blatt Papier in der Mappe eines Prüfers. Es sind auch vierzehn Gehaltsschecks, die an einem Donnerstag eingetroffen sind.

Dein Ergebnis
DORA Art. 28 · ICT Register Audit

Das Register rot markieren

⚠ Deine Aufgabe

Klicken Sie auf jede Zeile, die bei der DORA-Prüfung gemäß Artikel 28 der BaFin-Richtlinie durchfallen würde. Sie erhalten zu jedem Klick eine Rückmeldung – sowohl bei richtigen als auch bei falschen Antworten.

Dies ist der Eintrag im IKT-Register für CloudVault Systems, den für Meridian entscheidenden Zahlungsdienstleister. Die vier Einträge darunter entsprechen nicht den Vorgaben.

0 von 4 gefundenen Problemen

Field CloudVault Systems
Provider nameCloudVault Systems Ltd.
Service typeCritical ICT Service — Payment Infrastructure
Contract start date2021-03-15
Termination notice period90 days
Substitutability assessmentN/A
Last audit dateNicht erfasst
SLA uptime commitment99.5% monthly
Concentration risk ratingLow
Data residencyEU-West (primary), EU-Central (DR)
Exit strategy last testedNever
Debrief

Register-Überprüfung

Legal References