Image

SUCESS STORY

Postbank – eine Niederlassung der Deutsche Bank AG
Friedrich-Ebert-Allee 114 – 126
53113 Bonn

www.postbank.de

BILANZ

MITARBEITER ANZAHL

0
0

Projektziel

Mit Inkrafttreten der Digital Operational Resilience Act (DORA) zum 17. Mai 2025 stehen regulierte Finanzunternehmen vor der Herausforderung, ihre operationale Resilienz gegenüber ICT-Risiken nachhaltig zu stärken. Ziel des Projekts war die frühzeitige Umsetzung der DORA-Anforderungen in den regulierten Unternehmenseinheiten der Swiss Life Asset Managers Deutschland GmbH, um eine Design Compliance zum gesetzlichen Stichtag sicherzustellen.

Zunächst wurden bestehende Richtlinien, Prozesse und organisatorische Einheiten innerhalb der Organisationseinheit „Digital Services and Solutions, Governance and IT-Security“ identifiziert und bewertet. Darauf aufbauend erfolgte die systematische Erweiterung und Neugestaltung der relevanten Regelwerke auf Basis der bereits vorhandenen schriftlich fixierten Ordnung (sfO), die sich an den KAIT orientiert.

Lösungen

  • Durchführung einer Bestandsaufnahme und Bewertung bestehender Prozesse, Richtlinien und Verantwortlichkeiten
  • Entwicklung eines risikobasierten Analyseverfahrens zur Identifikation und Steuerung ICT-bezogener Auslagerungen und Drittparteibeziehungen
  • Nachträgliche Prüfung und Integration historisch gewachsener Sachverhalte („Altfälle“) in den neuen Steuerungsprozess
  • Aufbau eines zentralen Informationsmanagements zur Abbildung der DORA-relevanten Anforderungen (ICT-Risikomanagement, Vorfallmanagement, Drittparteiensteuerung, Resilienztests)
  • Laufende Weiterentwicklung und organisatorische Einbindung der Prozesse in Abstimmung mit den betroffenen Linieneinheiten

Herausforderung

Eine der größten Herausforderungen war die Identifikation und Bewertung bestehender Auslagerungen und Dienstleisterbeziehungen, die bislang nicht unter dem Fokus der operationellen Resilienz betrachtet wurden.

Insbesondere die fehlende strukturierte Übersicht über diese Altfälle sowie die teilweise dezentrale oder analoge Dokumentenlage (z. B. Vertragsunterlagen, Leistungsbeschreibungen) erschwerte eine vollständige Bewertung nach DORA-Kriterien.

Darüber hinaus mussten Prozesse geschaffen werden, die eine frühzeitige Erkennung neuer auslagerungsrelevanter Sachverhalte ermöglichen, um eine regelkonforme Risikobewertung vor Produktivsetzung sicherzustellen.

Zukünftig sollen alle neuen Drittparteienverhältnisse und ICT-Auslagerungen einem systematischen Prüfprozess unterzogen werden.

Nutzen

Im Rahmen des Projekts konnte eine vollständige Identifikation und Bewertung sämtlicher relevanter Altfälle mit Bezug zu ICT-bezogenen Auslagerungen und Drittparteien erreicht werden. Ergänzend hierzu wurde ein systematisches, risikobasiertes Analyseverfahren eingeführt, das die strukturierte Steuerung sämtlicher neuer Sachverhalte ermöglicht. Zur Sicherstellung der regulatorischen Anforderungen wurde ein zentrales, revisionssicheres Steuerungsmodell etabliert, das nicht nur die Einhaltung der DORA-Verordnung gewährleistet, sondern auch eine kontinuierliche Anpassung an künftige regulatorische Änderungen – etwa durch ESMA, BaFin oder EZB – erlaubt. Die angestrebte Vorgehensweise wurde zudem durch eine positive Bewertung interner Kontrollinstanzen bestätigt und in enger Abstimmung mit den relevanten Stakeholdern vorbereitet.

Unternehmensdarstellung

Die Swiss Life Asset Managers Deutschland GmbH ist Teil der Swiss Life-Gruppe, einem führenden europäischen Vermögensverwalter und institutionellen Immobilieninvestor. Die Einheit „Digital Services and Solutions“ verantwortet die strategische und operative Ausgestaltung digitaler Prozesse, Systeme und Governance-Strukturen.

Ein besonderer Schwerpunkt liegt auf der Einhaltung regulatorischer Anforderungen sowie der kontinuierlichen Weiterentwicklung der ICT-Governance- und Security-Standards. Durch eine enge Verzahnung mit den Konzernvorgaben und länderspezifischen Regulatorien sichert die Organisationseinheit die digitale Resilienz der deutschen Unternehmenseinheiten.

Vorgehensweise und Leistung

Zunächst wurde auf Basis vorhandener Beschaffungs- und Vertragsdatenbanken eine umfassende Übersicht über bestehende ICT-Dienstleisterbeziehungen und Auslagerungen erstellt. Interne Projekte wurden bewusst aus der Betrachtung ausgenommen.

Die aggregierte Übersicht wurde mittels definierter Filterkriterien auf prüfungsrelevante Sachverhalte reduziert. Die Auswahlkriterien wurden mit den relevanten Stakeholdern (z. B. interner Revision, Wirtschaftsprüfern, BaFin) abgestimmt.

Parallel hierzu wurde ein standardisierter Risikoanalyseprozess für ICT-bezogene Aus- und Weiterverlagerungen entwickelt. Dieser bildet die Grundlage für die Bewertung sämtlicher Alt- und Neufälle und ermöglicht eine strukturierte, risikoorientierte Steuerung gemäß den Anforderungen der DORA-Verordnung.

Die Prozesse wurden mit den betroffenen Linienorganisationen abgestimmt, organisatorisch verankert und in die bestehende sfO integriert. Durch einen mehrstufigen Verprobungsprozess wurde die Praxistauglichkeit sichergestellt.

Zur frühzeitigen Erkennung neuer relevanter Sachverhalte wurde ein automatisierter systemischer Prüfschritt etabliert.

Ausgangssituation

Zum Projektbeginn lagen bereits Regelwerke auf Basis der KAIT in Form einer schriftlich fixierten Ordnung (sfO) vor. Diese Regelungen erfüllten jedoch nicht in vollem Umfang die spezifischen Anforderungen der DORA-Verordnung, insbesondere hinsichtlich:

  • Risikobewertung von Drittparteien und Auslagerungen
  • Management von ICT-bezogenen Betriebsstörungen
  • Nachweisbarkeit operativer Resilienzmaßnahmen

Eine strukturierte Übersicht bestehender Auslagerungen war nicht vorhanden. Bestehende Dokumente lagen teilweise nur in nicht digitalisierter Form vor.

Der Handlungsdruck resultierte aus der Notwendigkeit, die Prozesse zur Auslagerungssteuerung grundlegend neu zu modellieren und den regulatorischen Vorgaben anzupassen. Besonders herausfordernd war die Bewertung vergangener Sachverhalte unter den Maßgaben der neuen Regulierung.

Nutzen für den Auftraggeber

  • Vollständige Transparenz über bestehende Drittparteienverhältnisse und ICT-Auslagerungen
  • Nachträgliche Bewertung und Genehmigung aller Altfälle im Rahmen eines regulatorisch abgestimmten Prozesses
  • Etablierung eines standardisierten Risikoanalyseverfahrens, das sämtliche Neufälle vor Produktivsetzung abdeckt
  • Revisions- und aufsichtsrechtlich tragfähige Umsetzung aller DORA-relevanten Anforderungen
  • Flexibles Steuerungsmodell zur dynamischen Anpassung an regulatorische Weiterentwicklungen

Beachtete Einträge

aus meinem Blog

ZUM BLOG
Datensicherheit und ByoD
Datensicherheit und ByoD
In meinen folgenden Postings möchte ich ByoD und seinen Einfluss auf IT Sicherheit / Compliance näher beleuchten. Dazu zunächst einmal die Einwirkung von ByoD auf Datensicherheit: In Bezug auf die rechtliche Datensicherheit ist zu bedenken, dass die Sicherung von Daten vor unbefugtem Zugriff, der Zugriffsschutz für Unternehmensdaten, das Handling v...
6
61257 Aufrufe
0 Kommentare
Weiterlesen...
Mittelstand: Vor- und Nachteile von Bring your own Device
Mittelstand: Vor- und Nachteile von Bring your own Device
Nicht nur in Großunternehmen wird Bring your own Device immer beliebter, ebenso auch in kleineren und mittelständischen. In diesen stehen an erster Stelle die Reduzierung von Kosten, so auch die für mobile Endgeräte. Auch wünschen sich einige Mitarbeiter, dass sie ihre privaten Endgeräte am Arbeitsplatz einsetzen dürfen. Dennoch gibt es nicht nur V...
5
58969 Aufrufe
0 Kommentare
Weiterlesen...
Digitalstudie: mehr Bürger über Smartphones online
Digitalstudie: mehr Bürger über Smartphones online
Die Postbank-Digitalstudie 2020 zeigt: Die Deutschen verbringen jede Woche im Schnitt rund 56 Stunden im Internet, 16 davon über ihre Smartphones – Tendenz steigend. Knapp vier Fünftel (79 Prozent) der Bundesbürger gehen mit ihrem Smartphone ins Netz, und zwar an durchschnittlich 16 Stunden pro Woche. Der Trend, das Internet mit mobilen Geräten zu ...
4
30516 Aufrufe
0 Kommentare
Weiterlesen...
Image
Wir benutzen Cookies

Wir nutzen Cookies auf unserer Website. Einige von ihnen sind essenziell für den Betrieb der Seite, während andere uns helfen, diese Website und die Nutzererfahrung zu verbessern. Sie können selbst entscheiden, ob Sie die Cookies zulassen möchten. Bitte beachten Sie, dass bei einer Ablehnung womöglich nicht mehr alle Funktionalitäten der Seite zur Verfügung stehen.

Akzeptieren Ablehnen
Datenschutz | Impressum