Finanzinstitute müssen wesentliche Aktivitäten und Prozesse, die auf andere Unternehmen ausgelagert werden sollen, anzeigen. Zu melden ist bereits die Absicht einer solchen wesentlichen Auslagerung - üblicherweise nach Finalisierung der Risikoanlyse innerhalb derer die Wesentlichkeit festgestellt wurde - und nach Vertragsunterzeichnung dann der Vollzug. Die Meldung erfolgt elektronisch über das für das Institut zuständige Portal. LSIs melden ihre Auslagerungen über das MVP-Portal der Bafin. SIs nutzen das IMAS-Portal der Europäischen Zentralbank. Neben der Absicht und dem Vollzug, ist außerdem eine Änderungsanzeige zu erstellen, sofern sich wesentliche Änderung an der Auslagerung ergeben haben. Auch schwerwiegende Vorfälle im Zusammenhang mit der Auslagerung sind über das jeweilige Portal anzuzeigen.

Die Anzeigenverordnung regelt das Erfordernis des Anzeigens von wesentlichen Auslagerungen. Gemäß §24 (1) Nr. 19 KWG i.V.m. § 3 (5) AnzV müssen Finanzinstitute wesentliche Aktivitäten und Prozesse, die auf andere Unternehmen ausgelagert werden sollen, anzeigen. Die Anzeigenverordnung konkretisiert damit die im KWG und anderen Gesetzen (FISG, WpIG) enthaltenen Anzeigenpflichten.

Eine Auslagerung - auch Outsourcing genannt - liegt vor, wenn Finanzinstitute bank- oder finanzgeschäftliche Aufgaben, Funktionen oder Prozesse an externe Dienstleister übertragen.

Das Zentrale Auslagerungsmanagement oder der zentrale Auslagerungsbeauftragte ist eine Funktion innerhalb eines Finanzinstituts. Diese Funktion ist für die Einhaltung und Weitergabe der regulatorischen Anforderungen in Bezug auf ausgelagerte Aktivitäten und Prozesse verantwortlich. Sie ist der Geschäftsleistung direkt unterstellt. Die Hauptaufgaben des Auslagerungsmanagements sind unter anderem in Teilziffer 12 und 13 des AT 9 MaRisk beschrieben (Auszug): Unterstützung und Kontrolle der auslagernden Fachbereiche, Koordination der Risikoanalyse, Dokumentation aller Auslagerungen (Auslagerungsregister), Berichtspflichten.

Ein Auslagerungsregister ist ein zentrales Verzeichnis, welches von Finanzinstituten geführt werden muss. Es dokumentiert alle Auslagerungsvereinbarungen über eine Vielzahl verschiedener Attribute. Das Erforderniss eines Auslagerungsregisters ist sowohl in der MaRisk als auch in den EBA-Leitlinien zu Auslagerungen festgelegt. Davon zu unterscheiden ist das durch die EU-Verordnung 2022/2554 (DORA) verpflichtend zu führende Informationsregister.

Eine delegierte Verordnung ist ein Rechtsakt der Europäischen Union. Das Europäische Parlament und der Rat ermächtigen die Europäische Kommission, nicht wesentliche Elemente bestehende Gesetzgebungsakte zu ergänzen oder anzupassen. Delegierte Verordnungen sind rechtsverbindlich und treten in Kraft, wenn Parlament und Rat keine Einwände haben. Ein Beispiel für eine Delegierte Verordnung sind die RTS - die Regulatory Technical Standards - im Rahmen des Digital Operational Resiliance Act (DORA; EU 2022/2554) geschaffen wurden, um die Inhalte des DORA zu konkretisieren.

Abkürzung für Digital Operational Resiliance Act. Er ist eine Verordnung der Europäischen Union und auch als EU-Verordnung 2022/2554 bekannt. Er ist seit dem 17.01.2023 in Kraft. Ziel dieser Verordnung und der darin enthaltenen Vorgaben ist es, die europäischen Finanzmarkt zukünftig besser vor Cyberangriffen zu schützen. Die Vorgaben sollen innerhalb des Finanzmarkts einheitliche Risikomanagement-Standards schaffen, um es Instituten zu ermöglichen, angemessener, nachhaltiger und ohne große Beeinträchtigungen fürden Geschäftsbetrieb und die Datensicherheit auf Bedrohungen zu reagieren. Unternehmen, die der DORA unterworfen sind, haben bis zum 17.01.2025 Zeit, die zahlreichen Anforderungen umzusetzen.

Beschreibung eines zu vermeidenden Zustands: ein Finanzinstitut darf durch seine Auslagerungen von Aktivitäten und Prozessen nicht zu einer Briefkastenfirma oder "leeren Hülle" werden. Das Institut muss fähig und in der Lage sein, die Kontrolle über die ausgelagerten Aktivitäten und Prozesse zu behalten. Sichergestellt werden kann dies durch den Umstand, dass noch genügend Expertise und Ressourcen im Institut verbleiben ("retained organizatio"), um die ausgelagerten Aktivitäten und Prozesse angemessen zu überwachen und zu steuern.

Kurzform für Technical Implementation Standard oder Technischer Durchführungstandard. Im Rahmen des Digital Operational Resiliance Act (DORA) wurden im Rahmen von Durchführungsverordnungen auf EU-Ebene - nach Konsultationen eines Unterausschusses - einheitliche Umsetzungsvorgaben für die Anforderungen des DORA geschaffen. Dies erleichtert die Kontrolle und die Aufsichtsaktivitäten allgemein. Ein Beispiel ist das ITS zum Informationsregister. Die Einheitlichkeit wird hier über standardisierte Vorgaben erreicht, wie ein Finanzunternehmen die Daten rund um vertragliche Vereinbarungen mit IKT-Drittanbietern zu pflegen und zu aktualisieren hat.

Hierbei handelt es sich um die Abkürzung für eine separate Einheit des Joint Committee (JC) der ESAs, welche ein Sub-Committee (SC) für die Erarbeitung der RTS und ITS im Rahmen des Digital Operational Resilience Act (DOR) gegründet haben.

Outsourcing - oder Auslagerung - liegt vor, wenn Finanzinstitute bank- oder finanzgeschäftliche Aufgaben, Funktionen oder Prozesse an externe Dienstleister übertragen.

Der Begriff "Retained Organization" steht für die Praxis, dass ein Finanzinstitut bestimmte Kernfunktionen und -prozesse intern behält, auch wenn es andere Aktivitäten und Prozesse auslagert. Dies gewährleistet, dass das Institut nicht zu einer "leeren Hülle" wird und weiterhin die Kontroll- und Steuerungsfähigkeit behält.

Sie ist die Gesamtheit aller internen Richtlinien und Arbeitsanweisungen eines Unternehmens. Eine schriftlich fixierte Ordnung stellt sicher, dass alle Mitarbeiter Zugriff auf und Kenntnis über alle relevante Informationen zu Verfahren und Prozessen des Instituts haben. Üblicherweise werden in der SFO Strategien und Maßnahmen der Risikosteuerung erfasst; Verantwortlichkeiten festgelegt und Richtlinien zur Einhaltung gesetzlicher und regulatorischer Anforderung niedergelegt.

Das Three Lines of Defense-Modell ist ein Konzept für das Risikomanagement in Organisationen. Es teilt die Verantwortlichkeiten für das Risikomanagement in drei Bereiche auf: die 1st Line, die 2nd Line und die 3rd Line. Das 3LoD-Modell hilft Organisationen, Risiken zu erkennen, zu bewerten und zu steuern. Außerdem sorgt es für eine klare Trennung der Verantwortlichkeiten.

Kurzform für "Threat-led penetration testing" = bedrohungsgesteuerte Penetrationstests. Getestet wird die IT-Infrastruktur auf ihre Resilienz gegenüber Cyberangriffen oder menschlichen bzw. prozessualen Schwächen. Es werden echte Bedrohungen simuliert und vermutete Schwachstellen direkt angegriffen, um möglichst realitätsnah die Sicherheit eines Systems zu überprüfen. Die Ergebnisse eines TLPT dienen der besseren Vorbereitung auf tatsächliche Angriffe. Besondere Bedeutung erlangt diese Art des Testings durch den Digital Operational Resilience Act (DORA), der den IKT-Drittdienstleister eines Finanzinstituts zur uneingeschränkten Teilnahme verpflichtet.

Der Begriff bezieht sich auf Teilziffer 1 des AT 9 der MaRisk und beschreibt eine Liste an Ausnahmetatbeständen, die nach Vorgabe der Bafin nicht dem Auslagerungsprozess und den damit verbundenen Vorgaben unterworfen werden müssen und demnach nie eine Auslagerung sein können, es sei denn, einer dieser Tatbestände ist nach institutseigener Definition oder Geschäftsmodell als solche zu klassifizieren.

Sie ist Bestandteil des Three Lines of Defense-Models (3LoD-Modell). Die 1st Line ist die erste Verteidigungslinie eines Instituts im Hinblick auf Identifizierung und Bewertung von Risiken. Mitarbeitende der 1st Line sind im operativen Geschäft angesiedelt und in dieser Funktion verantwortlich für das Risikomanagement. Neben der 1st Line sind die weiteren Bestandteile des 3loD-Modells die 2nd Line of Defense und die 3rd Line of Defense.

Sie ist Bestandteil des Three Lines of Defense-Models (3LoD-Modell). Die 2nd Line ist die zweite Verteidigungslinie für das Risikomanagement in einem Institut. Sie hat eine Kontrollfunktion und überwacht innerhalb dieser die Aktiväten der ersten Verteidigungslinie (1st Line of Defense). Sie ist den Kontrolltätigkeiten der 3rd Line of Defense unterstellt.

Sie ist Bestandteil und höchste Stufe des Three Lines of Defense-Modells (3LoD-Modell). Die dritte Verteidigungslinie wird üblicherweise von der Internen Revision eingenommen. In ihrer Funktion vollzieht sie unabhängige Prüfungen und bewertet die Wirksamkeit und die Kontrollen des Riskomanagements. Die Interne Revision berichtet direkt an die Geschäftsführung oder den Aufsichtsrat.

Das 3LoD-Modell ist ein Konzept für das Risikomanagement in Organisationen. Es teilt die Verantwortlichkeiten für das Risikomanagement in drei Bereiche auf: die 1st Line, die 2nd Line und die 3rd Line. Das 3LoD-Modell hilft Organisationen, Risiken zu erkennen, zu bewerten und zu steuern. Außerdem sorgt es für eine klare Trennung der Verantwortlichkeiten.

Eine 44er-Prüfung bezeichnet eine Sonderprüfung gemäß §44 Kreditwesengesetz. Diese Prüfung dient der Überwachung und Kontrolle von Finanzdiensleistern und wird entweder anlassbezogen, ad hoc oder auf Antrag durchgeführt. Prüfinstanz ist die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin).

Glossar

Anzeigenpflicht

Anzeigenverordnung

Auslagerung

(Zentrales) Auslagerungsmanagement

Auslagerungsregister

Delegierte Verordnung

DORA

empty shell

ITS

JC SC DOR

Outsourcing

Retained Organization

schriftlich fixierte Ordnung

Three Lines of Defense

TLPT

Whitelist

1st Line of Defence (First Line)

2nd Line of Defence (Second Line)

3rd Line of Defence (Third Line)

3LoD-Modell

§44er Prüfung