Glossar

Zentrale Begriffe und Abkürzungen aus den Bereichen Operational Resilience, DORA, MaRisk, Third-Party-Risk-Management und regulatorische Compliance — kurz und praxisorientiert erklärt.

Auslagerungsmanagement

Systematische Steuerung und Überwachung aller an externe Dienstleister ausgelagerten Aktivitäten und Prozesse. Kernelement der MaRisk AT 9 und DORA. Umfasst Vertragsmanagement, Risikobewertung, Exit-Strategien und laufende Überwachung.

BAIT

Bankaufsichtliche Anforderungen an die IT. Konkretisiert die MaRisk für IT-Risiken und IT-Sicherheit. DORA löst BAIT schrittweise ab, die strukturellen Anforderungen bleiben jedoch relevant.

DORA

Digital Operational Resilience Act (Verordnung (EU) 2022/2554). EU-weiter Rechtsrahmen für die digitale operationale Resilienz von Finanzinstituten. Fünf Säulen: IKT-Risikomanagement, IKT-Vorfallmanagement, Resilienztests, IKT-Drittparteienrisiko, Informationsaustausch. Gültig seit 17. Januar 2025.

Double-Opt-in

Zweistufiges Bestätigungsverfahren für Newsletter-Anmeldungen. Nach der ersten Anmeldung wird eine Bestätigungs-E-Mail versendet. Erst nach ausdrücklicher Bestätigung wird die E-Mail-Adresse in den Verteiler aufgenommen. Datenschutzrechtlicher Standard nach DSGVO.

Exit-Strategie

Vorab definierter Plan zur geordneten Beendigung oder Migration einer ausgelagerten Dienstleistung. Umfasst Migrationsszenarien, Übergangsfristen, Kommunikationspläne und Verantwortlichkeiten. Pflichtbestandteil jedes Auslagerungsvertrags nach MaRisk AT 9 und DORA.

IKT-Drittparteienrisiko

Risiken, die aus der Nutzung von IKT-Dienstleistungen externer Anbieter entstehen. DORA Kapitel V regelt die Anforderungen an das Management von IKT-Drittparteienrisiken, einschließlich Vertragsanforderungen, Informationsregister und Überwachung kritischer Dienstleister.

Informationsregister

Zentrales Verzeichnis aller IKT-Dienstleistungen und -Drittdienstleister nach DORA Art. 28 Abs. 3. Enthält Vertragsinformationen, Risikobewertungen und Klassifizierungen. Grundlage für das Management von IKT-Drittparteienrisiken.

JAP

Jahresabschlussprüfung. Gesetzliche Prüfung des Jahresabschlusses von Finanzinstituten durch den Wirtschaftsprüfer. Umfasst auch die Prüfung des Auslagerungsmanagements und der regulatorischen Compliance nach MaRisk und DORA.

KRI

Key Risk Indicators. Messbare Kennzahlen zur Früherkennung von Risiken. Im Third-Party-Risk-Management dienen KRIs der kontinuierlichen Überwachung von Dienstleisterrisiken mit definierten Schwellwerten und Eskalationsregeln.

MaRisk AT 9

Mindestanforderungen an das Risikomanagement, Abschnitt Auslagerungsmanagement. Regelt die Anforderungen an Auslagerungen von Finanzinstituten in Deutschland, einschließlich Risikoanalyse, Vertragsgestaltung und laufender Überwachung.

Operational Resilience

Fähigkeit eines Finanzinstituts, kritische Funktionen auch bei schwerwiegenden Betriebsstörungen aufrechtzuerhalten. Umfasst IKT-Risikomanagement, Business Continuity, Incident Response und Third-Party Risk Management. Kerngedanke von DORA.

PDCA-Zyklus

Plan-Do-Check-Act. Vierstufiger Managementansatz zur kontinuierlichen Verbesserung. Im Auslagerungsmanagement: Planung der Maßnahmen, Umsetzung, Prüfung der Wirksamkeit, Anpassung. Grundlage für MaRisk- und DORA-konforme Prozesse.

Provider-Klassifizierung

Systematische Einteilung von Dienstleistern nach Risikokriterien (kritisch/nicht kritisch, DORA-relevant, Auslagerung/Sonstiger Fremdbezug). Basis für differenzierte Steuerungs- und Überwachungsintensität.

RfX

Request for X (RfP = Proposal, RfQ = Quotation, RfI = Information). Standardisierte Ausschreibungs- und Angebotsprozesse im IT-Sourcing. Grundlage für transparente Dienstleisterauswahl und Vertragsverhandlung.

Third-Party-Risk-Management (TPRM)

Ganzheitliches Management von Risiken, die aus Geschäftsbeziehungen mit externen Parteien entstehen. Umfasst Identifikation, Bewertung, Steuerung und Überwachung von Drittparteienrisiken. Synonym: IKT-Drittparteienrisikomanagement nach DORA.

§ 25b KWG

Gesetzliche Grundlage für Auslagerungen bei Kreditinstituten im Kreditwesengesetz. Verpflichtet Institute zur ordnungsgemäßen Ausgestaltung von Auslagerungen, insbesondere zur Vermeidung von zusätzlichen Risiken und zur Sicherstellung der Prüfungsrechte.

Dieses Glossar wird laufend ergänzt. Hinweise und Ergänzungsvorschläge sind willkommen.