Glossar
Zentrale Begriffe und Abkürzungen aus den Bereichen Operational Resilience, DORA, MaRisk, Third-Party-Risk-Management und regulatorische Compliance — kurz und praxisorientiert erklärt.
Auslagerungsmanagement
Systematische Steuerung und Überwachung aller an externe Dienstleister ausgelagerten Aktivitäten und Prozesse. Kernelement der MaRisk AT 9 und DORA. Umfasst Vertragsmanagement, Risikobewertung, Exit-Strategien und laufende Überwachung.
BAIT
Bankaufsichtliche Anforderungen an die IT. Konkretisiert die MaRisk für IT-Risiken und IT-Sicherheit. DORA löst BAIT schrittweise ab, die strukturellen Anforderungen bleiben jedoch relevant.
DORA
Digital Operational Resilience Act (Verordnung (EU) 2022/2554). EU-weiter Rechtsrahmen für die digitale operationale Resilienz von Finanzinstituten. Fünf Säulen: IKT-Risikomanagement, IKT-Vorfallmanagement, Resilienztests, IKT-Drittparteienrisiko, Informationsaustausch. Gültig seit 17. Januar 2025.
Double-Opt-in
Zweistufiges Bestätigungsverfahren für Newsletter-Anmeldungen. Nach der ersten Anmeldung wird eine Bestätigungs-E-Mail versendet. Erst nach ausdrücklicher Bestätigung wird die E-Mail-Adresse in den Verteiler aufgenommen. Datenschutzrechtlicher Standard nach DSGVO.
Exit-Strategie
Vorab definierter Plan zur geordneten Beendigung oder Migration einer ausgelagerten Dienstleistung. Umfasst Migrationsszenarien, Übergangsfristen, Kommunikationspläne und Verantwortlichkeiten. Pflichtbestandteil jedes Auslagerungsvertrags nach MaRisk AT 9 und DORA.
IKT-Drittparteienrisiko
Risiken, die aus der Nutzung von IKT-Dienstleistungen externer Anbieter entstehen. DORA Kapitel V regelt die Anforderungen an das Management von IKT-Drittparteienrisiken, einschließlich Vertragsanforderungen, Informationsregister und Überwachung kritischer Dienstleister.
Informationsregister
Zentrales Verzeichnis aller IKT-Dienstleistungen und -Drittdienstleister nach DORA Art. 28 Abs. 3. Enthält Vertragsinformationen, Risikobewertungen und Klassifizierungen. Grundlage für das Management von IKT-Drittparteienrisiken.
JAP
Jahresabschlussprüfung. Gesetzliche Prüfung des Jahresabschlusses von Finanzinstituten durch den Wirtschaftsprüfer. Umfasst auch die Prüfung des Auslagerungsmanagements und der regulatorischen Compliance nach MaRisk und DORA.
KRI
Key Risk Indicators. Messbare Kennzahlen zur Früherkennung von Risiken. Im Third-Party-Risk-Management dienen KRIs der kontinuierlichen Überwachung von Dienstleisterrisiken mit definierten Schwellwerten und Eskalationsregeln.
MaRisk AT 9
Mindestanforderungen an das Risikomanagement, Abschnitt Auslagerungsmanagement. Regelt die Anforderungen an Auslagerungen von Finanzinstituten in Deutschland, einschließlich Risikoanalyse, Vertragsgestaltung und laufender Überwachung.
Operational Resilience
Fähigkeit eines Finanzinstituts, kritische Funktionen auch bei schwerwiegenden Betriebsstörungen aufrechtzuerhalten. Umfasst IKT-Risikomanagement, Business Continuity, Incident Response und Third-Party Risk Management. Kerngedanke von DORA.
PDCA-Zyklus
Plan-Do-Check-Act. Vierstufiger Managementansatz zur kontinuierlichen Verbesserung. Im Auslagerungsmanagement: Planung der Maßnahmen, Umsetzung, Prüfung der Wirksamkeit, Anpassung. Grundlage für MaRisk- und DORA-konforme Prozesse.
Provider-Klassifizierung
Systematische Einteilung von Dienstleistern nach Risikokriterien (kritisch/nicht kritisch, DORA-relevant, Auslagerung/Sonstiger Fremdbezug). Basis für differenzierte Steuerungs- und Überwachungsintensität.
RfX
Request for X (RfP = Proposal, RfQ = Quotation, RfI = Information). Standardisierte Ausschreibungs- und Angebotsprozesse im IT-Sourcing. Grundlage für transparente Dienstleisterauswahl und Vertragsverhandlung.
Third-Party-Risk-Management (TPRM)
Ganzheitliches Management von Risiken, die aus Geschäftsbeziehungen mit externen Parteien entstehen. Umfasst Identifikation, Bewertung, Steuerung und Überwachung von Drittparteienrisiken. Synonym: IKT-Drittparteienrisikomanagement nach DORA.
§ 25b KWG
Gesetzliche Grundlage für Auslagerungen bei Kreditinstituten im Kreditwesengesetz. Verpflichtet Institute zur ordnungsgemäßen Ausgestaltung von Auslagerungen, insbesondere zur Vermeidung von zusätzlichen Risiken und zur Sicherstellung der Prüfungsrechte.
Dieses Glossar wird laufend ergänzt. Hinweise und Ergänzungsvorschläge sind willkommen.
