Der Digital Operational Resilience Act (DORA) fordert von der europäischen Finanzbranche umfassende Maßnahmen für mehr Sicherheit von IKT-Systemen. Das betrifft auch Cloud-Dienste, die eine zentrale Rolle in der IT-Infrastruktur von Finanzunternehmen spielen. Im EU-Projekt „EMERALD“ arbeitet ein Forschungsteam an einem Anwendungsfall zur Entwicklung eines digitalen Zertifizierungsprozesses von Cloud-Diensten im Kontext von DORA.
Ziel des Forschungsprojektes ist es, Sicherheitsstandards und Compliance-Anforderungen der Cloud-Dienste kontinuierlich und automatisiert zu überwachen und zu validieren. Fabasoft unterstützt EMERALD dabei als Technologie- und Use-Case-Partner.
„Die Entwicklung von Softwarekomponenten soll eine effiziente Arbeitsweise mit maximaler Transparenz und Nachvollziehbarkeit sowie insbesondere die Risikobewertung und -abschätzung von auditrelevanten Inhalten sicherstellen“, so Björn Fanta, Head of Research bei Fabasoft.
Das Team des DORA-Piloten prüft, wie die Forschungsergebnisse von EMERALD im Finanzsektor angewendet werden können. Dafür nutzt das Team den Anwendungsfall der CaixaBank, die ebenfalls Teil des EMERALD-Konsortiums ist. Die Bank definiert dabei Vorgehensweisen und Anforderungen, die bei der Informationseinholung, Bewertung und Überwachung von Cloud-Dienstleistern einzuhalten sind.
Dazu zählen Due-Diligence-Prüfungen, Risikobewertungen und die Erstellung von Exit-Strategien. Zur technischen Umsetzung jener Vorgaben verwendet das Projektteam die auf die EU-Verordnung spezialisierte Software Fabasoft DORA. „Die standardisierte Solution für DORA-konformes Auslagerungsmanagement verwaltet und dokumentiert IKT-Dienstleister revisionssicher, bis hin zur automatischen Berechnung des Informationsregisters“, sagt Robin Schmeisser, Geschäftsführer der Fabasoft Contracts GmbH.
Für eine sichere Zusammenarbeit mit Externen können Finanzunternehmen mit der Software alle benötigten Informationen von ihren IKT-Dienstleistern in einer geschützten, digitalen Umgebung prozessgesteuert und sicher einholen. „Zusätzlich reduziert Fabasoft DORA mithilfe von Vorlagen für Due-Diligence-Fragebögen und Risikobewertungen den manuellen Aufwand sowie das Fehlerrisiko.
Einmal digital hinterlegt, stehen die Daten jederzeit revisionssicher für Auswertungen zur Verfügung“, so Schmeisser. Über digitale Workflows erfolgt die Einbindung zur Bewertung der Angaben durch die jeweiligen Stakeholder automatisiert. Dabei können die Prozessverantwortlichen den Fortschritt jederzeit verfolgen. Auch beim laufenden Monitoring unterstützt die Software mittels automatisiert wiederkehrender Prüfungen. Elektronische Workflowunterschriften dokumentieren zudem die durchgeführten Kontrollen.
Neben Fabasoft und der CaixaBank besteht das Konsortium von EMERALD aus neun weiteren akademischen und industriellen Partnern. Die Förderung des EU-Forschungsprojekts läuft bis Ende Oktober 2026.