Mithilfe von Drittparteiregistern für digitale Resilienz

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 10 Minuten Lesedauer

    • Verwenden Sie die Anwendung Drittanbieter-Informationsregister für die digitale Resilienz in Vendor Management-Arbeitsbereich, um Bewertungen, Niederlassungen, juristische Personen usw. zu erstellen, zu aktualisieren und nachzuverfolgen und Register der vertraglichen Vereinbarungen mit ICT -Drittpartei-Service Providern zu verwalten.

    Drittanbieter-Register für die digitale Resilienz

    Ab Release 19.1.x wird die Anwendung Drittanbieter-Informationsregister für die digitale Resilienz für die DORA -Compliance im Vendor Management-Arbeitsbereichunterstützt.

    Die Anwendung Drittanbieter-Informationsregister für die digitale Resilienz wird zum Herunterladen von Drittanbieter-Register für die digitale Resilienzverwendet. Die Anwendung enthält die Vorlage Microsoft Excel, die alle Registerkarten für die Berichterstellung enthält. Es hilft den Finanzentitäten, ein umfassendes Register ihrer vertraglichen Vereinbarungen mit ICT Drittanbieter-Service Provider auf Ebene der einzelnen Entität sowie auf subkonsolidierter und konsolidierter Ebene zu führen.

    Sie können Drittanbieter-Register für die digitale Resilienz verwenden, um die Datensätze für Bewertungen, Verzweigungen, Verträge, Funktionen, juristische Personen, Lieferketten, Drittparteien oder Drittparteiinteraktionen mithilfe der Upload- und Download-Funktion Microsoft Excel einzeln zu erstellen oder zu bearbeiten.

    Hinweis:
    Mit einer IRM Professional-Lizenz können Sie im Drittanbieter-Register für die digitale Resilienz auf Arbeitsbereich für organisationale Resilienzzugreifen. Mit der Lizenz TPRM können Benutzer mit der Lizenz Drittanbieter-Register für die digitale Resilienz auf [] im TPRM Arbeitsbereichzugreifen.
    Die Anwendung Drittanbieter-Register für die digitale Resilienz erfüllt mehrere Funktionen für die folgenden Entitäten:
    • Unterstützt Entitäten bei der Nachverfolgung ihrer ICT Drittparteirisiken.
    • Ermöglicht den zuständigen Behörden in Europäische Union, ICT und das Drittpartei-Risikomanagement innerhalb von Finanzunternehmen zu überwachen.
    • Hilft Europäische Aufsichtsbehörden (ESA) bei der Identifizierung Drittanbieter-Service Provider für kritische ICT von (CTPP) für die Aufsichtsebene EU.
    Weitere Informationen zur Konfiguration Drittanbieter-Register für die digitale Resilienz von und zu den möglichen Anwendungsfällen finden Sie unter Drittanbieter-Register für die digitale Resilienz konfigurieren und Anwendungsfälle zum Aktualisieren der Informationsregister.

    Digitale organisationale Resilienz

    Digital Organisationale Resilienz bezieht sich auf die Fähigkeit einer Finanzentität, ihre betriebliche Integrität und Zuverlässigkeit aufzubauen, sicherzustellen und zu überprüfen. Es stellt sicher, dass die Entität über alle ICT -bezogenen Fähigkeiten verfügt, die zur Absicherung ihrer Netzwerke und Informationssysteme erforderlich sind. Diese Systeme unterstützen die kontinuierliche Bereitstellung von Finanzdienstleistungen und behalten ihre Qualität auch bei Unterbrechungen bei. Die Kontinuität kann direkt oder indirekt mit den von den -Drittpartei-Service Providern ICT bereitgestellten Services erreicht werden.

    Digital Operational Resilience Act

    Digital Organisationale Resilienz stimmt mitDigital Operational Resilience Act (DORA) überein. Es handelt sich um eine Europäische Union (EU), die am 16. Januar 2023 in Kraft getreten ist und ab dem 17. Januar 2025 gilt. Es erhöht die Sicherheit ICT von Finanzunternehmen, die von den Europäische Aufsichtsbehörden (ESA)s beaufsichtigt werden, und schützt Europas Finanzsektor vor schwerwiegenden digitalen Störungen.

    Weitere Informationen zu DORA und der Anwendung Drittanbieter-Informationsregister für die digitale Resilienz finden Sie unter https://www.eba.europa.eu/activities/direct-supervision-and-oversight/digital-operational-resilience-act und Drittanbieter-Register für die digitale Resilienz erkunden.

    Erstellen von Datensätzen für Drittanbieter-Register für die digitale Resilienz

    Gutachter für Drittparteirisiken (TPR) [sn_vdr_risk_asmt.vendor_assessor] und TPR-Manager [sn_vdr_risk_asmt.vendor_manager] können diese Datensätze erstellen und aktualisieren, indem sie zu Drittanbieter-Register für die digitale Resilienz im Vendor Management-Arbeitsbereichnavigieren, um diese Datensätze zu erstellen und zu aktualisieren. Sie müssen diese Datensätze in einer bestimmten Reihenfolge erstellen oder aktualisieren. Weitere Informationen zu dieser Sequenz finden Sie unter Erstellen und Überprüfen der Datensätze.
    Hinweis:
    TPR-Gutachter und TPR-Manager können Datensätze zu Drittparteien, Drittpartei-Interaktionen und Verträgen löschen. TPR-Administratoren [sn_vdr_risk_asmt.vendor_risk_admin] können alle Datensatztypen löschen, indem sie zu jedem einzelnen Datensatz navigieren und Löschenauswählen.

    Das folgende Beispiel zeigt, wie Datensätze in Drittanbieter-Register für die digitale Resilienz in Vendor Management-Arbeitsbereichangezeigt werden.


    Beispiel für die Darstellung von Datensätzen in Drittanbieter-Register für die digitale Resilienz.
    Die folgenden Datensätze können manuell erstellt und aktualisiert werden.
    Juristische Personen

    Sie können einen Datensatz für eine juristische Person erstellen, indem Sie zu Drittanbieter-Register für die digitale Resilienz in Vendor Management-Arbeitsbereichnavigieren. Hier können Sie vorhandene juristische Personen anzeigen und ihre Informationen zur digitalen Resilienz verbessern, um die Vorschriften von DORA zu erfüllen. Nach der Installation der Anwendung Drittanbieter-Informationsregister für die digitale Resilienz wird die Registerkarte „Juristische Personen“ für vorhandene Unternehmen hinzugefügt, die noch nicht als Drittpartei definiert sind, sodass Sie deren Details hinzufügen können. Der Datensatz „Juristische Person“ enthält wichtige Felder für das regulatorische Reporting, z. B. Legal Entity Identifier (LEI), Name, Land der Registrierung und Entitätstyp. Diese Felder werden im System als Auswahllisten angeboten. Das System berücksichtigt die Entitätshierarchie, sodass für übergeordnete übergeordnete Elemente keine zusätzlichen Details erforderlich sind, während Tochterunternehmen ihre übergeordnete Entität angeben müssen. Das Datum der Registrierung für jede juristische Person wird ebenfalls vermerkt. Darüber hinaus werden spezifische Details wie die letzte Aktualisierung, das Integrationsdatum, der Entfernungsstatus, das Löschdatum, die verwendete Währung und der Gesamt-Asset-Wert für jede Entität dokumentiert, wie von den Aufsichtsbehörden für Entitäten gefordert, die für ausgelagerte technische Services mit externen Drittparteien zusammenarbeiten. Die Aufsichtsbehörden schreiben diese spezifischen Details für juristische Personen vor, die für ausgelagerte technische Services mit externen Drittparteien zusammenarbeiten.

    Hinweis:
    Vorhandene Drittparteien werden in der Liste „Juristische Personen“ nicht angezeigt. Unternehmensdatensätze können nur als Drittpartei oder juristische Person definiert werden. Für Unternehmen und juristische Personen ist die Option Lieferant auf Falsefestgelegt. (Das Kontrollkästchen ist nicht aktiviert.)

    Weitere Informationen finden Sie unter Erstellen Sie eine juristische Person, und verbessern Sie die Daten zur digitalen Resilienz, Formular „Neues Unternehmen erstellen“.und Formular zum Erstellen einer neuen juristischen Person.

    Verzweigungen

    Sie können einen Verzweigungsdatensatz erstellen, indem Sie zu Drittanbieter-Register für die digitale Resilienz in Vendor Management-Arbeitsbereichnavigieren. Auf diese Weise können Sie die Informationen zur digitalen Resilienz der Niederlassung verbessern, um die Compliance mit den Vorschriften DORA von sicherzustellen. Eine juristische Person kann mehrere Niederlassungen in verschiedenen Orten oder Ländern betreiben, und alle diese Niederlassungen können dokumentiert werden. Wenn eine neue Niederlassung eingerichtet wird, müssen deren Informationen für das regulatorische Reporting berücksichtigt werden. Einige allgemeine erfasste Details umfassen den Namen und die Beschreibung der Filiale, Details zum Besitzer, Geschäftsbereiche und Abteilungen (zu Berichterstellungszwecken), ob die Filiale eine Hauptverwaltung oder einen anderen Typ hat, die Filiale-ID und das Ursprungsland. Die Filialnummer wird automatisch generiert. Sobald alle Details vollständig sind, können die Informationen im Informationsregister erfasst werden.

    Weitere Informationen finden Sie unter Erstellen Sie eine Verzweigung, und verbessern Sie die Daten der digitalen Resilienz und Formular „Neue Verzweigung erstellen“..

    Funktion

    Sie können einen Funktionsdatensatz erstellen, indem Sie zu Drittanbieter-Register für die digitale Resilienz in Vendor Management-Arbeitsbereichnavigieren. Hier können Sie Details wie den Funktionsbezeichner, die Lizenzaktivität, den Funktionsnamen und die Bewertung der Kritikalität oder Wichtigkeit hinzufügen. Jede Funktion stellt einen bestimmten Service oder eine bestimmte Gruppe von Services dar, wie im Digital Operational Resilience Act (DORA) definiert. Der Funktionsdatensatz wird verwendet, um detaillierte Informationen zu jeder Funktion zu erfassen, einschließlich beschreibendem Text. Sobald der Funktionsdatensatz erstellt wurde, können Sie seine Informationen zur digitalen Resilienz verbessern, um die Compliance mit DORA den -Vorschriften sicherzustellen und die Nutzung des von der Drittpartei bereitgestellten ICT -Services effektiv zu dokumentieren.

    Weitere Informationen finden Sie unter Erstellen Sie eine Funktion, und verbessern Sie die Daten zur digitalen Resilienz und Formular „Neue Funktion erstellen“..

    Drittparteien

    Sie können auf vorhandene Datensätze von Drittparteien zugreifen und diese anzeigen, indem Sie die Liste Drittparteien in Drittanbieter-Register für die digitale Resilienz in Vendor Management-Arbeitsbereichauswählen. Nach der Installation von Drittanbieter-Register für die digitale Resilienzwird auf der Seite „Drittparteien“ die Registerkarte „Informationen zur digitalen Resilienz“ hinzugefügt, auf der Sie die Detailinformationen zur digitalen Resilienz einrichten können.

    Hier können Sie die ID der juristischen Person der Drittpartei anzeigen, die durch die Mehrwertsteuernummer (VAT) oder die Unternehmensregistrierungsnummer (CRN) erfasst werden kann. Sie können das Land der Registrierung und den Code angeben, den das System zum Generieren der ID verwendet. Darüber hinaus können Sie angeben, ob die Drittpartei ein Endunternehmen oder ein Tochterunternehmen ist, den Namen der Drittpartei ICT und den Typ des von ihr bereitgestellten Service (z. B. Software-as-a-Service) angeben und optional vermerken, ob eine Person für handelt Namen der Organisation. Sie können auch die Berichtswährung auswählen und den jährlichen Gesamtaufwand für diese Interaktion eingeben.

    Weitere Informationen finden Sie unter Erstellen Sie eine Drittpartei, und verbessern Sie die Daten zur digitalen Resilienz, Formular „Neues Unternehmen erstellen“.und Formular zum Erstellen eines neuen ICT-Drittpartei-Service Providers.

    Interaktionen

    Sie können auf vorhandene Drittpartei-Interaktionsdatensätze zugreifen und diese anzeigen, indem Sie die Liste Drittpartei-Interaktionen in Drittanbieter-Register für die digitale Resilienz in Vendor Management-Arbeitsbereichauswählen. Nach der Installation von Drittanbieter-Register für die digitale Resilienzwird auf der Seite „Drittpartei-Interaktionen“ die Registerkarte „Informationen zur digitalen Resilienz“ hinzugefügt, sodass Sie die Informationsdetails zur digitalen Resilienz einrichten können.

    Hier können Sie den Namen der Drittpartei, ihren Typ, ihre jährlichen Ausgaben, ihre Interaktionsstufe und andere relevante Informationen anzeigen. Sie können die Informationen zur digitalen Resilienz des Datensatzes verbessern, indem Sie ICT -Datensätze von Drittpartei-Service Providern erstellen. Fügen Sie ICT Details zum Drittpartei-Service Provider hinzu, z. B. den Namen des Service Providers, seinen Identifikationscode, den Typ der ICT -Services, die Währung usw. Dadurch werden die Informationen zur digitalen Resilienz der zugehörigen Drittpartei-Interaktion hinsichtlich der Compliance mit DORA der -Verordnung verbessert.

    Weitere Informationen finden Sie unter Erstellen Sie eine Drittpartei-Interaktion, und verbessern Sie die Daten zur digitalen Resilienz, Formular „Neue Drittpartei-Interaktion erstellen“.und Fügen Sie Drittpartei-Interaktionen Informationen zur digitalen Resilienz hinzu.

    Verträge
    Sie können einen Vertragsdatensatz erstellen, indem Sie zu Drittanbieter-Register für die digitale Resilienz in Vendor Management-Arbeitsbereichnavigieren. Hier können Sie Details wie den Lieferantennamen, Start- und Enddaten, Status, Substatus und andere relevante Informationen hinzufügen. Sobald der Vertragsdatensatz eingerichtet wurde, können Sie seine Informationen zur digitalen Resilienz verbessern, um die Compliance mit den DORA -Vorschriften sicherzustellen.

    Die Drittanbieter-Register für die digitale Resilienz enthalten Details darüber, wer in Ihrer Organisation extern ausgelagerte Services vom ICT Typ verwendet, welche Funktionen und Verzweigungen sie verwenden und wer die Drittpartei-Provider und ihre Interaktionen sind. Verträge dienen als Bindeglied zwischen diesen Aspekten und binden juristische Personen, Niederlassungen und Funktionen an Drittparteien und deren Interaktionen.

    Sie können auf diese Verträge über die Liste Verträge in Drittanbieter-Register für die digitale Resilienzzugreifen. Alternativ können Sie zum Datensatz einer bestimmten juristischen Person navigieren, die Registerkarte Juristische Personen öffnen und auf alle zugehörigen Vertragsinformationen zugreifen. Um Verträge für eine juristische Person anzuzeigen, wechseln Sie zum Datensatz der juristischen Person, öffnen Sie die Registerkarte „Juristische Personen“, und navigieren Sie zu den verschiedenen Registerkarten im Zusammenhang mit Verträgen. Wählen Sie den gewünschten Vertrag aus, und navigieren Sie zur Registerkarte Informationen zur digitalen Resilienz. Fahren Sie dann mit der Registerkarte Vertragsdetails fort, um die erforderlichen Informationen anzuzeigen. Das Formular gibt an, wer den Service ICT verwendet. Wenn sich die Entität, die den Vertrag unterzeichnet, von der Entität unterscheidet, die den Vertrag verwendet, wird dieses Detail zusammen mit dem Service Provider in den Datensatz aufgenommen. Zu den in diesen Datensätzen erfassten Details können Datenspeicher- und -verarbeitungsorte, Datensensitivität und Service Provider-Abhängigkeit, Vertrags- und Kündigungsdetails, jährliche Bewertungen und Vertragsreferenznummern gehören.

    Weitere Informationen finden Sie unter Erstellen Sie einen Vertrag, und verbessern Sie die Daten zur digitalen Resilienz, Formular „Neuen Vertrag erstellen“.und Formular „Neue vertragliche Vereinbarung erstellen“..

    Lieferketten
    Sie können einen Lieferkettendatensatz erstellen, indem Sie zu Drittanbieter-Register für die digitale Resilienz in Vendor Management-Arbeitsbereichnavigieren. Hier können Sie Details der Lieferkette erfassen, z. B. den Typ der ICT -Services, den Legal Entity Identifier (LEI) der Entität, die die ICT -Services bereitstellt, usw.

    Weitere Informationen finden Sie unter Erstellen Sie eine Lieferkette, und verbessern Sie die Daten zur digitalen Resilienz und Formular „Neue ICT-Service-Lieferkette erstellen“..

    Bewertungen

    Sie können eine Bewertung des Servicedatensatzes ICT erstellen, indem Sie zu Drittanbieter-Register für die digitale Resilienz in Vendor Management-Arbeitsbereichnavigieren. Hier können Sie Details wie die Referenznummer der vertraglichen Vereinbarung, den Identifikationscode und den Typ des Codes für den Drittpartei-Service Provider ICT hinzufügen. Sobald die Bewertung erstellt wurde, können Sie die darin enthaltenen Informationen zur digitalen Resilienz verbessern, um die Compliance mit der DORA -Verordnung sicherzustellen. Es ist erforderlich, Ihre Verträge und Drittparteien jährlich zu überprüfen.

    Fügen Sie Details wie die Referenznummer der vertraglichen Vereinbarung, den Identifikationscode und den Typ des Codes für den Drittpartei-Service Provider ICT hinzu. Anschließend können Sie die Informationen zur digitalen Resilienz verbessern, um die Compliance mit der Verordnung DORA zu gewährleisten.

    Weitere Informationen finden Sie unter Erstellen Sie eine Bewertung, und verbessern Sie die Daten zur digitalen Resilienz und Erstellt eine neue Bewertung für den ICT-Service.

    Weitere Informationen zu den Rollen im Zusammenhang mit Drittanbieter-Register für die digitale Resilienzfinden Sie unter Rollen in Risikomanagement von Drittparteien.

    Datensätze werden hochgeladen und heruntergeladen

    TPR-Gutachter und TPR-Manager können nicht nur einzelne Datensätze erstellen, sondern auch den Download von Datensätzen mithilfe der Excel-Funktion zum Herunterladen/Hochladen von Anforderungen anfordern. Weitere Informationen finden Sie unter Erstellen Sie eine Microsoft Excel -Download-Anforderungund Neues Anforderungsformular zum Herunterladen/Hochladen von Excel erstellen.
    Hinweis:
    Sie benötigen die TPR-Administratorrolle, um Excel-Download-/Upload-Anforderungen zu bearbeiten und zu löschen.

    TPR-Administratoren können Datensätze mithilfe der Excel-Funktion zum Herunterladen/Hochladen von Anforderungen in einem Massenvorgang erstellen und aktualisieren. Weitere Informationen finden Sie unter Erstellen Sie Datensätze in einem Massenvorgang und Massenaktualisierung vorhandener Datensätze.

    Das folgende Beispiel zeigt, wo Sie Excel-Download-/Upload-Anforderungen anzeigen und erstellen können.


    Beispiel, das zeigt, wo Sie Excel-Download-/Upload-Anforderungen anzeigen und erstellen können.
    Hinweis:
    Wenn Sie die Rolle Prüfer für Drittparteibewertungen [sn_vdr_risk_asmt.vendor_assessment_reviewer] innehaben, können Sie eine Liste aller Datensatztypen exportieren, indem Sie zur Liste der gewünschten Datensätze in Drittanbieter-Register für die digitale Resilienz in Vendor Management-Arbeitsbereichnavigieren.