MOCHIKABU
Strategie

Veröffentlicht am 2024-10-05 • 8 Min. Lesezeit

Transitioning zu Managed Services unter SLA & DORA

Finanzinstitute delegieren ihre IT-Operations zunehmend an Managed Service Provider (MSPs). Unter dem Digital Operational Resilience Act (DORA) bleiben Banken jedoch voll verantwortlich für ihre IT-Sicherheit. Dies erfordert eine strikte Governance externer Dienstleister.

Verknüpfung von Kunden- und Managed-Operations-Umgebungen

Ein robustes Betriebsmodell erfordert klare Grenzen zwischen internen Systemen und dem Support-Bereich des Dienstleisters. Ereignisse müssen über API-Schnittstellen direkt in das ITIL-Ticketing des MSPs übertragen werden.

Kundenumgebung Managed Operations Space Incident-Erkennung API-Sync ITIL-Ticketing SLA Operations Desk Fortlaufendes DORA Audit-Logging

Wesentliche Anforderungen unter DORA

  • Dienstleister-Überwachung: Kontinuierliche Audit-Logs zur Überprüfung der SLA-Einhaltung durch den MSP.
  • Notfalltests (Business Continuity): Durchführung gemeinsamer Desaster-Recovery-Übungen zur Überprüfung von Ausfallsicherungen.
  • Exit-Strategien: Vorbereitung detaillierter Pläne zur Rückführung der Services oder zum Wechsel des Anbieters.

SLA-Eskalationsstufen

Um die Meldefristen gemäß DORA Artikel 14 einzuhalten, müssen Eskalationsketten automatisiert werden. Vorfälle werden in feste Zeitfenster eingeteilt, wodurch kritische Probleme innerhalb von 60 Minuten an Kern-Entwickler gemeldet werden.

Incident SLA-Eskalationsstufen L1 Support-Desk Triage < 15 Min. L2 SRE-Team Entstörung < 30 Min. L3 Core-Plattform Bugfix < 60 Min. Automatischer Nachweis-Log für DORA Artikel 14 aufgezeichnet

Rechtskonforme Sourcing-Verträge

Dienstleistungsvereinbarungen dürfen keine reinen Kapazitätsverträge sein. Sie müssen KPIs zur Betriebsstabilität, automatisierte Datenbereitstellung und klare Pönalen bei SLA-Verletzungen enthalten, um die Einhaltung regulatorischer Pflichten abzusichern.

← Zurück zum Blog