Skip to main content
Skip table of contents

Art der Dienstleistung

Art der Dienstleistung

Bezeichnung

Bezeichnung englisch

Definition

Beispiele / Aktuelle Interpretation GFG

S01 IKT-Projektmanagement

ICT project management

Erbringung von Dienstleistungen im Zusammenhang mit dem Projektmanagement

Dauerhafte Unterstützung von Projekten mit Schwerpunkt auf Implementierung/Einführung/ Änderungen von IKT-Assets oder -Prozessen über externes Projektmanagement unter Zuhilfenahme digitaler Dienste (Projektmanagementsoftware).

Beispiele:

  • Dienstleister übernimmt das IKTProjektmanagement für einen oder mehrere Fachbereiche bzw. Themen unter Zuhilfenahme einer PMO-Plattform.

  • Bereitstellung einer PMO-Plattform für IKT-Projekte.

S02 IKT-Entwicklung

ICT Development

Erbringung von Dienstleistungen im Zusammenhang mit der Unternehmensanalyse, Software-Design und -Entwicklung, Tests

Dauerhafte Inanspruchnahme von Entwicklungsleistungen (mit Wartungsvertrag) von Individualsoftware für die Bank und damit im Zusammenhang stehenden Unterstützungsleistungen, Konzeption und Test (inkl. Personalgestellung).

Beispiele:

  • IDV-Erstellung

  • No/ Low-Code-Programmierung,

  • RPA-Programmierung

  • Customizing von Standardsoftware

  • Sonstige Individualsoftware

S03 IKT-Helpdesk und Unterstützung auf der ersten Ebene

ICT help desk and first level support

Erbringung von Dienstleistungen im Zusammenhang mit Helpdesk-Support und First-Level-Support bei IKT-Vorfällen

Dienstleistung, welche IKT-SystemBenutzer der Bank unterstützen - technischer Support für IT-Infrastruktur und -systeme inkl. Störungsmanagement sowie erste Anlaufstelle für Benutzer, die Support/technische Unterstützung für IKT-Systeme benötigen inkl. Ticketerstellung

Beispiele:

  • User-Helpdesk

  • First-Level Support

S04 IKT-Sicherheitsmanagementdienste

ICT security management services

Erbringung von Dienstleistungen im Zusammenhang mit IKTSicherheit (Schutz, Erkennung, Reaktion und Wiederherstellung), einschließlich Umgang mit Sicherheitsvorfällen und Forensik.

Dienstleistungen, bei denen Daten, die regelmäßig in bankfachlichen Geschäftsprozessen verwendet werden, extern über digitale Schnittstellen zugeliefert werden Abgrenzung: Nicht umfasst ist Zulieferung von allgemeinen Informationen/ nicht für die operative Verarbeitung gedachte Informationen (redaktionelle Artikel, Rundschreiben, Gremieninformationen, etc.).

Beispiele:

  • IKT-Vorfallmanagement

  • CERT-Dienstleistungen

  • Auswertungen in Bezug auf Sicherheitsinformationen und Ereignismanagement (SIEM)

  • Security Operation Center (SOC)

  • Penetrationstests

  • Netzwerk- und Perimetersicherheit

  • Sicherheitspatch-Management

  • Bedrohungs- und Schwachstellenerkennung (Scans)

  • Datenverschlüsselung und -schutz

  • Auswertung von Logfiles (z. B. Forensik)

  • Firewall- und Virenschutz-Management (Konfiguration und Überwachung)

  • Sicherheitsüberprüfung von Anwendungen und Systemen

  • IKT-Notfallbearbeitung / Wiederherstellung inkl. IKT-Notfalltests

  • Alarmverfolgung / Aufschaltung auf Videoüberwachung durch ein Sicherheitsunternehmen

Cyberversicherungen werden nicht als IKTDienstleistung betrachtet.

S05 Bereitstellung von Daten

Provision of data

Abonnement der Dienste von Datenanbietern (digitaler Datendienst)

Abonnement für die Dienste von Datenanbietern (digitaler Datendienst).

Beispiele:

  • Risiko-Kennzahlen

  • Ratingdaten, Bonitätsdaten, SCHUFA

  • Finanzmarktdaten, Kursdaten

  • Immobilienmarktdaten

  • ESG-Daten

  • Marktforschungsdaten

  • Compliancedaten (Sanktionslisten, Geldwäsche-Daten)

S06 Datenanalyse

Data analysis

Erbringung von Dienstleistungen im Zusammenhang mit der Unterstützung der Datenanalyse (digitaler Datendienst)

Auf Dauer angelegte Dienstleistungen, bei denen Daten der Bank mit bankfachlichem Bezug über digitale Schnittstellen zur Analyse an den Dienstleister geleitet werden und die Bank digital eine Auswertung zurückerhält.

Beispiele:

  • Datenbereinigung und -aufbereitung für Datenqualität

  • Smart Data Analysen / Analysen über KIVerfahren

  • Datenanalysen für Vertrieb / Kampagnenmanagement

  • Datenanalysen für Banksteuerung

  • Fraud Detection Verfahren

  • Regelmäßiges Benchmarking mit Zugrundelegung von Bankdaten

S07 IKT, Einrichtungen und Hosting-Dienste (außer Cloud-Dienste)

ICT, facilities and hosting services

Bereitstellung von IKT-Infrastruktur, Betriebsmitteln und Hosting-Diensten einschl. Versorgungsleistungen (Energie-, Wärme-management...), Telekommunikationszugang und physische Sicherheit (ohne Cloud-Dienste), Zahlungsabwicklungstätigkeiten oder Bereitstellung von Zahlungs-infrastrukturen

Basisdienste als Grundlage für IKT-Dienste

Ausgenommen hiervon sind technische Infrastrukturen, die die Bank selbst bereitstellt bzw. einzelfallbezogen beauftragt.

Die in der Definition des ITS Anhang III aufgeführten Zahlungsabwicklungstätigkeiten und Zahlungsinfrastrukturen sind nur zu berücksichtigen, wenn diese nicht von regulierten Finanzdienstleistern im Zusammenhang mit Finanzdienstleistungen erbracht werden (siehe Ausnahmen).

Beispiele:

  • Technische Gebäudeausstattung (Zutrittskontrollen), Stromnetz, Netzkabel, Glasfaser

  • IKT-basierte Infrastrukturbereitstellung zum Betrieb und Überwachung von Rechenzentren und Serverräumen (in Bezug auf Klima, Strom)

S08 Rechenleistung

Computation

Bereitstellung digitaler Verarbeitungskapazitäten (einschließlich Datenrechenleistung) mit Ausnahme der im Rahmen einer Cloud-Umgebung erbrachten Rechendienste

Anmietung von Rechenleistung bei Dienstleistern.

Beispiele:

  • Bereitstellung von leistungsstarken Clustern für rechenintensive Anwendungen und Datenverarbeitung durch Nicht-Cloud-Dienstleister

S09 Datenspeicherung außerhalb der Cloud

Non-Cloud Data storage

Bereitstellung von Datenspeicherplattformen (ohne Cloud-Dienste)

Bereitstellung von Datenspeicherplattformen für die Bank sowie bankindividuelle Anmietung von Datenspeichern in Rechenzentren.

Abgrenzung zu Clouddiensten beachten (Kategorisierung unter 17. – 19.) sowie zu Datenberechnung (Kategorisierung unter 8.)

Beispiele:

  • Bereitstellung von virtuellem Speicherplatz u.a. Network Attached Storage (NAS)-Geräte

  • Storage Area Networks (SANs) für die Speicherung und Verwaltung großer Datenmengen

  • Speicher-Datensicherung und -wiederherstellungsfunktionen (Backup und Restore)

  • Speicher zur Datenarchivierung für die langfristige Aufbewahrung von Daten

S10 Telekommunikationsanbieter

Telecom carrier

Betrieb von Telekommunikationssystemen und Ablaufmanagement. Traditionelle analoge Telefondienste sind gemäß Artikel 3 Absatz 21 der DORA-Verordnung (EU) 2022/2554 ausdrücklich ausgeschlossen.

Carrier, die Netz- und Telefondienstleistungen bereitstellen bzw. managen.

Beispiele:

  • Telefondienste einschl. Mobilfunk

S11 Netzinfrastruktur

Network infrastructure

Bereitstellung von Netzwerkinfrastruktur

Dienstleister im Zusammenhang mit der Bereitstellung und dem Management der physischen Netzwerkinfrastruktur Abgrenzung zu IKT-Sicherheitsmanagement beachten (z.B. Netzwerksicherheitsprüfung Kategorisierung unter 4.).

Beispiele:

  • Sekundärnetzdienstleister

  • Bereitstellung und Konfiguration LAN / WLAN-Netze

  • Bereitstellung und Konfiguration von Routern und Switchen

  • Netzinfrastrukturüberwachung und –wartung

  • separate DSL-Leitungen

S12 Hardware und physische Geräte

Hardware and physical devices

Bereitstellung von Arbeitsplätzen, Telefonen, Servern, Datenspeichergeräten, Geräten usw. in Form einer Dienstleistung

Hardwaredienstleistungen, bei denen Endbenutzergeräte und spezifische Infrastruktur-Hardware als Service im Institut bereitgestellt wird.

Abgrenzung:
Der reine Bezug von Hardware ist keine IKT-Dienstleistung, unabhängig davon, ob es sich um Kauf/Miete/Leasing handelt. Abgrenzung zu Clouddiensten beachten (vgl. Kategorisierung unter 17.) sowie zur Bereitstellung und Management von Anlagen in einem externen Rechenzentrum (vgl. Kategorisierung unter 14.)

Beispiele:

  • Bereitstellung und Verwaltung von Arbeitsplatzinfrastruktur (Managed Workplace Services für PC/Laptops)

  • Bereitstellung und Management von Smartphones (Mietvertrag mit Installationsleistungen und Smartphonemanagement)

  • Bereitstellung und Management von Druckern

  • Bereitstellung und Management von Telefonen

  • Bereitstellung und Management von Servern (ohne virtuelle Server)

  • Bereitstellung und Management von SB-Geräten (z.B. GAA, CRS, KAD, SBT)

  • Alarmanlagen mit Wartungsvertrag

  • Tagestresore mit Wartungsvertrag

S13 Softwarelizenzierung (außer SaaS)

Software licencing (excluding SaaS)

Bereitstellung von lokal ausgeführter Software

Lizenzierte Software, die von der Bank selbst betrieben wird (insbesondere mit bankfachlichem Bezug / Bezug zur Informationssicherheit) und mit dauerhaften Unterstützungsleistungen verbunden ist insbesondere einem auf Dauer angelegten Wartungsvertrag.

Abgrenzung:
Der reine Bezug von Standard-Software (ohne bankfachlichen / ohne Banksteuerungsbezug / ohne Bezug zur Informationssicherheit) ist nicht als IKT-Dienstleistung einzustufen, unabhängig davon, ob es sich um Kauf/Miete/Leasing/Abonnement handelt. Die Bank muss für diese IKT-Assets die DORA-Anforderungen selbst sicherstellen z.B. im Änderungs-, Schwachstellen- und Patchmanagement.

Beispiele:

  • Risikosteuerungssoftware

  • Buchhaltungssoftware

  • Software für Informationssicherheitsmanagement

S14 IKT-Betriebsmanagement (einschließlich Wartung)

ICT operation management

Erbringung von Dienstleistungen im Zusammenhang mit:
Infrastrukturkonfiguration (Systeme und Hardware mit Ausnahme des Netzwerkes), Wartung, Installation, Kapazitätsmanagement, betriebliches Kontinuitätsmanagement usw. einschließlich Anbieter von verwalteten Dienstleistungen (Managed Service Provider, MSPs).

Betrieb von IKT-Systemen im klassischen Rechenzentrum einschl. Webanwendungen und Services sowie Infrastruktur-Dienstleistungen im Zusammenhang mit IKT-Systemen in der Bank (inkl. Personalgestellung).

Abgrenzung zu Cloudservices beachten (siehe Kategorisierung unter 17- 19.), sowie zu Dienstleistungen, die bereits unter Kategorisierungen 4., 7. oder 8. verortet wurden.

Beispiele:

  • Betrieb des Bankverfahrens oder einzelner Bankanwendungen in einem Rechenzentrum einschl. der Anwendungsservices (MSP/ ASP) *

  • Nicht-cloudbasierte Webanwendungen *

  • Sonstige Infrastrukturdienstleistungen z.B. Durchführung von Änderungen an der Infrastruktur in der Bank, Betriebssystem/Softwarebereitstellung für Clients, virtuelle Server, Kapazitätsmanagement zur Überwachung und Optimierung der Ressourcenauslastung.

* vorbehaltlich einer Klärung mit der Aufsicht, ob webbasierte Anwendungen immer als SaaS (19.) einzustufen sind, auch wenn diese vom Anbieter in einem herkömmlichen Rechenzentrum betrieben werden z.B. Bankverfahren Atruvia

S15 IKT Beratung

ICT Consulting

Erbringung von auf Know-how/IKT-Fachwissen beruhenden Dienstleistungen.

Dauerhafte Beratung im Kontext IKT im Sinne Weitergabe von KnowHow und Wissen bzw. Coaching von IT-Mitarbeitern, Beratung zu Informationssicherheit etc. Diese Leistungen sind jedoch nur dann IKT-Dienstleistungen, wenn die Leistungen über digitale Dienste/Datendienste bereitgestellt werden (sowohl auf der vom Dienstleister als auch auf der vom Institut zur Verfügung gestellten Software).

Beispiele:

Digitale Dienste/ Datendienste zur

  • Dauerhaften IKT-Unterstützung des ISB im Informationssicherheitsmanagement

  • Dauerhaften Unterstützung im Rahmen des Notfallmanagements (Überarbeitung BCM-Konzepte und Prozesse, Erstellung von Notfall- und Wiederherstellungsplänen, Notfalltests)

  • Dauerhaften Unterstützung bei der Erstellung von Sicherheitskonzepten und deren Umsetzung

S16 IKT-Risikomanagement

ICT Risk management

Überprüfung der Einhaltung der IKT-Risikomanagement-anforderungen gemäß Artikel 6 Absatz 10 der DORA-Verordnung (EU) 2022/2554

Auf Dauer angelegte Drittdienstleistung, die sich auf das Management von IKT-Risiken der Bank bezieht, wenn die Leistungen über digitale Dienste/ Datendienste bereitgestellt werden (sowohl auf der vom Dienstleister als auch auf der vom Institut zur Verfügung gestellten Software).

Beispiele:

Digitale Dienste/ Datendienste zur

  • Unterstützung der IKT-Risikokontrollfunktion

  • Überprüfung des IKT-Risikomanagementrahmens

  • Überprüfung der Implementierung von Sicherheitsrichtlinien und -verfahren

  • Überprüfung der Einhaltung von Compliance-Standards und -Vorschriften

  • Unterstützung des IKT-Drittparteienrisikomanagements

S17 Cloud-Dienste: IaaS

Cloud services: IaaS

Infrastruktur-as-a-Service

Bereitstellung von Rechenleistungen und Speicherplatz über Cloud-Dienste d.h. Diensten, die einen ortsunabhängigen, komfortablen und bedarfsgesteuerten Netzwerkzugriff auf einen gemeinsamen Pool konfigurierbarer Rechenressourcen ermöglichen (wie Netzwerke, Server, Speicher, Anwendungen und Services) und sich schnell sowie mit minimalem Verwaltungsaufwand oder geringer Interaktion des Dienstleisters bereitstellen lassen. (siehe Anlage 5 zum Leitfaden „Methodische Grundlagen der IT-Regulatorik“ zum NIST-Kriterienkatalog).

Beispiele:

  • Anbieter stellt dem Kunden Verarbeitung, Speicher, Netzwerke und andere grundlegende Computerressourcen zur Verfügung - der Kunde kann die Software seiner Wahl einsetzen und ausführen.

  • Der Kunde hat Kontrolle über Betriebssysteme, Speicher und Anwendungen – und möglicherweise eine eingeschränkte Kontrolle über ausgewählte Netzwerkkomponenten (z. B. Host-Firewalls)

(Entnommen: aktuelle Entwurfsfassung – Stand 3. Juni - des „EZB- Leitfadens zum Outsourcing von Cloud-Diensten an Cloud-Dienstanbieter”)

S18 Cloud-Dienste: PaaS

Cloud services: PaaS

Plattform-as-a-Service

Bereitstellung von Entwicklerplattformen über Cloud-Dienste (siehe Kategorisierung unter 17.)

Beispiele:

  • Anbieter stellt dem Kunden Cloud-Infrastruktur zur Verfügung, auf der der Kunde von ihm erstellte oder erworbene Anwendungen bereitstellen kann

  • Anbieter unterstützt über Bereitstellung von Programmiersprachen, Bibliotheken, Diensten bzw. Tools.

  • Der Kunde hat nur Kontrolle über die bereitgestellten Anwendungen – und möglicherweise über die Konfigurationseinstellungen für die Anwendungshostingumgebung.

Entnommen: aktuelle Entwurfsfassung – Stand 3. Juni - des „EZB- Leitfadens zum Outsourcing von Cloud-Diensten an Cloud-Dienstanbieter”)

S19 Cloud-Dienste: SaaS

Cloud services: SaaS

Software-as-a-Service

Bereitstellung von Anwendungen über Cloud-Dienste (siehe Kategorisierung unter 17.)

Abgrenzung vorbehaltlich einer Klärung mit der Aufsicht, ob webbasierte Anwendungen immer als SaaS (19.) einzustufen sind, auch wenn diese vom Anbieter in einem herkömmlichen Rechenzentrum betrieben werden z.B. Bankverfahren Atruvia.

Beispiele:

  • Kunde kann die Anwendungen eines Anbieters nutzen, die auf einer Cloud-Infrastruktur laufen.

  • Die Anwendungen sind von verschiedenen Client-Geräten oder mobilen Endgerätenaus entweder über eine Thin-Client-Schnittstelle (wie einen Webbrowser – z. B. webbasierte E-Mail) oder eine Programmschnittstelle zugänglich.

  • Der Kunde kann lediglich in begrenztem Maß benutzerspezifische Anwendungskonfigurationseinstellungen vornehmen.

Entnommen: aktuelle Entwurfsfassung – Stand 3. Juni - des „EZB- Leitfadens zum Outsourcing von Cloud-Diensten an Cloud-Dienstanbieter”)

keine IKT-Dienstleistung nach DORA

X

keine Erfassung im
Informationsregister

Staatliche Behörden, die IKT-bezogene Dienste im Zusammenhang mit Funktionen des Staates bereitstellen, sind keine IKT-Drittdienstleister im Sinne der DORA. (Ausnahme gemäß DORAErwägungsgrund 63)

  • Zentralbanken, die Zahlungs- oder Wertpapierliefer- und Wertpapierabrechnungssysteme betreiben (Ausnahme gemäß DORA Erwägungsgrund 63)

  • IKT-Dienstleistungen, die von einem regulierten Finanzunternehmen erbracht werden und mit einer regulierten Finanzdienstleistung verbunden sind oder von dieser abhängig sind.(Ausnahme gemäß Q&A ESA 2999-DORA030)

Auslegung nach dem Grundsatz der Verhältnismäßigkeit, welche IKT-Services keine IKT-Dienstleistung nach DORA darstellen:

  • Für Webportale ist abzuwägen, ob diese als IKT-Dienstleistung nach DORA eingestuft werden (z.B. keine IKTDienstleistung nach DORA bei Portalen zur reinen Informationsbeschaffung in Abgrenzung zu den Kategorien 1.-19.).
    Hinweis: Sofern Bankmitarbeiter sich an Webportalen anmelden, sind diese u.a. in das Berechtigungsmanagement der Bank einzubeziehen, auch wenn diese nicht als IKT-Dienstleistung eingestuft werden.

  • reiner Bezug von Software oder Hardware auch bei Bereitstellung von Updates und Hotlinesupport, sofern die Bank die Updates eigenverantwortlich einspielt (inkl. Tests) und die Updates nicht spezifisch für die Bank erstellt werden (in Abgrenzung zu 12. und 13.).

  • Versorgungsdienstleister gelten nicht als IKT-Dienstleister (Ausnahme Telekommunikationsanbieter vgl. 10.)

Beispiele:

Portale der Aufsichtsbehörden, der Behörden der Bundesverwaltung etc. • Zahlungs- oder Wertpapierinfrastrukturen der Deutschen Bundesbank oder EZB

  • Zentralbankfunktionen der DZ BANK (Depotservices, Transaktionsservices, Direkthandel, Sicherheitenverwahrung und Teilnahme am Tenderverfahren (Swift), Abwicklung des SepaZahlungsverkehrs, Clearing)

  • Finanzdienstleistungen von Banken bzw. Finanzdienstleistern untereinander (Onlinebanking, gemeinsamer Betrieb von
    Geldautomaten)

  • Anwendungen, die Verbundunternehmen den Banken zur Vermittlung oder Stammdatenpflege in Bezug auf ihre eigenen Verbundprodukte bereitstellen

  • Informationsportale (soweit diese keine Datendienste anbieten vgl. auch 5. + 6.)

  • Portale von Schulungsanbietern (insbes. wenn diese nur der Anmeldung von Schulungen dienen, keine Individualisierung von Schulungsinhalten durch die Bank erfolgt etc.)

  • Bestellportale (soweit sie nur zur Übermittlung des Kaufwunsches dienen und keine weiteren Prozesse der Bank beinhalten)

  • Reiner Bezug von Standard-Software (vgl. auch 13.)

  • Reiner Bezug von Standard-Hardware (vgl. auch 12.)

  • Stromanbieter

JavaScript errors detected

Please note, these errors can depend on your browser setup.

If this problem persists, please contact our support.

Contact Support Close