Digital Operational Resilience Act (DORA)
1. TicTac Learn im Finanzsektor
TicTac Learn bietet Lernplattformen und Dienstleistungen zur Inhaltserstellung an und vertreibt Autorentools für E-Learnings sowie Tools zur Videoproduktion ausgewählter Technologiepartner an Organisationen in Skandinavien und anderen Teilen Europas. Zu unseren Kunden gehören Unternehmen im Finanzsektor, die dem Digital Operational Resilience Act (Verordnung (EU) 2022/2554 über die digitale operationale Resilienz im Finanzsektor, DORA) unterliegen.
Die regulatorischen Anforderungen unserer Kunden aus dem Finanzsektor nehmen wir sehr ernst. Auf dieser Seite erklären wir, wie wir für Sicherheit sorgen, inwieweit der DORA unsere Dienstleistungen betrifft und welchen vertraglichen und operativen Support wir Kunden bieten können, für die der DORA gilt.
Wie wir für Sicherheit sorgen
TicTac Learn ist nach ISO 27001 zertifiziert. Unser Informationssicherheits-Managementsystem umfasst Risikomanagement, Zugangskontrolle, Vorfallsmanagement, Geschäftskontinuität und Lieferantenmanagement.
Wir pflegen und verbessern unser Sicherheitssystem laufend, um den Bedarf unserer dem DORA unterliegenden Kunden zu erfüllen. Weitere Informationen zu unseren technischen und organisatorischen Sicherheitsmaßnahmen finden Sie in unserem Trust Center oder direkt von uns.
3. DORA und TicTac Learn
3.1 Kritische IKT-Drittdienstleister
TicTac Learn ist nicht als kritischer IKT-Drittdienstleister im Sinne von DORA-Artikel 31 eingestuft. Diese Einstufung erfolgt nicht durch einzelne Anbieter oder deren Kunden, sondern durch die europäischen Aufsichtsbehörden.
3.2 Kritische oder wichtige Funktionen
Gemäß DORA muss jedes Finanzinstitut prüfen, ob in Anspruch genommene IKT-Dienstleistungen für kritische oder wichtige Funktionen des Instituts relevant sind (Artikel 3 Absatz 22). Diese Bewertung unterscheidet sich von der oben erläuterten ESA-Einstufung und obliegt dem Finanzinstitut selbst, das diese Funktionen je nach Art, Umfang und Komplexität seiner Geschäftstätigkeit festlegt.
Wenn Dienstleistungen von TicTac Learn nach Einschätzung des Finanzinstituts für kritische oder wichtige Funktionen relevant sind, unterliegt diese Geschäftsbeziehung den strengeren DORA-Anforderungen in Bezug auf vertragliche Vereinbarungen, Governance, Untervergabe, Ausstiegsplanung und Informationsregister. Anderenfalls gelten für IKT-Vereinbarungen mit Dritten die allgemeinen DORA-Anforderungen in abgeschwächter Form.
Die entsprechende Beurteilung liegt in der Verantwortung des Finanzinstituts. TicTac Learn trifft diese Entscheidung also nicht für seine Kunden, kann aber die Informationen und Unterlagen bereitstellen, die unsere Kunden für ihre eigene Bewertung benötigen.
3.3 Anforderungen an Verträge gemäß DORA
Gemäß DORA müssen Vereinbarungen zwischen Finanzinstituten und ihren IKT-Dienstleistern spezifische Anforderungen erfüllen (Artikel 28 und 30). Diese Vorgaben gelten für alle Vereinbarungen mit externen IKT-Dienstleistern, wobei für kritische oder wichtige Funktion relevante Dienstleistungen darüber hinausgehende Bedingungen erfüllen müssen.
TicTac Learn ist selbstverständlich bereit, DORA-konforme Vertragsbestimmungen aufzunehmen.
4. Unterstützung in Bezug auf das DORA-Informationsregister
Gemäß Artikel 28 Absatz 3 der Datenschutz-Grundverordnung (DSGVO) sind Finanzinstitute verpflichtet, ein Register mit Informationen zu allen vertraglichen Vereinbarungen mit externen IKT-Dienstleistern zu führen. TicTac Learn stellt die Informationen zur Verfügung, die unsere Kunden zur Erstellung und Pflege dieses Registers brauchen – wie z. B. Leistungsbeschreibungen, Standorte der Datenverarbeitung, Auftragsverarbeitungsverträge sowie Kontaktdaten.