Bitte beachten Sie, dass diese Inhalte mithilfe von KI übersetzt wurden. Trotz sorgfältiger Prüfung können automatische Übersetzungen kleinere Ungenauigkeiten enthalten, wie ungewohnte Fachbegriffe oder sprachlich nicht ganz flüssige Formulierungen. Vielen Dank für Ihr Verständnis.
Tenga en cuenta que estos contenidos han sido traducidos mediante inteligencia artificial. Aunque procuramos garantizar la mayor precisión posible, las traducciones automáticas pueden contener pequeñas imperfecciones, como el uso de términos poco habituales o frases que no suenen completamente naturales. Agradecemos su comprensión.
FCA, PRA, Operational Resilience: „Ist das konform?“ ist die falsche Frage
Wie regulierte Unternehmen die Microsoft Teams-Telefonie einführen können, ohne dabei ihr Compliance-Team zu verlieren.
Von Roger365.io. Lesezeit: ca. 5 Minuten. Zielgruppe: Banken, Bausparkassen, Versicherer, Vermögensverwalter und Broker-Dealer, die im Vereinigten Königreich tätig sind.
Ein Szenario, das wir jetzt fast wöchentlich sehen: Eine mittelgroße Bank, ein regionaler Versicherer oder ein Vermögensverwalter möchte ihre Telefonie in Microsoft Teams aufrüsten. Intelligente Anrufweiterleitung, saubere Warteschlangen, korrekte Berichterstattung. Ein kleines Projekt auf Papier. Dann kommt die E-Mail des Drittanbieter-Risikoteams: „Ist diese Lösung tatsächlich FCA- und PRA-konform?“ Und die Einführung gerät ins Stocken.
Die Reaktion ist verständlich, aber die Frage ist falsch, und das ist der Grund, warum so viele Projekte ins Stocken geraten, obwohl die wirkliche Antwort einfach ist.
Die Frage hinter der Frage
Roger365.io ist kein von der FCA autorisiertes oder PRA-autorisiertes Unternehmen. Das muss nicht sein und kann nicht sein: Die Kategorie „FCA-zertifizierte Software“ existiert einfach nicht. Wer nach diesem Label sucht, wird es nie finden, unabhängig vom Anbieter.
Die richtige Frage ist eine andere: „Können wir als reguliertes Unternehmen Roger365.io so einsetzen, dass unsere Verpflichtungen in Bezug auf Outsourcing, Drittanbieterrisiko und betriebliche Widerstandsfähigkeit erfüllt werden, und können wir dies in einer aufsichtlichen Überprüfung nachweisen?“ Es gibt eine klare Antwort: ja. Und wir helfen Ihnen aktiv dabei.
Die regulatorische Landschaft auf einen Blick
Wenn Sie eine Telefonielösung in einem in Großbritannien regulierten Unternehmen einführen, sind vier Rahmenbedingungen von Bedeutung. Die ersten drei legen die aufsichtsrechtlichen Grundlagen fest; die vierte fügt die Cybersicherheitsebene hinzu.
SYSC 8 (FCA-Handbuch) und die entsprechenden Kapitel des PRA-Regelwerks legen die wichtigsten Outsourcing-Regeln fest: Unternehmensführung, Sorgfaltspflicht, laufende Aufsicht und Ausstiegsplanung für wesentliche Outsourcing-Vereinbarungen.
PRA SS2/21, „Outsourcing und Risikomanagement durch Dritte“, ist das detaillierte Erwartungsdokument. Es definiert die Klassifizierung wesentlicher Auslagerungen, Vertragsanforderungen, Prüf- und Informationsbeschaffungsrechte, Kontrollen zur Unterauslagerung und Stressausstiegsszenarien. Die FCA passt sich durch FG 16/5 und aufsichtsrechtliche Mitteilungen an.
Operational Resilience (PRA SS1/21 und FCA PS21/3) erfordert von Unternehmen, wichtige Unternehmensdienstleistungen zu identifizieren, Auswirkungstoleranzen festzulegen, Abhängigkeiten von Drittanbietern abzubilden und anhand schwerwiegender, aber plausibler Szenarien nachzuweisen, dass sie die Toleranzwerte einhalten können. Das CTP-Regime (Critical Third Partys) gemäß FSMA 2023 sieht die direkte Aufsicht über benannte Anbieter vor.
Die NIS-Vorschriften 2018 (das Vereinigte Königreich hat die Version der EU-NIS-Richtlinie beibehalten) und das bevorstehende Gesetz über Cybersicherheit und Resilienz erweitern die Cybersicherheitspflichten auf eine viel größere Gruppe von Organisationen und deren Lieferkette. Die Kernaufgaben: Risikomanagement, Sicherheit in der Lieferkette und ein System zur Meldung von Vorfällen, das von der jeweils zuständigen Behörde beaufsichtigt wird. Das NCSC Cyber Assessment Framework (CAF) ist die praktische Referenz.
Finanzunternehmen unterliegen weiterhin in erster Linie den FCA- und PRA-Regeln, aber ihre Lieferanten und ihre Lieferkette sind nicht von Cyber-Erwartungen ausgenommen.
Drei Arbeitsabläufe — wir nehmen Ihr Compliance-Team ab
Darin liegt der wahre Unterschied. Die meisten Softwareanbieter antworten auf regulatorische Fragen mit einem Link zu ihrer Sicherheitsseite und warten dann ab, was das Drittanbieter-Risikoteam des Kunden als Nächstes fragt. Wir machen das Gegenteil: Wir liefern das Beweispaket im Voraus, bevor die Fragen eintreffen.
Dokumentation auslagern. Standardvereinbarung zur Datenverarbeitung gemäß Artikel 28 der britischen DSGVO, gemäß den Erwartungen von PRA SS2/21 ausgefüllter Sicherheitsfragebogen, ISO-27001-Zertifikat, transparente Liste der Unterauftragsverarbeiter und eine dokumentierte Ausstiegsstrategie. Dies deckt SYSC 8 und die wichtigsten PRA Outsourcing-Anforderungen ab.
Bereitschaft zur operativen Resilienz. SS2/21-konforme Vertragsklauseln, die bereits in unserer Standardvereinbarung enthalten sind. Strukturierter Input für Ihre wichtigen Unternehmensdienstleistungen (Angaben zum Unternehmen, Unterauftragsverarbeiter, Verarbeitungsstandorte, Serviceklassifizierung). Ein klar beschriebenes Verfahren zur Meldung von Vorfällen mit festen Reaktionszeiten. Pläne für Geschäftskontinuität und Notfallwiederherstellung sind auf Anfrage erhältlich. Entwickelt, um direkt in Ihre Aufpralltoleranz und die Prüfung schwerwiegender, aber plausibler Szenarien einzugreifen.
Rahmen für Cybersicherheit. Ein Sicherheitsmanagementprogramm, das auf ISO 27001 und das NCSC Cyber Assessment Framework abgestimmt ist und die Steuerung der Lieferkette, Patch-Management, MFA und einen Prozess zur Reaktion auf Vorfälle umfasst, der die Meldefristen gemäß den NIS-Vorschriften und dem bevorstehenden Gesetz über Cybersicherheit und Widerstandsfähigkeit abdeckt. Cyber Essentials Plus ist als Basismarker erhältlich. Relevant, wenn Sie direkt unter NIS oder CAF fallen, und in beiden Fällen relevant für Ihre eigene Bewertung der Lieferkette.
Warum das für eine Teams-App besonders sauber funktioniert
Roger365.io ist eine native Microsoft Teams-App. Bei der Einhaltung der Vorschriften gibt es einen wichtigen Nebeneffekt: Ihre Konversations- und Benutzerdaten bleiben in dem Microsoft 365-Mandanten, den Sie bereits geprüft und genehmigt haben. Wir speichern nur das, was der Dienst unbedingt benötigt, in einem nach ISO 27001 zertifizierten ISMS auf Microsoft Azure, wobei ein Datenstandort in Großbritannien oder der EU verfügbar ist. Bei Ihrer Risikoüberprüfung durch Dritte schrumpft dadurch der Umfang dessen, was neu bewertet werden muss. Die große Plattform, Microsoft 365, ist bereits vorhanden. Wir schließen uns ihr an, ohne einen separaten Datenspeicher einzuführen, auf den Sie keinen Einfluss haben.
Was Sie in der Verkaufsphase von uns erwarten können
Anstatt eines offenen Fragebogenaustauschs erhalten Sie ein einziges, kohärentes Compliance-Paket: DPA, ausgefüllter Sicherheitsfragebogen, ISO-27001-Zertifikat, SS2/21-konforme Vertragsklauseln mit wesentlichen Outsourcing-Eingaben, Beschreibung der NIS- oder CAF-Incident-Response, Liste der Subprozessoren und Ausstiegsplan. Ein Paket, ein Schritt, auf Anfrage.
Der Effekt: Ihr Drittanbieter-Risikoteam beginnt im Überprüfungsmodus, nicht im Q & A-Modus. In der Praxis erspart das Wochen, manchmal Monate, Projektverzögerungen.
Kurz gesagt
Die Einführung einer professionellen Team-Telefonie sollte Ihre Compliance-Haltung stärken, nicht belasten. Das ist genau das Gespräch, auf das wir vorbereitet sind.
Fordern Sie unser Compliance-Paket (FCA, PRA, Operational Resilience, NIS) an und nutzen Sie es als Ausgangsmaterial für Ihre Outsourcing- und Risikobewertung durch Dritte.
Haftungsausschluss: Dieser Artikel dient Informationszwecken und stellt keine Rechtsberatung dar. Die endgültige Bewertung obliegt Ihren Compliance- und Rechtsfunktionen.
Industry
Location
Bitte beachten Sie, dass diese Inhalte mithilfe von KI übersetzt wurden. Trotz sorgfältiger Prüfung können automatische Übersetzungen kleinere Ungenauigkeiten enthalten, wie ungewohnte Fachbegriffe oder sprachlich nicht ganz flüssige Formulierungen. Vielen Dank für Ihr Verständnis.
Tenga en cuenta que estos contenidos han sido traducidos mediante inteligencia artificial. Aunque procuramos garantizar la mayor precisión posible, las traducciones automáticas pueden contener pequeñas imperfecciones, como el uso de términos poco habituales o frases que no suenen completamente naturales. Agradecemos su comprensión.
FCA, PRA, Operational Resilience: „Ist das konform?“ ist die falsche Frage
Wie regulierte Unternehmen die Microsoft Teams-Telefonie einführen können, ohne dabei ihr Compliance-Team zu verlieren.
Von Roger365.io. Lesezeit: ca. 5 Minuten. Zielgruppe: Banken, Bausparkassen, Versicherer, Vermögensverwalter und Broker-Dealer, die im Vereinigten Königreich tätig sind.
Ein Szenario, das wir jetzt fast wöchentlich sehen: Eine mittelgroße Bank, ein regionaler Versicherer oder ein Vermögensverwalter möchte ihre Telefonie in Microsoft Teams aufrüsten. Intelligente Anrufweiterleitung, saubere Warteschlangen, korrekte Berichterstattung. Ein kleines Projekt auf Papier. Dann kommt die E-Mail des Drittanbieter-Risikoteams: „Ist diese Lösung tatsächlich FCA- und PRA-konform?“ Und die Einführung gerät ins Stocken.
Die Reaktion ist verständlich, aber die Frage ist falsch, und das ist der Grund, warum so viele Projekte ins Stocken geraten, obwohl die wirkliche Antwort einfach ist.
Die Frage hinter der Frage
Roger365.io ist kein von der FCA autorisiertes oder PRA-autorisiertes Unternehmen. Das muss nicht sein und kann nicht sein: Die Kategorie „FCA-zertifizierte Software“ existiert einfach nicht. Wer nach diesem Label sucht, wird es nie finden, unabhängig vom Anbieter.
Die richtige Frage ist eine andere: „Können wir als reguliertes Unternehmen Roger365.io so einsetzen, dass unsere Verpflichtungen in Bezug auf Outsourcing, Drittanbieterrisiko und betriebliche Widerstandsfähigkeit erfüllt werden, und können wir dies in einer aufsichtlichen Überprüfung nachweisen?“ Es gibt eine klare Antwort: ja. Und wir helfen Ihnen aktiv dabei.
Die regulatorische Landschaft auf einen Blick
Wenn Sie eine Telefonielösung in einem in Großbritannien regulierten Unternehmen einführen, sind vier Rahmenbedingungen von Bedeutung. Die ersten drei legen die aufsichtsrechtlichen Grundlagen fest; die vierte fügt die Cybersicherheitsebene hinzu.
SYSC 8 (FCA-Handbuch) und die entsprechenden Kapitel des PRA-Regelwerks legen die wichtigsten Outsourcing-Regeln fest: Unternehmensführung, Sorgfaltspflicht, laufende Aufsicht und Ausstiegsplanung für wesentliche Outsourcing-Vereinbarungen.
PRA SS2/21, „Outsourcing und Risikomanagement durch Dritte“, ist das detaillierte Erwartungsdokument. Es definiert die Klassifizierung wesentlicher Auslagerungen, Vertragsanforderungen, Prüf- und Informationsbeschaffungsrechte, Kontrollen zur Unterauslagerung und Stressausstiegsszenarien. Die FCA passt sich durch FG 16/5 und aufsichtsrechtliche Mitteilungen an.
Operational Resilience (PRA SS1/21 und FCA PS21/3) erfordert von Unternehmen, wichtige Unternehmensdienstleistungen zu identifizieren, Auswirkungstoleranzen festzulegen, Abhängigkeiten von Drittanbietern abzubilden und anhand schwerwiegender, aber plausibler Szenarien nachzuweisen, dass sie die Toleranzwerte einhalten können. Das CTP-Regime (Critical Third Partys) gemäß FSMA 2023 sieht die direkte Aufsicht über benannte Anbieter vor.
Die NIS-Vorschriften 2018 (das Vereinigte Königreich hat die Version der EU-NIS-Richtlinie beibehalten) und das bevorstehende Gesetz über Cybersicherheit und Resilienz erweitern die Cybersicherheitspflichten auf eine viel größere Gruppe von Organisationen und deren Lieferkette. Die Kernaufgaben: Risikomanagement, Sicherheit in der Lieferkette und ein System zur Meldung von Vorfällen, das von der jeweils zuständigen Behörde beaufsichtigt wird. Das NCSC Cyber Assessment Framework (CAF) ist die praktische Referenz.
Finanzunternehmen unterliegen weiterhin in erster Linie den FCA- und PRA-Regeln, aber ihre Lieferanten und ihre Lieferkette sind nicht von Cyber-Erwartungen ausgenommen.
Drei Arbeitsabläufe — wir nehmen Ihr Compliance-Team ab
Darin liegt der wahre Unterschied. Die meisten Softwareanbieter antworten auf regulatorische Fragen mit einem Link zu ihrer Sicherheitsseite und warten dann ab, was das Drittanbieter-Risikoteam des Kunden als Nächstes fragt. Wir machen das Gegenteil: Wir liefern das Beweispaket im Voraus, bevor die Fragen eintreffen.
Dokumentation auslagern. Standardvereinbarung zur Datenverarbeitung gemäß Artikel 28 der britischen DSGVO, gemäß den Erwartungen von PRA SS2/21 ausgefüllter Sicherheitsfragebogen, ISO-27001-Zertifikat, transparente Liste der Unterauftragsverarbeiter und eine dokumentierte Ausstiegsstrategie. Dies deckt SYSC 8 und die wichtigsten PRA Outsourcing-Anforderungen ab.
Bereitschaft zur operativen Resilienz. SS2/21-konforme Vertragsklauseln, die bereits in unserer Standardvereinbarung enthalten sind. Strukturierter Input für Ihre wichtigen Unternehmensdienstleistungen (Angaben zum Unternehmen, Unterauftragsverarbeiter, Verarbeitungsstandorte, Serviceklassifizierung). Ein klar beschriebenes Verfahren zur Meldung von Vorfällen mit festen Reaktionszeiten. Pläne für Geschäftskontinuität und Notfallwiederherstellung sind auf Anfrage erhältlich. Entwickelt, um direkt in Ihre Aufpralltoleranz und die Prüfung schwerwiegender, aber plausibler Szenarien einzugreifen.
Rahmen für Cybersicherheit. Ein Sicherheitsmanagementprogramm, das auf ISO 27001 und das NCSC Cyber Assessment Framework abgestimmt ist und die Steuerung der Lieferkette, Patch-Management, MFA und einen Prozess zur Reaktion auf Vorfälle umfasst, der die Meldefristen gemäß den NIS-Vorschriften und dem bevorstehenden Gesetz über Cybersicherheit und Widerstandsfähigkeit abdeckt. Cyber Essentials Plus ist als Basismarker erhältlich. Relevant, wenn Sie direkt unter NIS oder CAF fallen, und in beiden Fällen relevant für Ihre eigene Bewertung der Lieferkette.
Warum das für eine Teams-App besonders sauber funktioniert
Roger365.io ist eine native Microsoft Teams-App. Bei der Einhaltung der Vorschriften gibt es einen wichtigen Nebeneffekt: Ihre Konversations- und Benutzerdaten bleiben in dem Microsoft 365-Mandanten, den Sie bereits geprüft und genehmigt haben. Wir speichern nur das, was der Dienst unbedingt benötigt, in einem nach ISO 27001 zertifizierten ISMS auf Microsoft Azure, wobei ein Datenstandort in Großbritannien oder der EU verfügbar ist. Bei Ihrer Risikoüberprüfung durch Dritte schrumpft dadurch der Umfang dessen, was neu bewertet werden muss. Die große Plattform, Microsoft 365, ist bereits vorhanden. Wir schließen uns ihr an, ohne einen separaten Datenspeicher einzuführen, auf den Sie keinen Einfluss haben.
Was Sie in der Verkaufsphase von uns erwarten können
Anstatt eines offenen Fragebogenaustauschs erhalten Sie ein einziges, kohärentes Compliance-Paket: DPA, ausgefüllter Sicherheitsfragebogen, ISO-27001-Zertifikat, SS2/21-konforme Vertragsklauseln mit wesentlichen Outsourcing-Eingaben, Beschreibung der NIS- oder CAF-Incident-Response, Liste der Subprozessoren und Ausstiegsplan. Ein Paket, ein Schritt, auf Anfrage.
Der Effekt: Ihr Drittanbieter-Risikoteam beginnt im Überprüfungsmodus, nicht im Q & A-Modus. In der Praxis erspart das Wochen, manchmal Monate, Projektverzögerungen.
Kurz gesagt
Die Einführung einer professionellen Team-Telefonie sollte Ihre Compliance-Haltung stärken, nicht belasten. Das ist genau das Gespräch, auf das wir vorbereitet sind.
Fordern Sie unser Compliance-Paket (FCA, PRA, Operational Resilience, NIS) an und nutzen Sie es als Ausgangsmaterial für Ihre Outsourcing- und Risikobewertung durch Dritte.
Haftungsausschluss: Dieser Artikel dient Informationszwecken und stellt keine Rechtsberatung dar. Die endgültige Bewertung obliegt Ihren Compliance- und Rechtsfunktionen.
Our speakers
Want to read more?
Discover fresh perspectives and practical tips in our latest whitepaper.
