Zum Inhalt springen
Resilience Platform DORA · MaRisk · ISO 27001

DORA Kapitel V

IKT-Drittparteienrisiken steuerbar machen.

Drittparteienrisiken erfordern klare Vertragsgestaltung, Kontrollrechte, Überwachung und Exit-Strategien. Art. 28 DORA definiert verbindliche Mindestanforderungen an IKT-Drittparteienbeziehungen.

Disclaimer: Diese Seite stellt eine originäre Zusammenstellung praktischer Umsetzungshinweise für DORA IKT-Drittparteienrisiko dar. Sie dient ausschließlich der internen Strukturierung und Planung und erhebt keinen Anspruch auf Vollständigkeit oder Rechtsverbindlichkeit. Es wird keine Rechtsberatung angeboten.

Management-Zusammenfassung

  • IKT-Drittparteien-Inventar nach Art. 28 Abs. 1 DORA ist vollständig und umfasst alle direkten und indirekten (Unterauftragnehmer) Beziehungen.
  • Vertragsklauseln nach Art. 28 Abs. 3–5 DORA (Leistungsbeschreibung, Rechte/Pflichten, Informationssicherheit, Unterauftragnehmer, Vorfallunterstützung, BCM/Recovery, Exit, Auditrechte, Reporting, Datenstandorte, Datenschutz, Änderung/Kündigung) sind in jedem IKT-Vertrag verankert.
  • Konzentrationsrisiken und Abhängigkeiten nach Art. 28 Abs. 6 DORA sind analysiert, dokumentiert und mit Gegenmaßnahmen (Multi-Vendor-Strategie, Exit-Pläne, Bufferkapazitäten) abgedeckt.
  • Kritische ICT-Third-Party-Provider (CTPP) nach Art. 31 DORA sind identifiziert; Oversight-Regime und Meldeverpflichtungen sind vertraglich und prozessual abgebildet.

Sollzustand

  • IKT-Drittparteien-Inventar (Art. 28 Abs. 1): Vollständige Liste aller IKT-Dienstleister mit Zuordnung zu regulierten Tätigkeiten, kwF-Relevanz, Kritikalität (Baseline / Kontrollrelevant / kwF-relevant / Strategisch kritisch).
  • Vertragsklauseln (Art. 28 Abs. 3–5): Jeder IKT-Vertrag enthält DORA-Mindestklauseln — Leistungsbeschreibung, Rechte/Pflichten, Informationssicherheit, Unterauftragnehmer, Vorfallunterstützung, BCM/Recovery, Exit, Audit- und Kontrollrechte, Reporting, Datenstandorte, Datenschutz, Änderung/Kündigung.
  • Due Diligence (Art. 28 Abs. 2): Risikobasierte Due-Diligence vor Vertragsabschluss und bei wesentlichen Änderungen; Bewertung von Finanzkraft, Security-Maturity, BCM-Fähigkeit, Compliance-Track-Record.
  • Überwachung (Art. 28 Abs. 7): Regelmäßige Berichte (SLA-Reports, Penetration-Test-Ergebnisse, Audit-Reports, Incident-Statistiken); Eskalation bei Vertragsverstößen; On-Site-Audits bei kwF-relevanten Dienstleistern.
  • Konzentrationsrisiko (Art. 28 Abs. 6): Analyse der Abhängigkeit von einzelnen Anbietern, Regionen oder Technologien; Gegenmaßnahmen: Multi-Vendor, geographische Diversifikation, Bufferkapazitäten, Exit-Pläne.
  • Exit-Strategien (Art. 28 Abs. 5 lit. g): Jeder kwF-relevante und strategisch kritische Vertrag enthält einen dokumentierten Exit-Plan (Datenmigration, Parallelbetrieb, Übergabezeitraum, Ersatzanbieter-Shortlist).
  • CTPP-Oversight (Art. 31): Kritische ICT-Third-Party-Provider sind identifiziert; Meldung an Aufseher bei wesentlichen Vorfällen; Kooperation mit der ESAs-Oversight ist vertraglich und prozessual sichergestellt.

Umsetzungsschritte

  • 1. IKT-Drittparteien-Inventar erstellen: Vollständige Erfassung aller IKT-Dienstleister (intern, extern, Cloud, SaaS, Co-Location); Klassifizierung nach Kritikalität; Zuordnung zu kwF und regulierten Tätigkeiten.
  • 2. Vertragsklauseln-Katalog erstellen: DORA-Art. 28 Abs. 3–5 als Checkliste; GAP-Analyse gegen bestehende Verträge; Priorisierung nach Kritikalität und Vertragslaufzeit.
  • 3. Due-Diligence-Prozess etablieren: Standard-Fragebogen, Risikobewertung, Finanzprüfung, Security-Maturity-Assessment (z. B. SIG-Lite, VSAQ), Referenzchecks; jährliche Re-Assessment bei kwF-relevanten Dienstleistern.
  • 4. Überwachungsrahmen implementieren: SLA-Monitoring, halbjährliche Sicherheitsberichte, jährliche On-Site-Audits bei kwF-relevanten Anbietern; Eskalationsmatrix bei Verstößen.
  • 5. Konzentrationsrisiko-Analyse durchführen: Abhängigkeitsanalyse (Single-Point-of-Failure, geographische Konzentration, Technologie-Monopol); Risikoreduktionsplan mit Alternativen und Zeitplan.
  • 6. Exit-Strategien entwickeln: Exit-Plan pro kwF-relevantem Vertrag; Test-Exit (Simulation) jährlich; Ersatzanbieter-Shortlist mit Due-Diligence-Vorabprüfung.
  • 7. CTPP-Prozess etablieren: Identifikation kritischer ICT-Third-Party-Provider; Meldeverfahren an Aufseher; Kooperationsprozess mit ESAs-Oversight; regelmäßige Information der Geschäftsleitung.
  • 8. Dokumentation und Audit: Inventar, Verträge, Due-Diligence-Berichte, Überwachungsberichte, Exit-Pläne und Konzentrationsrisiko-Analysen sind revisionssicher archiviert.

Typische Lücken & ISO/IEC 27001-Verbindung

  • Unvollständiges Inventar: Schatten-IT, fehlende SaaS-Abonnements, unbekannte Unterauftragnehmer; Abhilfe: automatisierte Asset-Discovery und jährliche Selbstauskunft aller Fachbereiche.
  • Fehlende Vertragsklauseln: Alte Verträge ohne DORA-konforme Klauseln; Abhilfe: Vertrags-Recht-Workflow mit GAP-Analyse und Nachverhandlungs-Management.
  • Keine Exit-Strategie: Verträge ohne Exit-Klausel oder ungetestete Exit-Pläne; Abhilfe: Exit-Plan-Pflicht für kwF-relevante Verträge und jährliche Exit-Simulation.
  • Unzureichende Überwachung: Keine regelmäßigen Sicherheitsberichte oder Audits; Abhilfe: Überwachungskalender mit Pflichtberichten und Eskalationsstufen.
  • ISO/IEC 27001:2022: A.5.19 Informationssicherheit in Lieferantenbeziehungen, A.5.20 Addressing Information Security within Supplier Agreements, A.5.21 Managing Information Security in the ICT Supply Chain, A.5.22 Monitoring, Review and Change Management of Supplier Services, A.5.23 Information Security for Use of Cloud Services, A.8.21 Security of Network Services, A.8.30 ICT Readiness for Business Continuity.

ISO 27001 Verbindung

ISO/IEC 27001:2022 bietet den Steuerungsrahmen für Lieferantenbeziehungen, Vertragsmanagement, Supply-Chain-Sicherheit und Cloud-Services.

  • A.5.19 Informationssicherheit in Lieferantenbeziehungen
  • A.5.20 Addressing Information Security within Supplier Agreements
  • A.5.21 Managing Information Security in the ICT Supply Chain
  • A.5.22 Monitoring, Review and Change Management of Supplier Services
  • A.5.23 Information Security for Use of Cloud Services
  • A.8.21 Security of Network Services
  • A.8.30 ICT Readiness for Business Continuity

ISO/IEC 27001:2022 dient als Kontrollanker und Management-System-Referenz. Die Verbindung zu ISO 27001 unterstützt integrierte Resilienz- und Sicherheitsprogramme.

Reifegrad

  1. 1 Initial

    Ad-hoc-Ansätze, keine formalen Prozesse

  2. 2 Defined

    Formale Prozesse definiert, aber nicht durchgängig umgesetzt

  3. 3 Implemented

    Prozesse vollständig umgesetzt und dokumentiert

  4. 4 Monitored

    Prozesse werden überwacht und gemessen

  5. 5 Optimized

    Kontinuierliche Verbesserung und Anpassung