Zum Inhalt springen
Resilience Platform DORA · MaRisk · ISO 27001

DORA

IKT-Verträge als steuerbares Instrument.

Eine strukturierte IKT-Vertrags-Workbench hilft, Verträge nach Kritikalität zu klassifizieren, Mindestinhalte sicherzustellen und DORA-/MaRisk-Anforderungen zu erfüllen.

Management Summary

  • IKT-Verträge sollten nach ihrer Kritikalität klassifiziert werden, um angemessene Anforderungen je Kategorie zu definieren.
  • DORA Artikel 28 definiert Mindestanforderungen an IKT-Verträge, die durch institutsspezifische Anforderungen ergänzt werden.
  • Exit-Fähigkeit, Unterauftragnehmerregelungen und Kontrollrechte sind vertraglich zu sichern.
  • Die Vertrags-Workbench integriert DORA-, MaRisk- und kwF-Anforderungen.

Vertragsklassifikation

Baseline IKT-Leistung

Standard-IKT-Dienstleistungen ohne besondere Kritikalität oder Kontrollerfordernis.

Kontrollrelevante IKT-Leistung

Dienstleistungen mit erhöhtem Kontrollbedarf aufgrund von Datenzugriff oder Prozessbedeutung.

kwF-relevante IKT-Leistung

Dienstleistungen, die kritische oder wichtige Funktionen unterstützen und verschärften Anforderungen unterliegen.

Strategisch kritische IKT-Leistung

Dienstleistungen mit hoher strategischer Abhängigkeit, eingeschränkter Substituierbarkeit und langen Exit-Zeiträumen.

Vertragsanforderungsbereiche

Leistungsbeschreibung Rechte und Pflichten Informationssicherheit Unterauftragnehmer Vorfallunterstützung BCM / Recovery Exit Audit- und Kontrollrechte Reporting Datenstandorte Datenschutz Änderung und Kündigung

Massnahmen: IKT-Verträge

DORA-CON-001 reviewed initial

Vertragsklassifikation für IKT-Dienstleistungen etablieren

IKT-Dienstleistungsverträge werden nach Kritikalität und Komplexität klassifiziert, um angemessene Anforderungen je Kategorie zu definieren.

Themenbereich
IKT-Verträge
Sollzustand
Eine verbindliche Vertragsklassifikation unterscheidet Baseline IKT-Leistung, kontrollrelevante IKT-Leistung, kwF-relevante IKT-Leistung und strategisch kritische IKT-Leistung. Jede Kategorie hat definierte Mindestanforderungen an Vertragsinhalte, Kontrollrechte und Überwachung.
DORA / MaRisk
DORA Art. 28 (Vertragsanforderungen), Art. 29 (Überwachung) | MaRisk AT 9 (Auslagerungen), BT 4

Umsetzungsschritte

  • Klassifikationskriterien für IKT-Verträge entwickeln.
  • Kategorien (Baseline, kontrollrelevant, kwF-relevant, strategisch kritisch) definieren.
  • Bestandsverträge klassifizieren und nachkategorisieren.
  • Klassifikation bei Vertragsänderungen und jährlich überprüfen.

Beispielnachweise

  • Vertragsklassifikations-Richtlinie
  • Klassifizierte Vertragsliste
  • Überprüfungsprotokoll der Klassifikation
  • Abweichungsdokumentation

ISO/IEC 27001 Anker

A.5.19 A.5.20 A.5.33
DORA-CON-002 reviewed initial

Mindestvertragsinhalte nach DORA sicherstellen

IKT-Dienstleistungsverträge enthalten alle nach DORA und institutsspezifisch erforderlichen Mindestinhalte.

Themenbereich
IKT-Verträge
Sollzustand
Eine standardisierte Vertragsprüfung stellt sicher, dass alle IKT-Verträge Leistungsbeschreibung, Rechte und Pflichten, Informationssicherheitsanforderungen, SLA-Vereinbarungen, Datenstandorte, Datenschutzklauseln, Kündigungsfristen, Haftungsregelungen und Änderungsmanagement enthalten.
DORA / MaRisk
DORA Art. 28 Abs. 2 (Vertragsanforderungen) | MaRisk AT 9 Tz. 7, BT 4 Tz. 3

Umsetzungsschritte

  • Mindestvertragsinhalte je Klassifikationskategorie definieren.
  • Vertragsprüfprozess mit Checkliste und Freigabestufen etablieren.
  • Bestandsverträge auf Lücken prüfen und nachbessern.
  • Abweichungen dokumentieren und managementseitig freigeben.

Beispielnachweise

  • Vertragsanforderungsmatrix je Kategorie
  • Prüf-Checkliste für IKT-Verträge
  • Lückenanalyse Bestandsverträge
  • Abweichungsregister mit Freigabe

ISO/IEC 27001 Anker

A.5.19 A.5.20 A.5.31 A.5.33
DORA-CON-003 reviewed initial

Unterauftragnehmerregelungen vertraglich sichern

Verträge mit IKT-Dienstleistern enthalten Regelungen zur Offenlegung, Genehmigung und Steuerung von Unterauftragnehmern.

Themenbereich
IKT-Verträge
Sollzustand
Alle IKT-Verträge verpflichten Dienstleister zur Offenlegung wesentlicher Unterauftragnehmer und zur Einholung der Zustimmung bei Änderungen der Unterauftragnehmerkette. Ein aktuelles Unterauftragnehmerverzeichnis dokumentiert die vollständige Leistungskette.
DORA / MaRisk
DORA Art. 28 Abs. 2 lit. e (Unterauftragnehmer) | MaRisk AT 9 Tz. 5, BT 4 Tz. 2

Umsetzungsschritte

  • Vertragsklauseln zu Unterauftragnehmern (Offenlegung, Genehmigung, Änderung) definieren.
  • Unterauftnehmerverzeichnis je kritischer IKT-Dienstleistung aufbauen.
  • Regelmässige Aktualisierung und Prüfung der Unterauftragnehmerkette.
  • Konzentrationsrisiken durch gemeinsame Unterauftragnehmer identifizieren.

Beispielnachweise

  • Vertragsklauseln zu Unterauftragnehmern
  • Unterauftragnehmerverzeichnis (aktuell)
  • Genehmigungsdokumentation bei Änderungen
  • Konzentrationsrisikoanalyse Unterauftragnehmer

ISO/IEC 27001 Anker

A.5.19 A.5.20 A.5.21 A.5.22
DORA-CON-004 reviewed initial

Exit-Regelungen vertraglich verankern

IKT-Verträge enthalten verbindliche Exit-Regelungen für eine geordnete Beendigung, Übertragung oder Ersetzung der Dienstleistung.

Themenbereich
IKT-Verträge
Sollzustand
Alle IKT-Verträge mit kwF-Relevanz enthalten Exit-Klauseln mit Kündigungsfristen, Datenrückgabe- und Löschverpflichtungen, Übergangsunterstützung, Migrationshilfen und Herausgabepflichten. Die Exit-Regelungen werden regelmässig auf Angemessenheit und Umsetzbarkeit geprüft.
DORA / MaRisk
DORA Art. 28 Abs. 2 lit. i (Exit), Art. 29 Abs. 5 | MaRisk AT 9 Tz. 9, BT 4 Tz. 6

Umsetzungsschritte

  • Exit-Mindestklauseln je Vertragskategorie definieren.
  • Datenrückgabe-, Lösch- und Migrationsverpflichtungen vertraglich regeln.
  • Übergangsfristen und Unterstützungsleistungen vereinbaren.
  • Exit-Regelungen regelmässig auf Aktualität und Umsetzbarkeit prüfen.

Beispielnachweise

  • Exit-Klauseln je IKT-Vertrag
  • Datenrückgabe- und Löschkonzept
  • Prüfprotokoll Exit-Regelungen
  • Abweichungsdokumentation

ISO/IEC 27001 Anker

A.5.19 A.5.29 A.5.30 A.5.36
DORA-CON-005 reviewed initial

Audit- und Kontrollrechte vertraglich sichern

IKT-Verträge enthalten umfassende Audit- und Kontrollrechte für das Institut und dessen Prüfungsinstanzen.

Themenbereich
IKT-Verträge
Sollzustand
Verträge mit kwF-relevanten IKT-Dienstleistern enthalten Rechte auf Vor-Ort-Prüfungen, Einsichtnahme in Unterlagen, Zugang zu Systemen und Informationen sowie das Recht auf Prüfungen durch externe Prüfer und Aufsichtsbehörden.
DORA / MaRisk
DORA Art. 28 Abs. 2 lit. f–h (Kontroll- und Zugangsrechte) | MaRisk AT 9 Tz. 7, BT 4 Tz. 4

Umsetzungsschritte

  • Audit- und Kontrollrechte als Pflichtklauseln definieren.
  • Ausübungskonzept für Kontrollrechte (Häufigkeit, Umfang, Eskalation) erstellen.
  • Kontrollrechte regelmässig ausüben und Ergebnisse dokumentieren.
  • Verweigerung von Kontrollrechten als Risikoindikator eskalieren.

Beispielnachweise

  • Audit-/Kontrollrechte-Klauseln je Vertrag
  • Kontrollplan für das laufende Jahr
  • Durchgeführte Audits und Prüfberichte
  • Eskalationsvermerk bei verweigerten Rechten

ISO/IEC 27001 Anker

A.5.19 A.5.20 A.5.36 A.9.2
DORA-CON-006 reviewed initial

Berichtspflichten in IKT-Verträgen regeln

IKT-Verträge enthalten verbindliche Berichtspflichten über Leistungserbringung, Sicherheitslage und Risikoentwicklung.

Themenbereich
IKT-Verträge
Sollzustand
Verträge mit IKT-Dienstleistern definieren regelmässige Berichtspflichten zu SLA-Einhaltung, Sicherheitsvorfällen, Änderungen der Leistungserbringung, Personalveränderungen in Schlüsselfunktionen und Ergebnissen von Sicherheitsprüfungen.
DORA / MaRisk
DORA Art. 29 Abs. 1–2 (Überwachung und Berichtswesen) | MaRisk AT 9 Tz. 8, BT 4 Tz. 5

Umsetzungsschritte

  • Berichtsanforderungen je Vertragskategorie definieren.
  • Berichtsformate, -frequenzen und -empfänger festlegen.
  • Eingehende Berichte prüfen und bei Abweichungen eskalieren.
  • Berichtsqualität regelmässig bewerten und nachsteuern.

Beispielnachweise

  • Berichtsanforderungsmatrix je Vertrag
  • Eingegangene Dienstleisterberichte
  • Prüfprotokoll der Berichtsinhalte
  • Eskalationsnachweise bei Berichtsmängeln

ISO/IEC 27001 Anker

A.5.19 A.5.23 A.5.35 A.5.36

Hinweis

Diese Seite ist eine Umsetzungshilfe und ersetzt keine Rechtsberatung oder verbindliche aufsichtsrechtliche Auslegung.