Zum Inhalt springen
Resilience Platform DORA · MaRisk · ISO 27001

IKT-Drittparteienrisiko

Drittparteienrisiken kontrolliert und prüfbar steuern.

Von Vertragsinformationen über Leistungsketten bis zu Exit-Strategien, Kontrollrechten und Informationsregisterfähigkeit.

Strategie zum IKT-Drittparteienrisiko

  • Eine dokumentierte Strategie zum IKT-Drittparteienrisiko steuert die systematische Erfassung, Bewertung und Überwachung aller IKT-Drittdienstleister.
  • Die Multi-Vendor-Perspektive reduziert Konzentrationsrisiken und erhöht die Exit-Fähigkeit.
  • Strategische Ziele, Massnahmenplan und Governance-Rahmen sind mit DORA, MaRisk und ISO 27001 abgestimmt.
  • Die Strategie wird vom Leitungsorgan freigegeben und mindestens jährlich überprüft.

Strategie zum IKT-Drittparteienrisiko

Die Strategie definiert Ziele, Prinzipien, Risikoappetit und den Rahmen für die Steuerung von IKT-Drittparteienrisiken. Sie wird vom Leitungsorgan freigegeben und jährlich überprüft.

Multi-Vendor-Perspektive

Die Multi-Vendor-Strategie bewertet Abhängigkeiten, Konzentrationsrisiken und Substitutionsmöglichkeiten. Sie steuert die Diversifikation der Dienstleisterlandschaft.

Strategische Ziele

Klare, messbare Ziele für die IKT-Drittparteienrisikosteuerung, abgeleitet aus der Geschäftsstrategie und dem gesamtinstitutischen Risikoappetit.

Strategischer Massnahmenplan

Ein mehrjähriger Massnahmenplan mit Meilensteinen, Verantwortlichkeiten, Ressourcenbudget und Erfolgskriterien für die Umsetzung der Strategie.

Rollen und Verantwortlichkeiten

Eindeutige Zuordnung von Verantwortlichkeiten für die strategische und operative Steuerung von IKT-Drittparteienrisiken.

Einordnung in Risikomanagementrahmen

Die IKT-Drittparteienrisikostrategie ist in den gesamtinstitutischen Risikomanagementrahmen und das DORA-Governance-Framework eingebettet.

Governance Framework

Das Framework definiert Entscheidungswege, Eskalationsprozesse, Berichtslinien und Freigabebefugnisse für die Steuerung von IKT-Drittparteienrisiken.

Strategische Ziele

  • Transparenz über IKT-Dienstleister und Abhängigkeiten herstellen
  • Risiken aus IKT-Dienstleistungen wirksam steuern
  • Kritische oder wichtige Funktionen besonders schützen
  • Konzentrationsrisiken reduzieren
  • Exit-Fähigkeit sicherstellen
  • Datenqualität im Informationsregister stärken
  • Management-Entscheidungen nachvollziehbar machen

SLA-Framework

Ein standardisiertes SLA-Framework stellt sicher, dass alle IKT-Drittdienstleister einheitliche Mindestanforderungen an Verfügbarkeit, Reaktionszeiten, Sicherheit und Berichterstattung erfüllen.

Verfügbarkeitsklassen

Definition von Verfügbarkeitszielen (z. B. 99,9 %, 99,99 %) je nach Kritikalität der Dienstleistung.

Reaktions- und Wiederherstellungszeiten

Gestaffelte Zeitvorgaben für Incident-Reaktion, Eskalation und vollständige Wiederherstellung.

Berichterstattung

Regelmässige SLA-Berichte mit Kennzahlen zu Verfügbarkeit, Ausfällen, Sicherheitsvorfällen und Massnahmen.

Sanktionen und Boni

Vertraglich festgelegte Sanktionen bei SLA-Verletzung sowie Bonusregelungen bei Übertreffung der Ziele.

Monitoring der IKT-Drittparteienrisiken

Ein kontinuierlicher Monitoring-Prozess überwacht die Einhaltung der vertraglichen und regulatorischen Anforderungen aller IKT-Drittdienstleister.

Operatives Monitoring

Tägliche Überwachung von Verfügbarkeit, Performance und Sicherheitsvorfällen der kritischen Dienstleister.

Risikobasiertes Monitoring

Monitoring-Intensität richtet sich nach Kritikalität der Dienstleistung und Risikobewertung des Dienstleisters.

Berichtszyklen

Monatliche Berichte für kritische, vierteljährliche für wichtige Dienstleister mit Eskalationsstufen bei Zielverfehlung.

Monitoring-Automation

Automatisierte Kennzahlenerhebung und Alarmierung bei Überschreitung von Schwellwerten für frühzeitige Gegenmassnahmen.

Hinweis

Diese Seite ist eine Umsetzungshilfe und ersetzt keine Rechtsberatung oder verbindliche aufsichtsrechtliche Auslegung.