IKT-Drittparteienrisiko · Nachweise

Nachweise für das IKT-Drittparteienrisiko

12 strukturierte Nachweise decken den vollständigen Lebenszyklus der IKT-Drittparteiensteuerung ab – von Inventar bis Massnahmenverfolgung.

Management-Zusammenfassung

12 Evidence-Items decken alle Phasen des IKT-Drittparteienrisikomanagements ab.
Jeder Nachweis hat eine definierte verantwortliche Rolle und einen festen Review-Zyklus.
Die ISO-Control-Anchor-Verbindung erleichtert die Integration in bestehende ISMS-Strukturen.
Die Nachweise sind auf DORA-Prüfungen und Aufsichtsanfragen ausgerichtet.

EVD-TPR-001 IKT-Drittparteien-Nachweise

IKT-Dienstleisterinventar

Vollständiges, aktuelles Verzeichnis aller IKT-Drittdienstleister mit Verträgen, Leistungsbeschreibungen, Verantwortlichen, Kritikalität und Registerrelevanz.

Rolle: Fachbereich / IT-Strategie · Zyklus: Quartalsweise · ISO: A.5.19, A.5.33

IKT-Dienstleisterinventar in aktueller Version Vertragsliste mit IKT-Bezug Dienstleistungsklassifikation

EVD-TPR-002 IKT-Drittparteien-Nachweise

Dienstleistungsklassifikation

Dokumentierte Abgrenzung und Klassifikation von IKT-Dienstleistungen gegenüber sonstigen Fremdleistungen.

Rolle: Compliance / Auslagerungsmanagement · Zyklus: Jährlich · ISO: A.5.19, A.5.33

Abgrenzungsrichtlinie Klassifikationsmatrix je Vertrag Bewertungsprotokoll

EVD-TPR-003 IKT-Drittparteien-Nachweise

Kritikalitätsbewertung

Bewertung der Kritikalität jeder IKT-Drittdienstleistung hinsichtlich ihrer Bedeutung für kritische oder wichtige Funktionen.

Rolle: Fachbereich / IT-Strategie · Zyklus: Jährlich · ISO: A.5.19, A.5.20

Kritikalitätsmatrix Funktionslandkarte Bewertungsprotokoll mit Begründung

EVD-TPR-004 IKT-Drittparteien-Nachweise

Vertragsprüfung

Nachweis der Prüfung von Verträgen auf DORA-Konformität, insbesondere hinsichtlich Mindestklauseln, Kontrollrechten und Exit-Bestimmungen.

Rolle: Einkauf / Rechtsabteilung · Zyklus: Bei Vertragsabschluss und -änderung · ISO: A.5.19, A.5.20, A.5.31

Vertragsprüf-Checkliste Prüfprotokoll Abweichungsregister Freigabevermerk

EVD-TPR-005 IKT-Drittparteien-Nachweise

DORA-Klauselmatrix

Matrix, die den Abgleich zwischen DORA-Vertragsanforderungen und den tatsächlichen Vertragsklauseln je Dienstleister dokumentiert.

Rolle: Einkauf / Rechtsabteilung · Zyklus: Jährlich oder bei Vertragsänderung · ISO: A.5.19, A.5.20

Klauselmatrix mit DORA-Referenzen Abdeckungsgrad je Dienstleister Abweichungsanalyse

EVD-TPR-006 IKT-Drittparteien-Nachweise

Unterauftragnehmerübersicht

Verzeichnis der wesentlichen Unterauftragnehmer kritischer IKT-Drittdienstleister mit Information über Leistungsumfang und Abhängigkeiten.

Rolle: Auslagerungsmanagement · Zyklus: Halbjährlich · ISO: A.5.19, A.5.20, A.5.21

Unterauftragnehmerverzeichnis Leistungskettendiagramm Konzentrationsrisikoanalyse

EVD-TPR-007 IKT-Drittparteien-Nachweise

Exit-Strategie

Dokumentierte Exit-Strategie für jede kritische IKT-Drittdienstleistung mit Szenarien, Abhängigkeiten, Übergangsfristen und Verantwortlichkeiten.

Rolle: Fachbereich / IT-Strategie / Auslagerungsmanagement · Zyklus: Jährlich · ISO: A.5.19, A.5.29, A.5.30

Exit-Strategie je Dienstleistung Abhängigkeitsanalyse Gremienfreigabe

EVD-TPR-008 IKT-Drittparteien-Nachweise

Exit-Testprotokoll

Nachweis der Durchführung und Ergebnisse von Exit-Tests für kritische IKT-Drittdienstleistungen.

Rolle: IT-Betrieb / BCM · Zyklus: Jährlich · ISO: A.5.29, A.5.30, A.8.34

Testplan Testprotokoll mit Ergebnissen Verbesserungsmassnahmen Management-Freigabe

EVD-TPR-009 IKT-Drittparteien-Nachweise

Konzentrationsrisikoanalyse

Analyse von Konzentrationsrisiken auf Dienstleister-, Branchen-, Regional- und Technologieebene.

Rolle: Risikocontrolling / Auslagerungsmanagement · Zyklus: Jährlich · ISO: A.5.19, A.5.21, A.5.22

Konzentrationsrisikoanalyse Massnahmenplan Reporting an das Leitungsorgan

EVD-TPR-010 IKT-Drittparteien-Nachweise

Dienstleister-Kontrollbericht

Bericht über die Ausübung von Kontroll- und Auditrechten bei IKT-Drittdienstleistern mit Ergebnissen und Massnahmen.

Rolle: Interne Revision / Auslagerungsmanagement · Zyklus: Jährlich · ISO: A.5.19, A.5.20, A.9.2

Kontrollplan Auditbericht Massnahmenverfolgung Management-Freigabe

EVD-TPR-011 IKT-Drittparteien-Nachweise

Informationsregisterauszug

Aktueller Auszug aus dem Informationsregister mit allen DORA-pflichtigen Angaben zu IKT-Drittdienstleistungen.

Rolle: Auslagerungsmanagement / Informationsregister-Beauftragter · Zyklus: Quartalsweise · ISO: A.5.33, A.5.34, A.5.36

Registerauszug Datenqualitätsbericht Abgleichprotokoll mit Quellsystemen

EVD-TPR-012 IKT-Drittparteien-Nachweise

Massnahmenverfolgung TPR

Systematische Verfolgung aller Massnahmen und Befunde aus Audits, Risikobewertungen, Vertragsprüfungen und Kontrollen im TPR-Umfeld.

Rolle: Auslagerungsmanagement / Qualitätsmanagement · Zyklus: Monatlich · ISO: A.5.35, A.5.36, A.10.1, A.10.2

Massnahmen- und Befundtracking Review-Protokoll Eskalationsnachweise Wirksamkeitsnachweise

Quellen und Stand

Review-Status: reviewed
Letzte Prüfung: 2026-05-13

DORA Art. 27 — Risikobewertung Stand: 2022-12-14
ISO/IEC 27001:2022 — Informationssicherheit Stand: 2022-10

Diese Seite ist eine eigene Umsetzungshilfe auf Basis öffentlicher Quellen. Sie ersetzt keine Rechtsberatung und keine verbindliche Auslegung durch Aufsicht oder Rechtsberatung.

Hinweis: Diese Inhalte sind Umsetzungshilfen und kuratierte Hinweise. Sie ersetzen keine Rechtsberatung oder verbindliche aufsichtsrechtliche Auslegung.