ISMS Copilot
DORA mit KI

Verwalten des DORA-IKT-Drittparteienrisikos mit KI

Übersicht

Sie lernen, wie Sie die Anforderungen von DORA an das Risikomanagement durch IKT-Drittanbieter gemäß den Artikeln 28–30 mithilfe von KI umsetzen. Dieser Leitfaden deckt die Erstellung und Pflege des Registers der IKT-Drittdienstleister, die Durchführung vorvertraglicher Bewertungen, die Aufnahme obligatorischer Vertragsklauseln, die Bewertung von Konzentrationsrisiken, die Entwicklung von Ausstiegsstrategien sowie die Einrichtung einer laufenden Überwachung ab – ergänzt durch spezifische ISMS Copilot-Prompts für jede Komponente.

Für wen dieser Leitfaden gedacht ist

Dieser Leitfaden richtet sich an:

  • Manager für Drittparteienrisiken und Vendor-Management-Experten in Finanzunternehmen

  • Beschaffungs- und Rechtsteams, die für Verträge mit IKT-Dienstleistern verantwortlich sind

  • CISOs und CROs, die das Risiko in der IKT-Lieferkette überwachen

  • Compliance-Beauftragte, die sicherstellen, dass Drittparteienvereinbarungen die DORA-Anforderungen erfüllen

  • Berater, die Finanzunternehmen beim DORA-Risikomanagement für Drittanbieter unterstützen

  • IKT-Drittdienstleister, die die Verpflichtungen ihrer Kunden verstehen möchten

Bevor Sie beginnen

Sie benötigen:

  • Ein ISMS Copilot-Konto (kostenlose Testversion verfügbar)

  • Ihr IKT-Asset-Inventar aus Erstellung eines DORA-IKT-Risikomanagement-Frameworks mit KI (identifiziert, welche Assets von Drittanbietern abhängen)

  • Eine Liste Ihrer aktuellen IKT-Drittanbieter und der von ihnen erbrachten Dienstleistungen

  • Zugriff auf bestehende IKT-Dienstleistungsverträge zur Überprüfung

  • Kenntnis darüber, welche IKT-Dienste Ihre kritischen oder wichtigen Funktionen unterstützen

  • Zugang zu Ihren Rechts-, Beschaffungs- und Vendor-Management-Teams

Zeitplan für Vertragsneuverhandlungen: DORA schreibt spezifische Pflichtklauseln in allen IKT-Dienstleistungsverträgen vor. Die Neuverhandlung bestehender Verträge mit großen Anbietern ist oft der zeitaufwendigste Aspekt der DORA-Implementierung. Beginnen Sie frühzeitig. Einige Organisationen berichten, dass Vertragsänderungen mit großen Cloud-Anbietern und Kernsystem-Herstellern 6–12 Monate dauern können.

DORAs Anforderungen an das IKT-Drittparteienrisiko verstehen

Aufschlüsselung Artikel für Artikel

DORA Kapitel V, Abschnitt I (Artikel 28–30) begründet das umfassendste System für das IKT-Drittparteienrisikomanagement in der EU-Finanzregulierung:

Artikel

Titel

Hauptanforderungen

Wichtigste Ergebnisse

Art. 28

Allgemeine Grundsätze

Strategie für das IKT-Drittparteienrisiko, Register aller Anbieter, vorvertragliche Bewertung, laufende Überwachung, Verantwortung des Leitungsorgans

Strategie für das IKT-Drittparteienrisiko, Anbieterregister, Bewertungsverfahren

Art. 29

Vorläufige Bewertung des IKT-Konzentrationsrisikos

Bewertung des Konzentrationsrisikos vor dem Abschluss neuer Vereinbarungen, Berücksichtigung der Substituierbarkeit, des Datenstandorts und der operativen Risiken der Konzentration

Konzentrationsrisikobewertung, Abhängigkeitsanalyse

Art. 30

Wesentliche Vertragsbestimmungen

Obligatorische Vertragsklauseln: SLAs, Prüfungsrechte, Datenstandort, Unterstützung bei Vorfällen, Ausstiegsbestimmungen, Kontrolle von Unteraufträgen

Bibliothek für Vertragsklauseln, Checkliste zur Vertragsprüfung, Vorlagen für Änderungen

Der Umfang des IKT-Drittparteienrisikos unter DORA

DORA vertritt eine weitgefasste Auffassung des IKT-Drittparteienrisikos. Die Anforderungen gelten für alle von Dritten bezogenen IKT-Dienstleistungen, nicht nur für Outsourcing-Vereinbarungen. Dies umfasst:

  • Cloud-Dienste: IaaS-, PaaS-, SaaS-Anbieter (AWS, Azure, Google Cloud, Salesforce usw.)

  • Anbieter von Kernsystemen: Kernbankensysteme, Zahlungsabwicklung, Handelsplattformen

  • Managed Services: Managed Security (SOC), verwalteter IT-Betrieb, verwaltete Netzwerkdienste

  • Datendienste: Datenanalysen, Marktdatenanbieter, Bonitätsprüfungsdienste

  • Kommunikationsdienste: SWIFT, Zahlungsnetzwerke, Messaging-Plattformen

  • Softwareanbieter: Unternehmensanwendungen, Sicherheitstools, Regulatory Technology (RegTech)

  • Infrastrukturanbieter: Rechenzentrums-Colocation, Netzwerkanbindung, CDN-Dienste

Die Drittanbieter-Bestimmungen von DORA gelten für alle IKT-Dienste, auch für solche, die traditionell nicht als Outsourcing eingestuft werden. Überprüfen Sie Ihre gesamte IKT-Lieferkette, nicht nur formell ausgelagerte Dienste. Selbst SaaS-Abonnements und Datenfeeds erfordern eine Bewertung und konforme Vertragsbedingungen.

Schritt 1: Erstellen Sie Ihr IKT-Drittanbieterregister (Artikel 28)

Erstellen des Registers

Artikel 28 Absatz 3 verpflichtet Finanzunternehmen, ein Informationsregister über alle vertraglichen Vereinbarungen über IKT-Dienstleistungen zu führen und zu aktualisieren. Dieses Register muss der zuständigen Behörde auf Anfrage zur Verfügung gestellt und jährlich über standardisierte Vorlagen gemeldet werden.

  1. Öffnen Sie Ihren DORA-Workspace in ISMS Copilot

  2. Erzeugen Sie die Registervorlage:

    "Erstellen Sie eine Vorlage für ein IKT-Drittanbieterregister, die DORA Artikel 28(3) und die zugehörigen technischen Regulierungsstandards (RTS) erfüllt. Fügen Sie Felder hinzu für: Anbieteridentifikation (Name, LEI, Gerichtsbarkeit, Muttergesellschaft), Vertragsidentifikation (Vertragsreferenz, Startdatum, Verlängerungsdatum, Kündigungsfrist), Leistungsbeschreibung (IKT-Dienste, Kategorie, Liefermodell), unterstützte Funktion (kritische oder wichtige Funktion: ja/nein, Name der Geschäftsfunktion), Datenklassifizierung (Art der verarbeiteten Daten, Datenstandort inkl. Land/Region, Transfermechanismen), Weitervergabe (Unterauftragnehmer, Standort, Details), Zusammenfassung der Risikobewertung (Risiko-Rating, letztes Prüfdatum), Vertrags-Compliance-Status (DORA-Pflichtklauseln vorhanden: ja/teilweise/nein), Status der Ausstiegsstrategie (Plan vorhanden: ja/nein, letzter Test) und letztes Überprüfungsdatum. Fügen Sie Erläuterungen für jedes Feld und Beispiele für gängige Anbieter (Cloud, Kernbanking) hinzu."

  3. Befüllen Sie das Register systematisch:

    "Helfen Sie uns, alle IKT-Drittanbieter für unser Register zu identifizieren und zu kategorisieren. Wir sind ein [Unternehmenstyp] und nutzen folgende IKT-Dienste: [Liste bekannter Dienste/Anbieter]. Helfen Sie uns bei der Klassifizierung: Unterstützung kritischer Funktionen, verarbeitete Daten/Standort, zu untersuchende Unteraufträge, Risiko-Rating basierend auf Kritikalität und Abhängigkeit sowie Priorität der Vertragsprüfung. Identifizieren Sie auch oft übersehene Kategorien: DNS-Anbieter, Zertifizierungsstellen, Zahlungsabwickler, Marktdatenfeeds, RegTech-Tools, Backup-Anbieter, Identity-Provider und Telekommunikationsanbieter."

Profi-Tipp: Gleichen Sie Ihr IKT-Asset-Inventar mit Ihren Beschaffungsunterlagen und IT-Ausgaben ab, um sicherzustellen, dass kein Anbieter fehlt. Shadow-IT und SaaS-Abonnements auf Abteilungsebene werden oft übersehen. Etablieren Sie einen Prozess für IT, Einkauf und Fachbereiche, um neue Anbieterbeziehungen an den Registerverantwortlichen zu melden.

Registerpflege und Berichterstattung

Das Register ist keine einmalige Übung. Erstellen Sie laufende Wartungsverfahren:

"Erstellen Sie ein Verfahren zur Pflege des IKT-Drittanbieterregisters gemäß DORA. Berücksichtigen Sie: Auslöser für Aktualisierungen (neue Verträge, Änderungen beim Anbieter oder in Unteraufträgen, Risikoneubewertung), Zuständigkeiten, Qualitätssicherung, jährlicher Review-Prozess, Meldepflichten an die Behörden (RTS-Format), Berichterstattung an das Leitungsorgan (Status, Risikokonzentrationen, Lücken) und Integration in den Einkaufsprozess. Fügen Sie eine Checkliste für die jährliche Registerprüfung bei."

Schritt 2: Durchführung vorvertraglicher Bewertungen (Artikel 28)

Framework für die Due Diligence

Vor dem Abschluss oder der Verlängerung einer IKT-Vereinbarung schreibt DORA eine gründliche Bewertung des Anbieters und der Vereinbarung vor. Die Tiefe der Prüfung sollte proportional zur Kritikalität der unterstützten Funktion sein.

  1. Erzeugen Sie das Bewertungs-Framework:

    "Erstellen Sie ein Framework für die vorvertragliche IKT-Drittanbieterbewertung gemäß DORA Artikel 28. Inklusive: finanzielle Stabilität, IKT-Sicherheitsfähigkeiten und Zertifizierungen (ISO 27001, SOC 2, CSA STAR), Incident-Management, Business Continuity/Disaster Recovery, Datenschutz (DSGVO), Unterauftragsvergabe, regulatorische Historie, geografisches Risiko (Standort, politische Stabilität), Ausstiegsunterstützung und Reputation. Geben Sie für jeden Bereich an: Bewertungsfragen, geforderte Nachweise, Scoring-Kriterien und Warnsignale (Red Flags). Erstellen Sie zwei Prüfungstiefen: Standardprüfung und erweiterte Prüfung für kritische/wichtige Funktionen. Fügen Sie eine Vorlage für den Bewertungsbericht hinzu."

  2. Erstellen Sie einen Fragebogen zur Anbietersicherheit:

    "Erstellen Sie einen detaillierten IKT-Sicherheitsfragebogen zur Bewertung von Drittanbietern unter DORA. Themen: Governance (Sicherheitsleitung, Zertifikate), Zugriffsmanagement (Authentifizierung, privilegierter Zugriff), Datenschutz (Verschlüsselung, Key-Management), Netzwerksicherheit (Segmentierung, Monitoring), Incident-Management (Erkennung, Meldefristen), Business Continuity (BCP/DRP, RTO/RPO), Schwachstellenmanagement (Patching-Zyklen), Change-Management, Personalsicherheit und physische Sicherheit. Inklusive Ja/Nein- und offenen Fragen sowie Bewertungshinweisen."

Kritische oder wichtige Funktionen: DORA stellt höhere Anforderungen, wenn IKT-Dienste kritische oder wichtige Funktionen unterstützen. Die vorvertragliche Prüfung muss gründlicher, die Vertragsklauseln umfassender, die laufende Überwachung intensiver und die Ausstiegsstrategien detaillierter sein. Ihr Asset-Inventar sollte diese Klassifizierung vorgeben.

Bewertung von Anbieterrisiken vor Vertragsabschluss

Nutzen Sie ISMS Copilot, um spezifische Anbieter zu bewerten:

"Wir ziehen [Anbietername/Typ] für [Dienstbescheibung] zur Unterstützung einer [kritischen/wichtigen/standardmäßigen] Funktion in Betracht. Führen Sie eine DORA-konforme vorvertragliche Risikobewertung durch. Berücksichtigen Sie: Fähigkeit zur Einhaltung der DORA-Vertragsklauseln (Art. 30), Datenstandort/Transfer, Transparenz bei Unteraufträgen, Incident-Meldung (4-Stunden-Frist), Auditrechte, Ausstiegs-Feasibility (Lock-in-Risiken), Konzentrationsrisiko (bestehen bereits Abhängigkeiten?) und regulatorische Aspekte für unsere Behörde. Geben Sie eine risikobasierte Empfehlung ab."

Schritt 3: Implementierung obligatorischer Vertragsklauseln (Artikel 30)

Anforderungen nach Artikel 30 verstehen

Artikel 30 legt obligatorische Elemente fest, die in IKT-Dienstleistungsverträgen enthalten sein müssen. Bei Diensten, die kritische oder wichtige Funktionen unterstützen, sind die Anforderungen noch detaillierter. Dies ist oft der arbeitsintensivste Teil.

  1. Erzeugen Sie die Bibliothek für Vertragsklauseln:

    "Erstellen Sie eine umfassende DORA Artikel 30 Vertragsklausel-Bibliothek. Geben Sie für jede Anforderung an: DORA-Referenz, Musterklausel (bereit für rechtliche Prüfung), Erläuterungen und Verhandlungshinweise. Decken Sie alle Art. 30 Anforderungen ab: klare Leistungsbeschreibung mit Zielen, Datenverarbeitungsorte (Speicherung, Backup) inkl. Meldung von Änderungen, Datenschutz/Vertraulichkeit, Verfügbarkeitsgarantien, SLAs mit messbaren Metriken, Vorfallsmeldepflichten (unterstützend für unsere 4-Stunden-Frist), Kooperation mit Behörden, Prüfungsrechte (Vor-Ort-Audits oder Drittzertifikate), Kündigungsbestimmungen und Übergangsfristen. Für kritische Funktionen ergänzen Sie: detaillierte Funktionsbeschreibungen, Pönalen, BCP/DRP-Verpflichtungen, regelmäßiges Reporting, Ausstiegsunterstützung (Datenrückgabe, Migration), Unterauftragsregeln (Zustimmungspflicht) und uneingeschränktes Überwachungsrecht."

  2. Erstellen Sie eine Checkliste zur Vertragsprüfung:

    "Erstellen Sie eine DORA-Checkliste zur Prüfung bestehender IKT-Verträge gemäß Artikel 30. Geben Sie an: Anforderungsbeschreibung, Status (konform/teilweise/nicht konform), Referenz im Vertrag, Lückenanalyse, empfohlener Änderungstext und Priorität. Die Checkliste soll für Rechts- und Einkaufsteams nutzbar sein, um Verträge systematisch zu prüfen und Verträge mit sofortigem Anpassungsbedarf zu identifizieren."

Profi-Tipp: Beginnen Sie mit den wichtigsten Anbietern kritischer Funktionen. Bei großen Playern (Cloud-Hyperscaler, Kernbanken-Provider) müssen Sie mit langen Verhandlungszeiten rechnen. Nutzen Sie ggf. Branchenverbände, da viele große Anbieter Standard-DORA-Addenda entwickeln.

Verhandlungsstrategien

Nutzen Sie ISMS Copilot zur Vorbereitung:

"Erstellen Sie eine DORA-Verhandlungsstrategie für Gespräche mit einem [Anbietertyp, z.B. Cloud-Provider]. Behandeln Sie Einwände: 'Keine individuellen Auditrechte' (Lösung: SOC 2, gepoolte Audits nach Art. 30(3)), 'Keine garantierten Datenstandorte' (DORA-Anforderungen, alternative Ansätze), 'Standard-SLAs sind nicht verhandelbar' (DORA-Minimum, Eskalation), 'Keine unbegrenzte Haftung' (proportionale Ansätze). Geben Sie jeweils die rechtliche Anforderung, Kompromissvorschläge und Eskalationsstrategien an."

Schritt 4: Konzentrationsrisiken bewerten und managen (Artikel 29)

IKT-Konzentrationsrisiko verstehen

Artikel 29 verpflichtet Finanzunternehmen, IKT-Konzentrationsrisiken vor Vertragsabschluss und laufend zu bewerten. Ein solches Risiko entsteht, wenn die übermäßige Abhängigkeit von einem Anbieter (oder einer Gruppe) eine systemische Verwundbarkeit schafft.

  1. Erzeugen Sie das Framework zur Bewertung des Konzentrationsrisikos:

    "Erstellen Sie ein Framework für das IKT-Konzentrationsrisiko gemäß DORA Artikel 29. Inklusive: Definition des Scopes, Methodik für: Einzelanbieter-Abhängigkeit (wie viele kritische Funktionen pro Anbieter?), Gruppenabhängigkeit (Muttergesellschaften), Tech-Stack-Abhängigkeit, geografische Konzentration, Substituierbarkeit, Lieferkettenkonzentration (vierte Parteien) und Marktkonzentration. Geben Sie Kriterien, Metriken, Schwellenwerte und Minderungsstrategien an. Erstellen Sie eine Dashboard-Vorlage für das Leitungsorgan."

  2. Durchführung einer Konzentrationsrisikoanalyse:

    "Führen Sie basierend auf unserem Register eine Konzentrationsrisikoanalyse durch. Anbieter: [Liste]. Analysieren Sie: Mehrfachnutzung für kritische Funktionen, gemeinsame Muttergesellschaften oder Infrastruktur, geografische Cluster, Marktverfügbarkeit von Alternativen, systemisches Risiko bei Ausfall des wichtigsten Anbieters und Abhängigkeiten vierter Parteien (z.B. Nutzung derselben Cloud-Plattform). Bewerten Sie die Risiken und empfehlen Sie Maßnahmen."

Systemisches Konzentrationsrisiko: DORA erkennt an, dass Konzentrationsrisiko nicht nur ein Einzelproblem, sondern ein finanzielles Stabilitätsrisiko ist. Wenn viele Unternehmen denselben Anbieter nutzen, kann dessen Ausfall den Sektor gefährden. Die EU-Aufsichtsbehörden benennen kritische IKT-Drittanbieter (Art. 31–44) und überwachen diese direkt. Ihre Bewertung sollte sowohl Unternehmens- als auch Sektorenebene berücksichtigen.

Minderung des Konzentrationsrisikos

Entwickeln Sie Strategien für identifizierte Risiken:

"Entwickeln Sie Strategien zur Minderung für jedes als hoch eingestufte Konzentrationsrisiko. Berücksichtigen Sie: Multi-Provider-Strategien, Hybrid-Cloud-Ansätze, interne Fallback-Kapazitäten, vertraglichen Schutz (SLAs, Escrow), technologische Portabilität (Vermeidung von Lock-in), geografische Diversifizierung und Roadmaps für schrittweise Änderungen. Geben Sie jeweils Implementierungsschritte, Kosten, Restrisiko und Entscheidungsvorlagen an."

Schritt 5: Entwicklung von Ausstiegsstrategien (Artikel 28)

Anforderungen an Ausstiegsstrategien

DORA schreibt Ausstiegsstrategien für kritische oder wichtige IKT-Dienste vor. Diese müssen sicherstellen, dass eine Kündigung oder ein Wechsel keine Dienste unterbricht, Daten gefährdet oder die Compliance mindert.

  1. Erzeugen Sie Vorlagen für Ausstiegsstrategien:

    "Erstellen Sie Vorlagen für Ausstiegsstrategien gemäß DORA Artikel 28. Inklusive: Auslöser (Anbieterausfall, Vertragsbruch, strategischer Wechsel), Übergangsplanung (Optionen: anderer Anbieter, In-house), Zeitplan/Meilensteine, Datenmigrationsplan (Extraktion, Format, Löschung beim Anbieter), Wissenstransfer (Doku, Schulung), Parallelbetrieb (Dauer, Abnahmekriterien), Ressourcenbedarf (Team, Budget), Kommunikationsplan, Testverfahren für die Alternative und vertragliche Unterstützung. Erstellen Sie Vorlagen für Szenarien wie Cloud-Ausstieg, Kernsystemwechsel und Managed-Service-Übergang."

  2. Etablieren Sie Tests für Ausstiegsstrategien:

    "Erstellen Sie Verfahren zum Testen von Ausstiegsstrategien für kritische Anbieter. Inklusive: Testfrequenz (jährlich), Testarten (Tabletop-Review, Teilextraktion von Daten, Proof-of-Concept mit Alternativanbieter, Vollsimulation), Szenarien (geplanter Ausstieg, Notfallausstieg ohne Kooperation, Insolvenz), Erfolgskriterien, Dokumentation und Berichterstattung an das Leitungsorgan. Erstellen Sie einen Testplan, der in das DORA-Resilienztestprogramm integriert ist."

Tests der Ausstiegsstrategie sollten mit Ihrem allgemeinen Resilienztestprogramm (Art. 24–27) koordiniert werden. Siehe Planung von DORA-Resilienztests mit KI für die Integration in den Gesamtplan.

Schritt 6: Einrichtung einer laufenden Überwachung (Artikel 28)

Kontinuierliche Anbieterüberwachung

DORA verlangt eine laufende Überwachung, nicht nur punktuelle Prüfungen. Die Intensität muss proportional zur Kritikalität sein:

  1. Erzeugen Sie das Monitoring-Framework:

    "Erstellen Sie ein Monitoring-Framework für IKT-Drittanbieter gemäß DORA Artikel 28. Aktivitäten: SLA-Tracking (Verfügbarkeit, Reaktionszeit), Überwachung der Sicherheit (Zertifikate, Schwachstellen, Breaches), finanzielle Stabilität (Ratings, News), Incident-Meldungen des Anbieters (Vollständigkeit), Änderungen bei Unteraufträgen, regulatorische Entwicklungen (Aufsichtsmaßnahmen) und wesentliche Änderungen im Betrieb (Migrationen, Personal). Geben Sie Frequenz (kontinuierlich, monatlich, jährlich), Datenquellen, Verantwortliche und Eskalationskriterien an. Erstellen Sie eine Dashboard-Vorlage."

  2. Definieren Sie Verfahren zur Leistungsprüfung:

    "Erstellen Sie ein Verfahren zur Leistungsprüfung von IKT-Anbietern für DORA-Compliance. Inklusive: Frequenz (quartalsweise für kritische Anbieter), Agenda-Vorlage (SLAs, Sicherheit, Incidents, Unteraufträge), Teilnehmer (Beziehungsmanager, Security, Compliance), Eskalation bei Minderleistung, Dokumentationspflichten und jährliche Zusammenfassung für Leitung/Behörde. Fügen Sie eine Berichtsvorlage bei."

Profi-Tipp: Nutzen Sie für kritische Anbieter Automatisierungstools, die Status, Zertifikate und News-Feeds tracken. Monitoring-Dienste für SOC 2-Reports oder Sicherheitsratings können Ihre manuellen Prozesse sinnvoll ergänzen.

Überwachung von Unteraufträgen

DORA verlangt die Überwachung der gesamten Kette. Ihr Monitoring muss über den direkten Partner hinausgehen:

"Erstellen Sie ein Verfahren zur Überwachung von Unteraufträgen unter DORA. Inklusive: vertragliche Transparenz (Zustimmungspflicht), Offenlegungspflichten des Anbieters, Bewertungskriterien für wesentliche Unterauftragnehmer (analog zum Hauptanbieter), Monitoring von Kettenänderungen, Risikoanalyse bei neuen Subunternehmern, Fourth-Party-Risikobewertung und Weitergabe der DORA-Klauseln in der Kette. Fügen Sie eine Vorlage für ein Register von Unterauftragnehmern bei."

Schritt 7: Governance und Berichterstattung an das Leitungsorgan

Strategie für das IKT-Drittparteienrisiko

Artikel 28 Absatz 2 schreibt eine Strategie für die Nutzung von IKT-Dienstleistungen zur Unterstützung kritischer Funktionen vor, die vom Leitungsorgan genehmigt werden muss:

"Erstellen Sie eine Strategie für das IKT-Drittparteienrisikomanagement gemäß DORA Artikel 28(2). Inhalt: Zweck/Geltungsbereich, Verantwortlichkeiten des Leitungsorgans, Risikoappetit (angemessene Konzentration, geografische Grenzen), Anforderungen an die vorvertragliche Prüfung (Kritikalitätsstufen), Vertragsstandards, Monitoring-Pflichten, Ausstiegs- und BCP-Vorgaben, Rollen (Risk Manager, CISO, Legal), Eskalationswege und jährliche Überprüfung. Die Vorlage muss für die Genehmigung durch das Management geeignet sein."

Berichterstattung an das Leitungsorgan

Halten Sie das Management durch strukturierte Berichte auf dem Laufenden:

"Erstellen Sie ein Berichtspaket für das Leitungsorgan zum IKT-Drittparteienrisiko. Inklusive: Zusammenfassung des Registers (Anzahl kritischer Anbieter, Änderungen), Konzentrations-Dashboard (Abhängigkeitsmetriken), Status der Vertrags-Compliance (Umsetzungsgrad Art. 30), Performance-Übersicht (SLAs, Incidents), Status der Ausstiegsstrategien sowie Empfehlungen für Managemententscheidungen. Erstellen Sie eine Vorlage für das Quartalsreporting und den Jahresbericht."

Fokus der Aufsicht: Das Drittparteienrisiko ist ein Kernschwerpunkt bei DORA-Prüfungen. Seien Sie bereit, Folgendes vorzulegen: ein vollständiges Register, Nachweise über Prüfungen kritischer Anbieter, DORA-konforme Verträge (oder Sanierungspläne), Konzentrationsrisikoanalysen, getestete Ausstiegsstrategien und Monitoring-Belege. Lückenhafte Register und nicht konforme Verträge gehören zu den häufigsten Beanstandungen.

Schritt 8: Berücksichtigung von grenzüberschreitenden Aspekten und Gruppenstrukturen

Gruppenweites Risikomanagement

Wenn Ihr Unternehmen Teil einer Gruppe ist, muss das Risikomanagement koordiniert werden:

"Adressieren Sie gruppenweite Aspekte für DORA. Wir sind Teil von [Gruppenstruktur]. Helfen Sie uns: Konsolidierung des Registers über Einheiten hinweg, Koordination von Verhandlungen bei gemeinsamen Anbietern, Angleichung der Standards für Vorabprüfungen, gemeinsame Nutzung von Monitoring-Ergebnissen und Koordination von Ausstiegsstrategien. Erstellen Sie ein Framework für die Gruppenkoordination."

Grenzüberschreitende Datenstandorte

Artikel 30 fordert die Angabe der Verarbeitungsorte. Analysieren Sie bei grenzüberschreitenden Vereinbarungen die regulatorischen Folgen:

"Analysieren Sie Datenstandorte und grenzüberschreitende Aspekte für unsere IKT-Vereinbarungen unter DORA Artikel 30. Standorte: [Länder/Regionen]. Prüfen Sie: Einhaltung der Offenlegungspflichten, DSGVO-Angemessenheit/Transfermechanismen für Nicht-EU-Länder, lokale Vorschriften für Finanzdaten, Risiken in Gebieten mit schwächerem Rechtsschutz und vertragliche Kontrollen zur Standorttreue. Geben Sie Empfehlungen für jeden risikobehafteten Anbieter ab."

Nächste Schritte

Sie verfügen nun über umfassende Fähigkeiten zum Management des DORA-IKT-Drittparteienrisikos:

  • Vollständiges Drittanbieterregister mit standardisierten Daten

  • Framework für vorvertragliche Bewertungen inkl. Sicherheitsfragebogen

  • Umfassende Klauselbibliothek mit Checkliste für Artikel 30

  • Framework für Konzentrationsrisiken und Minderungsstrategien

  • Vorlagen für Ausstiegsstrategien und Testverfahren

  • Monitoring-Framework mit Leistungsprüfungsverfahren

  • Strategie für das IKT-Drittparteienrisiko und Management-Berichterstattung

Damit ist die fünfteilige DORA-Implementierungsserie abgeschlossen. Die gesamte Serie im Überblick:

  • Erste Schritte der DORA-Implementierung mit KI – Basis: Scope, Governance, GAP-Analyse, Roadmap

  • Erstellung eines DORA-IKT-Risikomanagement-Frameworks mit KI – Säule 1: Art. 6–16 Framework, Strategien, Kontrollen

  • Implementierung der DORA-Vorfallsmeldung mit KI – Säule 2: Art. 17–23 Klassifizierung, Meldung, Ursachenanalyse

  • Planung von DORA-Resilienztests mit KI – Säule 3: Art. 24–27 Testprogramm, TLPT, Behebung

  • Verwalten des DORA-IKT-Drittparteienrisikos mit KI (dieser Leitfaden) – Säule 4: Art. 28–30 Anbieter, Verträge, Konzentrationsrisiko

Für sofort einsatzbereite Prompts zu jedem DORA-Artikel besuchen Sie die DORA Compliance Prompt Library. Eine regulatorische Gesamtübersicht finden Sie im DORA Compliance Guide for Financial Entities.

Hilfe erhalten

Zusätzliche Unterstützung beim Management des Drittparteienrisikos:

  • Fragen Sie ISMS Copilot: Nutzen Sie Ihren DORA-Workspace für anbieterspezifische Bewertungen, Klauselanalysen und Konzentrationsberichte.

  • Verträge hochladen: Erhalten Sie gezielte Analysen zur Einhaltung von Artikel 30, indem Sie bestehende Verträge zur detaillierten Prüfung hochladen.

  • Verhandlungsvorbereitung: Nutzen Sie ISMS Copilot, um Positionspapiere und alternative Klauselvorschläge für Verhandlungen zu entwerfen.

  • Ergebnisse validieren: Prüfen Sie alle Vertragsklauseln mit Ihrer Rechtsabteilung und verifizieren Sie Kriterien gegen die RTS zu DORA Art. 28–30.

Beginnen Sie noch heute mit dem Management Ihrer IKT-Drittanbieterrisiken. Öffnen Sie Ihren DORA-Workspace unter chat.ismscopilot.com und starten Sie mit Ihrem Anbieterregister. Mit dem tiefen Fachwissen von ISMS Copilot bringen Sie jede Anbieterbeziehung systematisch in Einklang mit den Vorschriften und bauen eine belastbare IKT-Lieferkette auf.

War das hilfreich?