Alle Beiträge

ICT Third-Party Risk Management unter DORA

Mit dem Digital Operational Resilience Act (DORA) rückt das ICT Third-Party Risk Management (TPRM) stärker in den Fokus der Aufsichtsbehörden als je zuvor. Finanzunternehmen sind heute in hohem Maße von externen IT- und Cloud-Dienstleistern abhängig. Genau hier setzt DORA an: Risiken aus IKT-Dienstleistungen sollen systematisch identifiziert, mitigiert und überwacht werden.

Finanzunternehmen sind heute stark abhängig von externen ICT-Dienstleistern, etwa Cloud-Anbietern, SaaS-Plattformen oder Managed Service Providern. Störungen oder Sicherheitsvorfälle bei diesen Drittparteien können kritische Geschäftsprozesse unmittelbar beeinträchtigen.

DORA verpflichtet Unternehmen daher, Drittparteienrisiken aktiv zu managen, anstatt sie nur vertraglich auszulagern.

Zentrale DORA-Anforderungen an das ICT Third-Party Risk Management

1. Klassifizierung kritischer und wichtiger IKT-Dienstleistungen

DORA verlangt eine risikobasierte Einstufung, welche IKT-Dienstleistungen als kritisch oder wichtig gelten. Dies hängt davon ab, in wie weit die IKT-Dienstleistung kritische und wichtige Geschäftsfunktionen unterstützen. Geschäftsfunktionen gelten als kritisch, wenn deren Ausfall zu Verstößen gegen regulatorische Pflichten, erhebliche finanzielle Auswirkungen oder Beeinträchtigung des Geschäftsbetriebs führen.

DORA erwartet eine systematische Analyse zur Bestimmung der kritischen und wichtigen Geschäftsfunktionen. Dies Ergebnisse müssen nachvollziehbar dokumentiert werden.

2. Risikoanalysen und Due Diligence nach DORA

Vor der Beauftragung eines IKT-Dienstleisters müssen Unternehmen eine strukturierte Risikoanalyse durchführen. Diese umfasst:

  • Informationssicherheit
  • Business Continuity Management
  • Konzentrationsrisiko
  • Interessenkonflikte
  • Vertragliche und regulatorische Risiken
  • Steuerungsfähigkeiten
  • Risiken aus IKT-Unterauftragsvergaben

Für identifizierte Risiken müssen organisatorische und technische Schutzmaßnahmen definiert und umgesetzt werden.

3. Vertragsanforderungen für ICT-Dienstleister

Verträge mit IKT-Drittparteien müssen DORA-konforme Mindestanforderungen erfüllen, darunter:

  • klare Leistungsbeschreibung
  • Vertragsbeginn, -End und Kündigungsfrsiten
  • Kündigungsmodalitäten
  • Regelungen IKT-Unterauftragsvergabe
  • Pflicht zur IKT-Vorfallmeldung
  • Audit-, Zugangs- und Informationsrechte
  • Exit- und Substitutionsklauseln

Viele bestehende Verträge erfüllen diese Anforderungen nicht vollständig.

4. Vollständige Transparenz über ICT-Dienstleister

Unternehmen müssen ein vollständiges Verzeichnis (Informationsregister) aller ICT-Drittparteien und IKT-Dienstleistungen führen, einschließlich:

  • Geschäftsfunktionen und deren Kritikalität
  • Inforamtionen zu Gruppenunternehmen
  • Vertragsdaten
  • Detaillierte Informationen zu den Risiken von IKT-Dienstleistungen
  • Unterauftragnehmer und Lieferketten
  • Unternehmenseigene Definitionen hinsichtlich IKT-Drittparteienrisikomanagement

Dieses Register ist jederzeit aktuell zu halten und den Aufsichtsbehörden und Prüfern auf Anfrage in einem vorgegeben Format zur Verfügung zu stelelen.

5. Laufende Überwachung von ICT-Drittparteien

DORA fordert eine kontinuierliche Überwachung der Drittparteien, z. B. durch:

  • regelmäßige Risiko- und Leistungsbewertungen
  • Monitoring und Gegenmaßnahmen bei Schlechtleistung
  • Eskalationsprozesse

5. Exit- und Substitutionsstrategien

Unternehmen müssen nachweisen können, dass sie sich von kritischen IKT-Dienstleistungen lösen können, ohne den Geschäftsbetrieb wesentlich zu beeinträchtigen. Dazu gehören:

  • dokumentierte Exit-Pläne
  • realistische Substitutionsszenarien
  • Datenmigrations- und Übergangskonzepte

Typische Herausforderungen bei der DORA-Umsetzung

In der Praxis zeigen sich häufig:

  • fehlende Transparenz über IKT-Lieferketten
  • isolierte Prozesse zwischen IT, Einkauf, Risiko, Rechts und Compliance
  • hoher manueller Dokumentationsaufwand
  • historisch gewachsene, nicht DORA-konforme Verträge

Best Practices für ein DORA-konformes Third-Party Risk Management

Ein wirksames ICT Third-Party Risk Management unter DORA ist:

  • integriert in ISMS, BCM und TPRM
  • Tool-gestützt und autoamtisiert
  • transparent und nachvollziehbar

So lassen sich regulatorische Anforderungen nachhaltig und prüfungssicher umsetzen.

Fazit: DORA als Chance für bessere Resilienz

DORA macht ICT Third-Party Risk Management zu einem zentralen Bestandteil digitaler Resilienz. Unternehmen, die frühzeitig Transparenz schaffen, Risiken strukturiert steuern und ihre Lieferketten aktiv überwachen, erfüllen nicht nur regulatorische Vorgaben, sondern stärken ihre operative Stabilität langfristig

Mit Leno TPRM führen Sie eine vollständige Software fürs Auslagerungsmanagement und TPRM ein - KI-gestützt, benutzerfreundlich und immer aktuell.

👉Nächster Beitrag

Lernen Sie Leno kennen

Demo buchen
Vereinbaren Sie noch heute einen Termin, um Leno kennenzulernen.

Wie können wir Ihnen helfen?
Kontaktieren Sie uns.

Zu unserem Trust Center
UnternehmenKarriereAktuelles
Kontakt
© 2025 LeanMind. All rights reserved.