IKT-Drittparteienrisiko nach DORA

IKT-Drittparteienrisiko: Die vierte Saule der DORA-Verordnung

Kapitel V der DORA-Verordnung (Artikel 28-44) widmet sich dem Management von IKT-Drittparteienrisiken. Finanzunternehmen lagern zunehmend kritische IT-Funktionen an Cloud-Anbieter, Rechenzentren und spezialisierte Softwareanbieter aus. DORA stellt sicher, dass diese Auslagerung nicht zu einem blinden Fleck im Risikomanagement wird — und fuhrt erstmals eine direkte Aufsicht uber kritische IKT-Drittdienstleister (CTPPs) auf EU-Ebene ein.

Die Anforderungen an das Drittparteienrisikomanagement sind umfangreich und betreffen sowohl die vertragliche Gestaltung als auch die laufende Uberwachung und Steuerung von IKT-Dienstleistern. Zusammen mit dem IKT-Risikomanagement bildet das Drittparteienrisiko einen Kernbestandteil der DORA-Compliance.

Grundprinzipien des IKT-Drittparteienrisikomanagements (Art. 28)

Artikel 28 legt die Grundprinzipien fur den Umgang mit IKT-Drittdienstleistern fest. Finanzunternehmen bleiben auch bei Auslagerung jederzeit fur die Einhaltung aller regulatorischen Anforderungen verantwortlich. Die wesentlichen Grundprinzipien umfassen:

• Unveranderte Gesamtverantwortung: Die Auslagerung an IKT-Drittanbieter entbindet das Finanzunternehmen nicht von seiner regulatorischen Verantwortung
• Risikoorientierter Ansatz: Der Umfang der Uberwachung muss dem Risiko angemessen sein, das mit der jeweiligen Auslagerung verbunden ist
• Dokumentation aller Vereinbarungen: Alle IKT-Dienstleistungsvertrage mussen in einem Informationsregister erfasst werden
• Risikoanalyse vor Vertragsabschluss: Vor jeder neuen IKT-Auslagerung muss eine Risikobewertung durchgefuhrt werden

Konzentrationsrisiko (Art. 29)

Artikel 29 adressiert das IKT-Konzentrationsrisiko — das Risiko, dass eine zu starke Abhangigkeit von einem einzelnen IKT-Drittanbieter entsteht. Finanzunternehmen mussen:

• Abhangigkeiten identifizieren: Systematische Analyse, welche kritischen Funktionen von welchen Anbietern abhangen
• Konzentrationsrisiken bewerten: Prufung, ob ein Ausfall eines einzelnen Anbieters mehrere kritische Funktionen gleichzeitig beeintrachtigen wurde
• Diversifizierungsstrategien entwickeln: Massnahmen zur Reduzierung ubermassiger Abhangigkeiten, einschliesslich Multi-Provider-Strategien
• Konzentrationsrisiken in die Risikobewertung einbeziehen: Integration in den IKT-Risikomanagementrahmen nach Art. 6

Das Konzentrationsrisiko ist besonders relevant bei Cloud-Anbietern: Wenn ein Finanzunternehmen alle kritischen Systeme bei einem einzigen Hyperscaler betreibt, kann ein Ausfall dieses Anbieters den gesamten Geschaftsbetrieb gefahrden. Das Informationsregister dient als Datenbasis fur diese Analyse.

Vertragliche Anforderungen an IKT-Dienstleister (Art. 30)

Artikel 30 definiert detaillierte Mindestinhalte fur IKT-Dienstleistungsvertrage. Jeder Vertrag mit einem IKT-Drittanbieter muss mindestens folgende Regelungen enthalten:

• Klare Beschreibung der Dienstleistungen: Leistungsumfang, Service Levels (SLAs), Qualitatsstandards
• Standorte der Datenverarbeitung: Wo werden Daten gespeichert und verarbeitet? Informationspflicht bei Standortwechsel
• Datenschutz und Datensicherheit: Verfugbarkeit, Integritat, Vertraulichkeit und Authentizitat der Daten
• Zugangs-, Pruf- und Inspektionsrechte: Das Finanzunternehmen und seine Aufsichtsbehorde mussen uneingeschrankten Zugang zu den Raumen, Systemen und Daten des Anbieters erhalten
• Kundigungsrechte: Klare Kundigungsklauseln einschliesslich ausserordentlicher Kundigung bei Verstossen gegen Sicherheitsanforderungen
• Mitwirkungspflichten bei Vorfallen: Pflicht des Anbieters, bei IKT-Vorfallen aktiv zu unterstutzen und zeitnah zu informieren
• Unterauftragsvergabe: Regelungen fur Sub-Outsourcing einschliesslich Genehmigungs- und Informationspflichten

Das Informationsregister (Art. 28 Abs. 3)

Eine der operativ anspruchsvollsten Anforderungen ist die Pflicht zur Fuhrung eines vollstandigen Informationsregisters uber alle IKT-Drittanbietervereinbarungen. Das Register muss laufend aktualisiert und jahrlich an die Aufsichtsbehorde gemeldet werden. Es bildet die Grundlage fur die Bewertung von Konzentrationsrisiken und die Identifikation kritischer Drittdienstleister.

Alle Details zum Aufbau und Inhalt des Registers findest du auf unserer Seite zum DORA-Informationsregister.

Ausstiegsstrategien (Art. 28 Abs. 8)

Finanzunternehmen mussen fur alle kritischen oder wichtigen IKT-Auslagerungen Ausstiegsstrategien (Exit-Plane) vorhalten. Diese mussen sicherstellen, dass:

• Ein Anbieterwechsel oder die Ruckholung der Leistungen ohne Unterbrechung der Geschaftstatigkeit moglich ist
• Die Datenportabilitat gewahrleistet ist — alle Daten mussen in einem verarbeitbaren Format exportiert werden konnen
• Ubergangsfristen definiert sind, wahrend derer der alte Anbieter die Dienstleistung weiterfuhrt
• Die Ausstiegsstrategie regelmassig getestet wird, um ihre Durchfuhrbarkeit zu validieren

Kritische IKT-Drittdienstleister — CTPPs (Art. 31-37)

Eine der bedeutendsten Neuerungen von DORA ist die Einfuhrung einer direkten Aufsicht uber kritische IKT-Drittdienstleister (Critical Third-Party Providers, CTPPs) auf EU-Ebene. Bisher konnten Aufsichtsbehorden nur das Finanzunternehmen selbst regulieren — nicht dessen Dienstleister.

Einstufung als CTPP (Art. 31)

Die Europaischen Aufsichtsbehorden (ESAs) bestimmen, welche IKT-Drittanbieter als kritisch eingestuft werden. Die Einstufungskriterien umfassen:

• Systemische Bedeutung: Wie viele Finanzunternehmen nutzen die Dienste des Anbieters?
• Substitutierbarkeit: Gibt es realistische Alternativen, oder ist ein Wechsel praktisch unmoglich?
• Auswirkung eines Ausfalls: Welche Folgen hatte ein Totalausfall des Anbieters fur die Finanzstabilitat?
• Art der Dienstleistungen: Unterstutzt der Anbieter kritische Funktionen wie Zahlungsverkehr, Wertpapierabwicklung oder Kernbankensysteme?

Direkte Aufsicht durch die ESAs (Art. 33-37)

Fur als kritisch eingestufte CTPPs bestellt die federfuhrende ESA einen Lead Overseer, der umfassende Aufsichtsbefugnisse erhalt:

• Informationsrechte: Anforderung detaillierter Berichte uber Sicherheitsmassnahmen, Vorfalle und Risikomanagement-Praktiken
• Inspektionsrechte: Vor-Ort-Inspektionen der Raumlichkeiten, Systeme und Infrastrukturen des CTPP
• Empfehlungen und Anweisungen: Der Lead Overseer kann Empfehlungen zur Verbesserung der IKT-Sicherheit aussprechen und deren Umsetzung uberwachen
• Sanktionsbefugnisse: Bei Nichteinhaltung konnen Zwangsgelder verhangt werden

Unterauftragsverhältnisse (Sub-Outsourcing)

DORA stellt besondere Anforderungen an Unterauftragsketten (Sub-Outsourcing). Wenn ein IKT-Drittanbieter Teile der Dienstleistung an Subunternehmer weitergibt, muss das Finanzunternehmen:

• Uber alle Unterauftragnehmer informiert sein und diese im Informationsregister erfassen
• Zustimmungsrechte fur wesentliche Unterauftragsvergaben vertraglich sichern
• Sicherstellen, dass Pruf- und Zugangsrechte auch gegenuber Unterauftragnehmern bestehen
• Die gesamte Lieferkette in die Risikobewertung einbeziehen

Fur die praktische Umsetzung aller Drittparteienanforderungen empfiehlt sich eine strukturierte Vorgehensweise. Unsere DORA-Anforderungsübersicht zeigt dir, wie die Drittparteienanforderungen in den Gesamtrahmen passen. Welche Sanktionen bei Verstossen drohen, erfährst du auf unserer Strafen-Seite.