top of page
Suche

IKT-Drittparteien-RiskManagement nach DORA

ree

Die Finanzbranche ist seit Jahren von einem stetig wachsenden Einsatz externer IT-Dienstleister geprägt. Cloud-Plattformen, spezialisierte Softwarelösungen, Outsourcing von Rechenzentren oder Anbieter für Cyber-Security sind längst zentrale Bestandteile der operativen Prozesse. Diese Entwicklung steigert Effizienz und Flexibilität, schafft aber auch neue Risiken: Je stärker die Abhängigkeit von wenigen Dienstleistern, desto größer die potenziellen Auswirkungen im Falle von Störungen oder Ausfällen.


Mit der DORA-Verordnung (Digital Operational Resilience Act) schafft die EU einen einheitlichen Rechtsrahmen für die digitale operationale Resilienz. Ein zentrales Element ist das Risikomanagement von IKT-Drittparteien. Alle beaufsichtigten Finanzunternehmen müssen künftig systematisch erfassen, bewerten und überwachen, welche externen Anbieter ihre kritischen Geschäftsprozesse unterstützen.


Ausgangslage: Abhängigkeit von Drittparteien

Auslagerungen an externe IT-Anbieter sind in der Regel nicht mehr nur unterstützende Hilfsleistungen. Oft handelt es sich um Kernfunktionen:


  • Cloud-Provider hosten zentrale Datenbestände.

  • Kernbankensoftware wird von spezialisierten Unternehmen betrieben.

  • Zahlungsverkehrsplattformen sichern die Abwicklung des täglichen Geschäfts.

  • IT-Sicherheitslösungen stammen von hochspezialisierten Anbietern.


In vielen Fällen existieren keine realistischen Alternativen oder Ausweichmöglichkeiten. Fällt ein solcher Dienstleister aus, kann das zu gravierenden Unterbrechungen führen. Auch die Gefahr von Konzentrationsrisiken ist hoch: Viele Institute stützen sich auf dieselben großen Cloud-Anbieter.


Kernanforderungen aus DORA

DORA verlangt, dass Finanzunternehmen ihre Risiken im Zusammenhang mit IKT-Drittparteien umfassend steuern. Dies umfasst mehrere Pflichtbereiche:


1. Risikobewertung vor Vertragsabschluss

Vor jeder Auslagerung muss geprüft werden, welche Bedeutung die Dienstleistung hat. Insbesondere ist zu klären:


  • Betrifft der Service wesentliche oder kritische Funktionen?

  • Entstehen neue Konzentrationsrisiken?

  • Ist die Stabilität des Dienstleisters langfristig gewährleistet?


Nur auf dieser Grundlage darf eine Entscheidung für oder gegen den Vertrag erfolgen.


2. Vertragliche Mindestinhalte


DORA schreibt vor, dass Auslagerungsverträge bestimmte Inhalte zwingend enthalten müssen. Dazu gehören:


  • Zuweisung von Verantwortlichkeiten zwischen Institut und Dienstleister.

  • Sicherheitsanforderungen, insbesondere in Bezug auf Verfügbarkeit, Vertraulichkeit und Integrität.

  • Rechte auf Audit und Zugang zu relevanten Informationen.

  • Regelungen zur Untervergabe von Leistungen an weitere Subdienstleister.

  • Klar definierte Exit-Strategien, um den Dienstleisterwechsel im Notfall zu ermöglichen.


3. Kontinuierliches Monitoring

Die Verantwortung endet nicht mit der Vertragsunterschrift. Finanzunternehmen müssen ihre Anbieter laufend überwachen. Dazu gehören:


  • Leistungskennzahlen und Verfügbarkeitsberichte.

  • Sicherheitsprüfungen und Compliance-Checks.

  • Dokumentierte Prozesse für Störungs- und Incident-Management.


4. Kritische Anbieter unter EU-Aufsicht

Die EU-Aufsichtsbehörden können bestimmte IKT-Drittparteien als „kritisch“ einstufen. Diese Anbieter stehen dann unter direkter Regulierung und Kontrolle durch ESMA, EBA oder EIOPA. Finanzunternehmen müssen diese Einstufung berücksichtigen und entsprechende Informations- und Prüfpflichten erfüllen.


Praktische Umsetzung im Unternehmen

Die regulatorischen Vorgaben sind weitreichend. Für die Umsetzung in der Praxis haben sich folgende Schritte etabliert:


Schritt 1: Aufbau eines zentralen Registers

Alle IKT-Dienstleister müssen erfasst werden. Das Register bildet die Grundlage für Transparenz über Abhängigkeiten und dient als Ausgangspunkt für die Risikobewertung.


Schritt 2: Risikoklassifizierung

Dienstleister werden nach Kritikalität eingestuft. Unkritische Services (z. B. reine Standardtools ohne Bezug zu Kernprozessen) können mit reduziertem Aufwand behandelt werden. Kritische Drittparteien müssen dagegen eng überwacht werden.


Schritt 3: Standardisierte Due-Diligence-Prüfungen

Vor Vertragsabschluss ist eine strukturierte Analyse erforderlich: Finanzielle Stabilität des Anbieters, Sicherheitszertifizierungen, Erfahrung im Sektor und rechtliche Rahmenbedingungen.


Schritt 4: Verträge mit DORA-konformen Klauseln

Verträge müssen systematisch überprüft und ggf. angepasst werden. Häufig ist es notwendig, standardisierte Vertragsmuster zu entwickeln, die alle von DORA geforderten Punkte abdecken.


Schritt 5: Kontinuierliches Monitoring und Audits

Dienstleister werden regelmäßig bewertet. Dazu gehören jährliche Risikoüberprüfungen, laufendes Incident-Monitoring und vereinbarte Prüfungen der Sicherheitsarchitektur.


Schritt 6: Exit-Strategien

Für kritische Anbieter sind konkrete Ausstiegspläne erforderlich. Das kann ein alternativer Anbieter sein oder ein interner Fallback-Plan. Entscheidend ist, dass diese Strategien dokumentiert, geprüft und realistisch umsetzbar sind.


Herausforderungen in der Umsetzung

Die Anforderungen klingen klar, sind in der Praxis aber anspruchsvoll:


  • Vertragsverhandlungen mit großen AnbieternCloud-Provider oder internationale Konzerne sind oft nicht bereit, individuelle Vertragsklauseln aufzunehmen. Finanzunternehmen müssen hier Strategien entwickeln, um dennoch regulatorische Vorgaben zu erfüllen.

  • Transparenz über SubdienstleisterViele Anbieter arbeiten mit komplexen Lieferketten. Die Sichtbarkeit in diese Strukturen ist begrenzt, obwohl DORA hier klare Anforderungen stellt.

  • Integration ins bestehende RisikomanagementDrittparteien-Risiken dürfen nicht isoliert betrachtet werden. Sie müssen in das Gesamtbild von IKT-Risiken, Business Continuity und Cyber-Resilienz integriert werden.


Bedeutung für die Branche


DORA macht deutlich: Risiken können nicht einfach an den Dienstleister „ausgelagert“ werden. Die Verantwortung bleibt immer beim Finanzunternehmen selbst. Damit verschiebt sich auch die Sichtweise auf Outsourcing:


  • Nicht nur Kosten und Effizienz zählen, sondern auch Resilienz und Steuerbarkeit.

  • Transparenz und Kontrolle über externe Abhängigkeiten werden zu einer zentralen Management-Aufgabe.

  • Ein robustes Drittparteien-Risikomanagement ist kein reiner Compliance-Prozess, sondern ein Beitrag zur Stabilität des gesamten Finanzsystems.


Fazit

IKT-Drittparteien sind für Finanzunternehmen unverzichtbar – gleichzeitig stellen sie ein wesentliches Risiko dar. Mit DORA verpflichtet die EU die Branche, dieses Risiko systematisch und dauerhaft zu steuern.


Wer heute ein belastbares Drittparteien-Risikomanagement aufbaut, erfüllt nicht nur regulatorische Anforderungen. Er schafft auch die Grundlage für operative Stabilität, stärkt das Vertrauen von Aufsichtsbehörden und Kunden und erhöht die eigene Handlungsfähigkeit im Krisenfall.

Kommentare

bottom of page