Zum Inhalt springen
Resilience Platform DORA · MaRisk · ISO 27001

DORA Kapitel VIII

Kritische IKT-Drittdienstleister gesondert steuern.

Für kritische Drittdienstleister gelten erweiterte Anforderungen an Aufsicht, Ueberwachung und Kontrolle.

Management-Zusammenfassung

  • Kritische IKT-Drittdienstleister (CTPPs) unterliegen einem erweiterten Aufsichtsrahmen nach DORA Kapitel VIII.
  • Die ESAs haben 19 CTPPs designiert (Stand November 2025) — Institute muessen JET-Oversight und substituierbare Alternativen pruefen.
  • Vertraege mit CTPPs muessen erweiterte Auditrechte, Incident-Kommunikation und Exit-Klauseln enthalten.
  • Konzentrationsrisiken bei CTPPs sind systemisch relevant und erfordern aktive Substituierbarkeitsplanung.

Sollzustand CTPP-Management

  • CTPP-Liste der ESAs wird monatlich geprueft und auf institutsspezifische Relevanz bewertet.
  • Vertraege mit CTPPs enthalten: Auditrechte, Incident-Meldeverpflichtungen, Exit-Klauseln, Unterauftragnehmer-Kontrolle.
  • JET-Oversight-Prozesse sind etabliert: Kommunikation mit Joint Examination Team, Befolgung von Empfehlungen.
  • Substituierbarkeitsanalyse fuer jeden CTPP: Alternative Anbieter identifiziert, Wechselkosten und -zeiten bewertet.
  • Konzentrationsrisiko-Monitoring: Anteil kritischer Funktionen je CTPP, Branchenabhaengigkeit, geografische Konzentration.

Umsetzungsschritte

  • CTPP-Designation pruefen: Abgleich der ESAs-Liste mit eigenen Drittdienstleistern.
  • Due-Diligence erweitern: Zusaetzliche Sicherheitsnachweise, Finanzstabilitaet, Resilienz-Testergebnisse vom CTPP einholen.
  • Vertragsanpassung: Erweiterte Klauseln fuer Audit, Incident, Exit, Unterauftragnehmer (DORA Art. 30).
  • JET-Oversight vorbereiten: Ansprechpartner benennen, Kommunikationswege definieren, Empfehlungen tracken.
  • Exit-Strategien entwickeln: Wechselplan, Datenmigration, Parallelbetrieb, Fristen (mindestens 6 Monate Vorlauf).
  • Konzentrationsrisiken adressieren: Diversifizierung pruefen, Single-Point-of-Failure vermeiden, Branchenabhaengigkeit reduzieren.

Typische Luecken bei CTPPs

  • Fehlende Differenzierung zwischen Standard-Drittdienstleister und CTPP in Vertraegen und Prozessen.
  • Unzureichende JET-Kommunikation: Kein definierter Ansprechpartner, verpasste Deadlines fuer Empfehlungsumsetzung.
  • Fehlende Exit-Strategien: Kein substituierbarer Anbieter identifiziert, Wechselkosten unbekannt.
  • Unklare Incident-Kommunikation: Keine verbindlichen Meldefristen oder Eskalationswege mit CTPP vereinbart.
  • Konzentrationsrisiko unterschaetzt: Mehrere kritische Funktionen beim gleichen CTPP ohne Diversifizierungsplan.

Sollzustand

  • Kritische Drittdienstleister sind identifiziert.
  • Erweiterte Ueberwachungs- und Kontrollrechte sind vertraglich gesichert.
  • Aufsichtsrechtliche Zusammenarbeit ist gewährleistet.
  • Exit-Strategien fuer kritische Abhängigkeiten existieren.

Umsetzungsschritte

  • Kritikalitätskriterien anwenden.
  • Verträge fuer kritische Drittparteien anpassen.
  • Aufsichtskommunikation vorbereiten.
  • Konzentrationsrisiken adressieren.

Management Summary

  • Governance und Verantwortlichkeiten sind klar auf Management-Ebene verankert.
  • Risikobasierte Umsetzung und Nachweislogik sind verbindlich definiert.
  • Wesentliche Feststellungen werden regelmaessig in Steuerungsgremien berichtet.
  • Abweichungen werden mit Fristen, Ownern und Reifegradwirkung nachverfolgt.

Typische Lücken & ISO/IEC 27001-Verbindung

  • Typische Lücken: unklare Ownership, uneinheitliche Datenstaende, fehlende End-to-End-Nachweise.
  • ISO/IEC 27001:2022 Bezug auf Rollen, Kontrollen, Lieferantensteuerung und kontinuierliche Verbesserung herstellen.
  • Kontrollmapping zwischen DORA-Anforderung, interner Richtlinie und Evidenz prozessual absichern.

ISO 27001 Verbindung

ISO/IEC 27001:2022 bietet den Steuerungsrahmen fuer Lieferantenmanagement, das CTPP-Anforderungen operationalisiert.

  • A.5.19: Informationssicherheit in Lieferantenbeziehungen — Due Diligence fuer CTPPs
  • A.5.20: Adressierung von Informationssicherheit in Vereinbarungen mit Lieferanten — erweiterte Vertragsklauseln
  • A.5.21: Verwaltung von Informationssicherheit in der IKT-Lieferkette — CTPP-Subcontractor-Kontrolle
  • A.5.22: Ueberwachung und Review von Informationssicherheitsleistungen von Lieferanten — JET-Oversight-Integration
  • A.5.23: Aenderungsmanagement von Informationssicherheitsdiensten — CTPP-Wechsel und Exit-Strategien
  • A.8.21: Sicherheit von Netzwerkdiensten — Netzwerksegmentierung bei CTPP-Zugaengen
  • A.8.22: Isolierung von Diensten — Trennung kritischer Funktionen zwischen CTPPs

ISO/IEC 27001:2022 dient als Kontrollanker und Management-System-Referenz. Die Verbindung zu ISO 27001 unterstützt integrierte Resilienz- und Sicherheitsprogramme.

Reifegrad

  1. 1 Initial

    Ad-hoc-Ansätze, keine formalen Prozesse

  2. 2 Defined

    Formale Prozesse definiert, aber nicht durchgängig umgesetzt

  3. 3 Implemented

    Prozesse vollständig umgesetzt und dokumentiert

  4. 4 Monitored

    Prozesse werden überwacht und gemessen

  5. 5 Optimized

    Kontinuierliche Verbesserung und Anpassung