Strategie für das IKT-Drittparteienrisiko

Strategie für das IKT-Drittparteienrisiko (Art. 28 Abs. 2 DORA)

Die Strategie für das IKT-Drittparteienrisiko ist ein zentrales Element des Digital Operational Resilience Act (DORA) und betrifft alle Finanzunternehmen, die auf IT-Dienstleister angewiesen sind. Sie muss innerhalb des IKT-Risikomanagementrahmens dokumentiert, regelmäßig überprüft und durch das Leitungsorgan verantwortet werden.

Warum braucht es eine eigenständige Strategie?

Vertraglich eingebundene IKT-Drittdienstleister – z. B. für Cloud, Hosting, Plattformen oder Software – stellen ein wesentliches Risiko für die digitale Resilienz dar. Die DORA-Verordnung verlangt daher eine eigene Drittparteienstrategie, die über klassische Auslagerungsrichtlinien hinausgeht.

Diese Strategie legt verbindlich fest, wie IKT-bezogene Risiken durch externe Dienstleister identifiziert, bewertet, überwacht und gesteuert werden – inklusive Exit-Szenarien bei kritischen Diensten.

Gesetzliche Anforderungen (Art. 28 Abs. 2 DORA)

Die Drittparteienstrategie ist für alle Finanzunternehmen verbindlich, außer Kleinstunternehmen. Sie muss:

  • im Rahmen des IKT-Risikomanagements gemäß Art. 6 DORA angesiedelt sein,
  • eine Leitlinie zur Nutzung von IKT-Dienstleistungen für kritische oder wichtige Funktionen enthalten,
  • auf individueller, teilkonsolidierter und konsolidierter Ebene gelten,
  • regelmäßig durch das Leitungsorgan überprüft und angepasst werden.

Die Strategie ist eng zu verzahnen mit der (optionalen) Strategie zur Nutzung mehrerer Anbieter gemäß Art. 6 Abs. 9 DORA.

Was muss die Strategie konkret beinhalten?

Die DORA-Verordnung macht klare Vorgaben zu Inhalt und Struktur. Folgende Punkte sind zwingend erforderlich:

  • Verantwortlichkeit: Klare Rollenverteilung und Governance bei der Einbindung von IKT-Drittdienstleistern
  • Leitlinie zur Nutzung: Regeln zur Auswahl, Nutzung und Steuerung externer IKT-Dienstleister – speziell bei kritischen Funktionen
  • Due Diligence & Eignungsprüfung: Bewertung der Informationssicherheitsstandards, finanziellen Stabilität und Auditfähigkeit potenzieller Dienstleister
  • Vertragsmanagement: Regelungen zu Kündigung, Zugriffen, Kontrollrechten, Exit-Möglichkeiten, Notfallmaßnahmen und Datenmigration
  • Risikobewertung: Beurteilung der Risiken pro Dienstleistung und im Gesamtkontext des Unternehmens (z. B. Konzentrationsrisiken)
  • Informationsregister: Aufbau eines Registers aller IKT-Dienstleister inkl. Meldepflichten an die Aufsicht (Art. 28 Abs. 3 DORA)
  • Ausstiegsstrategie: Szenarienplanung für das kontrollierte Beenden von Verträgen bei Leistungsmängeln oder Rechtsverstößen
  • Berücksichtigung technischer Standards: Integration der ITS und RTS gemäß Art. 28 Abs. 9 und 10 DORA (Register, Audit, Vertragselemente)

Beispielhafte Inhalte: Was gehört in eine solche Strategie?

BereichBeispielinhalt
AnbieterkategorisierungKritisch vs. nicht-kritisch, Cloud vs. SaaS, individuell vs. gruppenweit
KontrollplanTurnusmäßige Risikoanalysen, Audits, SLA-Reviews
VertragselementeKündigungsrechte bei Vorfall, Auditklauseln, Datentransfer-Regeln
Exit-SzenarienBackup-Anbieter, interne Wiederaufnahmefähigkeit, Übergangsmaßnahmen
NotfallmaßnahmenÜbergang auf Ersatzdienstleister, Datensicherung, Krisenkommunikation

Umsetzungspflicht bis 17. Januar 2025

Die Strategie für das IKT-Drittparteienrisiko muss spätestens zum 17. Januar 2025 vollständig dokumentiert, umgesetzt und vom Leitungsorgan genehmigt sein. Die Anforderungen gelten zusätzlich zu bestehenden Vorgaben aus BAIT, VAIT, ZAIT oder EBA-Leitlinien zur Auslagerung.