Contents
Strategie zur Nutzung mehrerer IKT-Anbieter (Art. 28 Abs. 2 i.V.m. Art. 6 Abs. 9 DORA)
Die Strategie zur Nutzung mehrerer IKT-Anbieter ist eine ergänzende, aber strategisch bedeutsame Maßnahme im Rahmen der DORA-Verordnung. Sie ermöglicht Finanzunternehmen, Konzentrationsrisiken aktiv zu reduzieren, Ausfallrisiken zu begrenzen und die digitale Resilienz langfristig zu sichern.
Gesetzlicher Hintergrund
Gemäß Art. 6 Abs. 9 DORA dürfen Finanzunternehmen eine ganzheitliche Strategie zur Nutzung mehrerer Anbieter entwickeln. Diese Strategie ist nicht verpflichtend, wird jedoch in Art. 28 Abs. 2 DORA ausdrücklich als ergänzender Bestandteil der Drittparteienstrategie erwähnt – insbesondere für kritische oder wichtige Funktionen.
Die Strategie soll dabei helfen, einseitige Abhängigkeiten zu vermeiden, Dienstleisterrisiken zu diversifizieren und gleichzeitig sicherzustellen, dass die Kontinuität der Dienstleistungen auch bei Ausfall eines Anbieters gewährleistet bleibt.
Inhalt der Strategie laut DORA
Die Strategie zur Nutzung mehrerer Anbieter muss laut Verordnung:
- wesentliche IKT-Abhängigkeiten identifizieren, z. B. von bestimmten Cloud-Anbietern, Zahlungsverkehrsplattformen oder Kernbankdienstleistern;
- Gründe für die Anbieterdiversifizierung dokumentieren, z. B. technische Redundanz, strategische Sourcing-Gründe, regulatorische Anforderungen;
- die Nutzung mehrerer Anbieter im Kontext des IKT-Risikomanagements begründen;
- idealerweise auf Gruppen- oder Unternehmensebene angewandt werden.
Was sollte eine solche Strategie enthalten?
| Abschnitt | Inhalt |
|---|---|
| IKT-Abhängigkeitsanalyse | Identifikation von Single Points of Failure (z. B. Hyperscaler, SaaS-Anbieter) |
| Diversifikationsziele | z. B. Mindestverteilung kritischer Anwendungen auf ≥2 Anbieter |
| Ersatzanbieterplanung | Benennung alternativer Anbieter, Migrationsfähigkeit, Kompatibilität |
| Risikoanalyse bei Anbieterwechsel | z. B. Datenportabilität, Integrationsaufwand, Migrationsrisiken |
| Entscheidungsmatrix | Wann Einzelanbieter ausnahmsweise zulässig sind (z. B. Marktmonopol, Legacy-Systeme) |
| Verzahnung mit Exit-Strategien | Sicherstellung, dass Anbieterwechsel ohne Ausfall möglich bleibt |
Praxisnutzen der Multi-Vendor-Strategie
Die Mehranbieterstrategie erhöht nicht nur die Resilienz, sondern hat auch strategische Vorteile:
- Verhandlungsmacht gegenüber Anbietern
- Reduzierte Abhängigkeit bei Vertragsverstößen oder Preisänderungen
- Schnellere Wiederherstellung im Krisenfall
- Reduktion von regulatorisch unerwünschten Konzentrationsrisiken
Viele Aufsichtsbehörden (z. B. EZB, EBA, BaFin) erwarten, dass Unternehmen kritische IKT-Services nicht ausschließlich von einem einzigen Anbieter abhängig machen, sondern aktiv Alternativen prüfen und dokumentieren.
Umsetzung: Empfehlung & Frist
Die Strategie zur Nutzung mehrerer Anbieter ist nicht verpflichtend, wird jedoch aufsichtlich erwartet, sobald kritische IKT-Dienste oder Cloud-Infrastrukturen betroffen sind. Sie sollte spätestens zum 17. Januar 2025 erstellt und in den IKT-Risikomanagementrahmen eingebettet werden – idealerweise gemeinsam mit:
- der DOR-Strategie
- der Strategie für das IKT-Drittparteienrisiko
- dem Informationsregister für IKT-Dienstleister