Zum Inhalt springen
Resilience Platform Resilience Platform

DORA

IKT-Verträge als steuerbares Instrument.

Eine strukturierte IKT-Vertrags-Workbench hilft, Verträge nach Kritikalität zu klassifizieren, Mindestinhalte sicherzustellen und DORA-/MaRisk-Anforderungen zu erfüllen.

Hinweis: Diese Seite stellt eine originäre Zusammenstellung praktischer Umsetzungshinweise für DORA dar. Sie dient ausschließlich der internen Strukturierung und Planung und erhebt keinen Anspruch auf Vollständigkeit oder Rechtsverbindlichkeit. Es wird keine Rechtsberatung angeboten.

Management-Zusammenfassung

  • IKT-Verträge sollten nach ihrer Kritikalität klassifiziert werden, um angemessene Anforderungen je Kategorie zu definieren.
  • DORA Artikel 28 definiert Mindestanforderungen an IKT-Verträge, die durch institutsspezifische Anforderungen ergänzt werden.
  • Exit-Fähigkeit, Unterauftragnehmerregelungen und Kontrollrechte sind vertraglich zu sichern.
  • Die Vertrags-Workbench integriert DORA-, MaRisk- und kwF-Anforderungen.

Vertragsklassifikation

Baseline IKT-Leistung

Standard-IKT-Dienstleistungen ohne besondere Kritikalität oder Kontrollerfordernis.

Kontrollrelevante IKT-Leistung

Dienstleistungen mit erhöhtem Kontrollbedarf aufgrund von Datenzugriff oder Prozessbedeutung.

kwF-relevante IKT-Leistung

Dienstleistungen, die kritische oder wichtige Funktionen unterstützen und verschärften Anforderungen unterliegen.

Strategisch kritische IKT-Leistung

Dienstleistungen mit hoher strategischer Abhängigkeit, eingeschränkter Substituierbarkeit und langen Exit-Zeiträumen.

Vertragsanforderungsbereiche

Leistungsbeschreibung Rechte und Pflichten Informationssicherheit Unterauftragnehmer Vorfallunterstützung BCM / Recovery Exit Audit- und Kontrollrechte Reporting Datenstandorte Datenschutz Änderung und Kündigung

Massnahmen: IKT-Verträge

DORA-CON-001 reviewed initial

Vertragsklassifikation für IKT-Dienstleistungen etablieren

IKT-Dienstleistungsverträge werden nach Kritikalität und Komplexität klassifiziert, um angemessene Anforderungen je Kategorie zu definieren.

Themenbereich
IKT-Verträge
Sollzustand
Eine verbindliche Vertragsklassifikation unterscheidet Baseline IKT-Leistung, kontrollrelevante IKT-Leistung, kwF-relevante IKT-Leistung und strategisch kritische IKT-Leistung. Jede Kategorie hat definierte Mindestanforderungen an Vertragsinhalte, Kontrollrechte und Überwachung.
DORA / MaRisk
DORA Art. 28 (Vertragsanforderungen), Art. 29 (Überwachung) | MaRisk AT 9 (Auslagerungen), BT 4

Umsetzungsschritte

  • Klassifikationskriterien für IKT-Verträge entwickeln.
  • Kategorien (Baseline, kontrollrelevant, kwF-relevant, strategisch kritisch) definieren.
  • Bestandsverträge klassifizieren und nachkategorisieren.
  • Klassifikation bei Vertragsänderungen und jährlich überprüfen.

Beispielnachweise

  • Vertragsklassifikations-Richtlinie
  • Klassifizierte Vertragsliste
  • Überprüfungsprotokoll der Klassifikation
  • Abweichungsdokumentation

ISO/IEC 27001 Anker

A.5.19 A.5.20 A.5.33
DORA-CON-002 reviewed initial

Mindestvertragsinhalte nach DORA sicherstellen

IKT-Dienstleistungsverträge enthalten alle nach DORA und institutsspezifisch erforderlichen Mindestinhalte.

Themenbereich
IKT-Verträge
Sollzustand
Eine standardisierte Vertragsprüfung stellt sicher, dass alle IKT-Verträge Leistungsbeschreibung, Rechte und Pflichten, Informationssicherheitsanforderungen, SLA-Vereinbarungen, Datenstandorte, Datenschutzklauseln, Kündigungsfristen, Haftungsregelungen und Änderungsmanagement enthalten.
DORA / MaRisk
DORA Art. 28 Abs. 2 (Vertragsanforderungen) | MaRisk AT 9 Tz. 7, BT 4 Tz. 3

Umsetzungsschritte

  • Mindestvertragsinhalte je Klassifikationskategorie definieren.
  • Vertragsprüfprozess mit Checkliste und Freigabestufen etablieren.
  • Bestandsverträge auf Lücken prüfen und nachbessern.
  • Abweichungen dokumentieren und managementseitig freigeben.

Beispielnachweise

  • Vertragsanforderungsmatrix je Kategorie
  • Prüf-Checkliste für IKT-Verträge
  • Lückenanalyse Bestandsverträge
  • Abweichungsregister mit Freigabe

ISO/IEC 27001 Anker

A.5.19 A.5.20 A.5.31 A.5.33
DORA-CON-003 reviewed initial

Unterauftragnehmerregelungen vertraglich sichern

Verträge mit IKT-Dienstleistern enthalten Regelungen zur Offenlegung, Genehmigung und Steuerung von Unterauftragnehmern.

Themenbereich
IKT-Verträge
Sollzustand
Alle IKT-Verträge verpflichten Dienstleister zur Offenlegung wesentlicher Unterauftragnehmer und zur Einholung der Zustimmung bei Änderungen der Unterauftragnehmerkette. Ein aktuelles Unterauftragnehmerverzeichnis dokumentiert die vollständige Leistungskette.
DORA / MaRisk
DORA Art. 28 Abs. 2 lit. e (Unterauftragnehmer) | MaRisk AT 9 Tz. 5, BT 4 Tz. 2

Umsetzungsschritte

  • Vertragsklauseln zu Unterauftragnehmern (Offenlegung, Genehmigung, Änderung) definieren.
  • Unterauftnehmerverzeichnis je kritischer IKT-Dienstleistung aufbauen.
  • Regelmässige Aktualisierung und Prüfung der Unterauftragnehmerkette.
  • Konzentrationsrisiken durch gemeinsame Unterauftragnehmer identifizieren.

Beispielnachweise

  • Vertragsklauseln zu Unterauftragnehmern
  • Unterauftragnehmerverzeichnis (aktuell)
  • Genehmigungsdokumentation bei Änderungen
  • Konzentrationsrisikoanalyse Unterauftragnehmer

ISO/IEC 27001 Anker

A.5.19 A.5.20 A.5.21 A.5.22
DORA-CON-004 reviewed initial

Exit-Regelungen vertraglich verankern

IKT-Verträge enthalten verbindliche Exit-Regelungen für eine geordnete Beendigung, Übertragung oder Ersetzung der Dienstleistung.

Themenbereich
IKT-Verträge
Sollzustand
Alle IKT-Verträge mit kwF-Relevanz enthalten Exit-Klauseln mit Kündigungsfristen, Datenrückgabe- und Löschverpflichtungen, Übergangsunterstützung, Migrationshilfen und Herausgabepflichten. Die Exit-Regelungen werden regelmässig auf Angemessenheit und Umsetzbarkeit geprüft.
DORA / MaRisk
DORA Art. 28 Abs. 2 lit. i (Exit), Art. 29 Abs. 5 | MaRisk AT 9 Tz. 9, BT 4 Tz. 6

Umsetzungsschritte

  • Exit-Mindestklauseln je Vertragskategorie definieren.
  • Datenrückgabe-, Lösch- und Migrationsverpflichtungen vertraglich regeln.
  • Übergangsfristen und Unterstützungsleistungen vereinbaren.
  • Exit-Regelungen regelmässig auf Aktualität und Umsetzbarkeit prüfen.

Beispielnachweise

  • Exit-Klauseln je IKT-Vertrag
  • Datenrückgabe- und Löschkonzept
  • Prüfprotokoll Exit-Regelungen
  • Abweichungsdokumentation

ISO/IEC 27001 Anker

A.5.19 A.5.29 A.5.30 A.5.36
DORA-CON-005 reviewed initial

Audit- und Kontrollrechte vertraglich sichern

IKT-Verträge enthalten umfassende Audit- und Kontrollrechte für das Institut und dessen Prüfungsinstanzen.

Themenbereich
IKT-Verträge
Sollzustand
Verträge mit kwF-relevanten IKT-Dienstleistern enthalten Rechte auf Vor-Ort-Prüfungen, Einsichtnahme in Unterlagen, Zugang zu Systemen und Informationen sowie das Recht auf Prüfungen durch externe Prüfer und Aufsichtsbehörden.
DORA / MaRisk
DORA Art. 28 Abs. 2 lit. f–h (Kontroll- und Zugangsrechte) | MaRisk AT 9 Tz. 7, BT 4 Tz. 4

Umsetzungsschritte

  • Audit- und Kontrollrechte als Pflichtklauseln definieren.
  • Ausübungskonzept für Kontrollrechte (Häufigkeit, Umfang, Eskalation) erstellen.
  • Kontrollrechte regelmässig ausüben und Ergebnisse dokumentieren.
  • Verweigerung von Kontrollrechten als Risikoindikator eskalieren.

Beispielnachweise

  • Audit-/Kontrollrechte-Klauseln je Vertrag
  • Kontrollplan für das laufende Jahr
  • Durchgeführte Audits und Prüfberichte
  • Eskalationsvermerk bei verweigerten Rechten

ISO/IEC 27001 Anker

A.5.19 A.5.20 A.5.36 A.9.2
DORA-CON-006 reviewed initial

Berichtspflichten in IKT-Verträgen regeln

IKT-Verträge enthalten verbindliche Berichtspflichten über Leistungserbringung, Sicherheitslage und Risikoentwicklung.

Themenbereich
IKT-Verträge
Sollzustand
Verträge mit IKT-Dienstleistern definieren regelmässige Berichtspflichten zu SLA-Einhaltung, Sicherheitsvorfällen, Änderungen der Leistungserbringung, Personalveränderungen in Schlüsselfunktionen und Ergebnissen von Sicherheitsprüfungen.
DORA / MaRisk
DORA Art. 29 Abs. 1–2 (Überwachung und Berichtswesen) | MaRisk AT 9 Tz. 8, BT 4 Tz. 5

Umsetzungsschritte

  • Berichtsanforderungen je Vertragskategorie definieren.
  • Berichtsformate, -frequenzen und -empfänger festlegen.
  • Eingehende Berichte prüfen und bei Abweichungen eskalieren.
  • Berichtsqualität regelmässig bewerten und nachsteuern.

Beispielnachweise

  • Berichtsanforderungsmatrix je Vertrag
  • Eingegangene Dienstleisterberichte
  • Prüfprotokoll der Berichtsinhalte
  • Eskalationsnachweise bei Berichtsmängeln

ISO/IEC 27001 Anker

A.5.19 A.5.23 A.5.35 A.5.36

Hinweis

Diese Seite ist eine Umsetzungshilfe und ersetzt keine Rechtsberatung oder verbindliche aufsichtsrechtliche Auslegung.