DORA Kapitel VIII
Kritische IKT-Drittdienstleister gesondert steuern.
Für kritische Drittdienstleister gelten erweiterte Anforderungen an Aufsicht, Ueberwachung und Kontrolle.
Hinweis: Diese Seite stellt eine originäre Zusammenstellung praktischer Umsetzungshinweise für DORA dar. Sie dient ausschließlich der internen Strukturierung und Planung und erhebt keinen Anspruch auf Vollständigkeit oder Rechtsverbindlichkeit. Es wird keine Rechtsberatung angeboten.
Management-Zusammenfassung
- Kritische IKT-Drittdienstleister (CTPPs) unterliegen einem erweiterten Aufsichtsrahmen nach DORA Kapitel VIII.
- Die ESAs haben 19 CTPPs designiert (Stand November 2025) — Institute muessen JET-Oversight und substituierbare Alternativen pruefen.
- Vertraege mit CTPPs muessen erweiterte Auditrechte, Incident-Kommunikation und Exit-Klauseln enthalten.
- Konzentrationsrisiken bei CTPPs sind systemisch relevant und erfordern aktive Substituierbarkeitsplanung.
Sollzustand CTPP-Management
- CTPP-Liste der ESAs wird monatlich geprueft und auf institutsspezifische Relevanz bewertet.
- Vertraege mit CTPPs enthalten: Auditrechte, Incident-Meldeverpflichtungen, Exit-Klauseln, Unterauftragnehmer-Kontrolle.
- JET-Oversight-Prozesse sind etabliert: Kommunikation mit Joint Examination Team, Befolgung von Empfehlungen.
- Substituierbarkeitsanalyse fuer jeden CTPP: Alternative Anbieter identifiziert, Wechselkosten und -zeiten bewertet.
- Konzentrationsrisiko-Monitoring: Anteil kritischer Funktionen je CTPP, Branchenabhaengigkeit, geografische Konzentration.
Umsetzungsschritte
- CTPP-Designation pruefen: Abgleich der ESAs-Liste mit eigenen Drittdienstleistern.
- Due-Diligence erweitern: Zusaetzliche Sicherheitsnachweise, Finanzstabilitaet, Resilienz-Testergebnisse vom CTPP einholen.
- Vertragsanpassung: Erweiterte Klauseln fuer Audit, Incident, Exit, Unterauftragnehmer (DORA Art. 30).
- JET-Oversight vorbereiten: Ansprechpartner benennen, Kommunikationswege definieren, Empfehlungen tracken.
- Exit-Strategien entwickeln: Wechselplan, Datenmigration, Parallelbetrieb, Fristen (mindestens 6 Monate Vorlauf).
- Konzentrationsrisiken adressieren: Diversifizierung pruefen, Single-Point-of-Failure vermeiden, Branchenabhaengigkeit reduzieren.
Typische Luecken bei CTPPs
- Fehlende Differenzierung zwischen Standard-Drittdienstleister und CTPP in Vertraegen und Prozessen.
- Unzureichende JET-Kommunikation: Kein definierter Ansprechpartner, verpasste Deadlines fuer Empfehlungsumsetzung.
- Fehlende Exit-Strategien: Kein substituierbarer Anbieter identifiziert, Wechselkosten unbekannt.
- Unklare Incident-Kommunikation: Keine verbindlichen Meldefristen oder Eskalationswege mit CTPP vereinbart.
- Konzentrationsrisiko unterschaetzt: Mehrere kritische Funktionen beim gleichen CTPP ohne Diversifizierungsplan.
ISO 27001 Verbindung
ISO/IEC 27001:2022 bietet den Steuerungsrahmen fuer Lieferantenmanagement, das CTPP-Anforderungen operationalisiert.
- A.5.19: Informationssicherheit in Lieferantenbeziehungen — Due Diligence fuer CTPPs
- A.5.20: Adressierung von Informationssicherheit in Vereinbarungen mit Lieferanten — erweiterte Vertragsklauseln
- A.5.21: Verwaltung von Informationssicherheit in der IKT-Lieferkette — CTPP-Subcontractor-Kontrolle
- A.5.22: Ueberwachung und Review von Informationssicherheitsleistungen von Lieferanten — JET-Oversight-Integration
- A.5.23: Aenderungsmanagement von Informationssicherheitsdiensten — CTPP-Wechsel und Exit-Strategien
- A.8.21: Sicherheit von Netzwerkdiensten — Netzwerksegmentierung bei CTPP-Zugaengen
- A.8.22: Isolierung von Diensten — Trennung kritischer Funktionen zwischen CTPPs
ISO/IEC 27001:2022 dient als Kontrollanker und Management-System-Referenz. Die Verbindung zu ISO 27001 unterstützt integrierte Resilienz- und Sicherheitsprogramme.
Reifegrad
-
1 Initial
Ad-hoc-Ansätze, keine formalen Prozesse
-
2 Defined
Formale Prozesse definiert, aber nicht durchgängig umgesetzt
-
3 Implemented
Prozesse vollständig umgesetzt und dokumentiert
-
4 Monitored
Prozesse werden überwacht und gemessen
-
5 Optimized
Kontinuierliche Verbesserung und Anpassung