DORA Chapter VIII
Managing Critical ICT Third-Party Providers.
Critical third-party providers are subject to enhanced oversight, monitoring, and control requirements.
CTPP Oversight Checklist
Überwachungsanforderungen für kritische IKT-Drittdienstleister nach DORA Kapitel VIII
Hinweis: Diese Seite stellt eine originäre Zusammenstellung praktischer Umsetzungshinweise für DORA dar. Sie dient ausschließlich der internen Strukturierung und Planung und erhebt keinen Anspruch auf Vollständigkeit oder Rechtsverbindlichkeit. Es wird keine Rechtsberatung angeboten.
Management-Zusammenfassung
- Kritische IKT-Drittdienstleister (CTPPs) unterliegen einem erweiterten Aufsichtsrahmen nach DORA Kapitel VIII.
- Die ESAs haben 19 CTPPs designiert (Stand November 2025) — Institute müssen JET-Oversight und substituierbare Alternativen prüfen.
- Vertraege mit CTPPs müssen erweiterte Auditrechte, Incident-Kommunikation und Exit-Klauseln enthalten.
- Konzentrationsrisiken bei CTPPs sind systemisch relevant und erfordern aktive Substituierbarkeitsplanung.
Sollzustand CTPP-Management
- CTPP-Liste der ESAs wird monatlich geprüft und auf institutsspezifische Relevanz bewertet.
- Vertraege mit CTPPs enthalten: Auditrechte, Incident-Meldeverpflichtungen, Exit-Klauseln, Unterauftragnehmer-Kontrolle.
- JET-Oversight-Prozesse sind etabliert: Kommunikation mit Joint Examination Team, Befolgung von Empfehlungen.
- Substituierbarkeitsanalyse für jeden CTPP: Alternative Anbieter identifiziert, Wechselkosten und -zeiten bewertet.
- Konzentrationsrisiko-Monitoring: Anteil kritischer Funktionen je CTPP, Branchenabhängigkeit, geografische Konzentration.
Umsetzungsschritte
- CTPP-Designation prüfen: Abgleich der ESAs-Liste mit eigenen Drittdienstleistern.
- Due-Diligence erweitern: Zusaetzliche Sicherheitsnachweise, Finanzstabilität, Resilienz-Testergebnisse vom CTPP einholen.
- Vertragsanpassung: Erweiterte Klauseln für Audit, Incident, Exit, Unterauftragnehmer (DORA Art. 30).
- JET-Oversight vorbereiten: Ansprechpartner benennen, Kommunikationswege definieren, Empfehlungen tracken.
- Exit-Strategien entwickeln: Wechselplan, Datenmigration, Parallelbetrieb, Fristen (mindestens 6 Monate Vorlauf).
- Konzentrationsrisiken adressieren: Diversifizierung prüfen, Single-Point-of-Failure vermeiden, Branchenabhängigkeit reduzieren.
Typische Luecken bei CTPPs
- Fehlende Differenzierung zwischen Standard-Drittdienstleister und CTPP in Vertraegen und Prozessen.
- Unzureichende JET-Kommunikation: Kein definierter Ansprechpartner, verpasste Deadlines für Empfehlungsumsetzung.
- Fehlende Exit-Strategien: Kein substituierbarer Anbieter identifiziert, Wechselkosten unbekannt.
- Unklare Incident-Kommunikation: Keine verbindlichen Meldefristen oder Eskalationswege mit CTPP vereinbart.
- Konzentrationsrisiko unterschaetzt: Mehrere kritische Funktionen beim gleichen CTPP ohne Diversifizierungsplan.
ISO 27001 Verbindung
ISO/IEC 27001:2022 bietet den Steuerungsrahmen für Lieferantenmanagement, das CTPP-Anforderungen operationalisiert.
- A.5.1: Informationssicherheitsrichtlinien — Grundlage des Sicherheitsmanagements für CTPP-Beziehungen
- A.5.31: Lieferantenbeziehungen — Identifizierung und Auswahl kritischer Drittanbieter nach Risikokriterien
- A.5.32: Lieferanten-Sicherheitsmanagement — Vertragsanforderungen, Audits und laufende Überwachung von CTPPs
- A.5.37: Betriebskontinuität — Exit-Planung und Substitution kritischer IKT-Dienste bei CTPP-Wechsel
ISO/IEC 27001:2022 dient als Kontrollanker und Management-System-Referenz. Die Verbindung zu ISO 27001 unterstützt integrierte Resilienz- und Sicherheitsprogramme.
Reifegrad
-
1 Initial
Ad-hoc-Ansätze, keine formalen Prozesse
-
2 Defined
Formale Prozesse definiert, aber nicht durchgängig umgesetzt
-
3 Implemented
Prozesse vollständig umgesetzt und dokumentiert
-
4 Monitored
Prozesse werden überwacht und gemessen
-
5 Optimized
Kontinuierliche Verbesserung und Anpassung