Zum Inhalt springen

Contract Clause Workspace

Contract Clause Workspace

Vorbereitete Vertragsklauseln für das Schwachstellenmanagement beim Full-Scope-Outsourcing-Provider mit DORA-Bezug und rechtlicher Prüfungsvorbereitung.

Note: Diese Inhalte sind generische Umsetzungshilfen und ersetzen keine Rechtsberatung, keine aufsichtsrechtliche Auslegung, keine technische Sicherheitsprüfung und keine institutsspezifische Prüfung.

5

Klauselentwürfe

13

Klauselbereiche

4

DORA-Referenzen

0

Hohe Verhandlungssensitivität

Klauselbereiche

Scope of Vulnerability Management Asset Inventory & Synchronization Scan Coverage & Minimum Requirements Patch SLA & Remediation Deadlines Ticket Mirror & Status Reporting Read-Only Dashboard / API Access Right-to-Test & Independent Validation Breach Notification & Incident Escalation Exception Management & Compensating Controls Evidence & Documentation Requirements Penalties & Contractual Consequences Exit Strategy & Data Portability (DORA Article 28) Audit & Compliance Review Rights

Scan-Abdeckung und Mindestanforderungen

PVG-CLAUSE-001 DORA Artikel 9, 28, MaRisk AT 7.3 hoch (Kernleistung des Providers)

Zweck: Vertragliche Festlegung der vom Provider durchzuführenden Scan-Typen, -Frequenzen und -Abdeckungen

Ready for Legal Review

Der Dienstleister verpflichtet sich, mindestens folgende Schwachstellenscans in der angegebenen Mindestfrequenz durchzuführen: (a) Authentifizierte Infrastruktur-Scans aller Produktionssysteme wöchentlich, (b) Externe Perimeter-Scans aller internet-exponierten Systeme wöchentlich, (c) Web Application & API DAST monatlich, (d) SAST bei jedem Build, (e) SCA bei jedem Build, (f) Container-Image-Scan bei jedem Build und wöchentlich, (g) Mainframe & Legacy Version Review quartalsweise, (h) Cloud-Konfigurations-Scan wöchentlich, (i) Privileged Access Review monatlich. Abweichungen von diesem Mindeststandard bedürfen der schriftlichen Zustimmung des Instituts und sind im Scan-Coverage-Register zu dokumentieren.

Risikoadressierung: Unzureichende Scan-Abdeckung, Blindflecken in der Schwachstellenerkennung · Evidenz: Monatlicher Scan-Coverage-Report, Ausschlussliste mit Begründung
Vollständigen Klauseltext anzeigen

Der Dienstleister verpflichtet sich, mindestens folgende Schwachstellenscans in der angegebenen Mindestfrequenz durchzuführen: (a) Authentifizierte Infrastruktur-Scans aller Produktionssysteme wöchentlich, (b) Externe Perimeter-Scans aller internet-exponierten Systeme wöchentlich, (c) Web Application & API DAST monatlich, (d) SAST bei jedem Build, (e) SCA bei jedem Build, (f) Container-Image-Scan bei jedem Build und wöchentlich, (g) Mainframe & Legacy Version Review quartalsweise, (h) Cloud-Konfigurations-Scan wöchentlich, (i) Privileged Access Review monatlich. Abweichungen von diesem Mindeststandard bedürfen der schriftlichen Zustimmung des Instituts und sind im Scan-Coverage-Register zu dokumentieren.

Patch-SLA und Behebungsfristen

PVG-CLAUSE-002 DORA Artikel 28, 29, 30, MaRisk AT 9 sehr hoch (Kernleistung, Haftungsrelevanz)

Zweck: Festlegung verbindlicher Behebungsfristen für Schwachstellen nach DORA Risk Score

Ready for Legal Review

Der Dienstleister verpflichtet sich zur Behebung identifizierter Schwachstellen innerhalb folgender Fristen, gemessen ab dem Zeitpunkt der Erstidentifikation: (a) DORA Risk Score >= 20.0 (Critical): vollständige Behebung innerhalb 24 Stunden, temporäre Massnahme innerhalb 4 Stunden, (b) DORA Risk Score 15.0-19.9 (P1): Behebung innerhalb 7 Tagen, temporäre Massnahme innerhalb 24 Stunden, (c) DORA Risk Score 10.0-14.9 (P2): Behebung innerhalb 14 Tagen, (d) DORA Risk Score 4.0-9.9 (P3): Behebung innerhalb 30 Tagen, (e) DORA Risk Score < 4.0 (P4): Behebung im nächsten regulären Patch-Zyklus (maximal 90 Tage). Bei Überschreitung der Fristen gelten die vertraglich vereinbarten Eskalations- und Sanktionsmechanismen.

Risikoadressierung: Verzögerte Patch-Behebung, SLA-Verstösse, aufsichtliche Massnahmen · Evidenz: Monatlicher SLA-Compliance-Report, Breach-Protokolle, Eskalationsdokumentation
Vollständigen Klauseltext anzeigen

Der Dienstleister verpflichtet sich zur Behebung identifizierter Schwachstellen innerhalb folgender Fristen, gemessen ab dem Zeitpunkt der Erstidentifikation: (a) DORA Risk Score >= 20.0 (Critical): vollständige Behebung innerhalb 24 Stunden, temporäre Massnahme innerhalb 4 Stunden, (b) DORA Risk Score 15.0-19.9 (P1): Behebung innerhalb 7 Tagen, temporäre Massnahme innerhalb 24 Stunden, (c) DORA Risk Score 10.0-14.9 (P2): Behebung innerhalb 14 Tagen, (d) DORA Risk Score 4.0-9.9 (P3): Behebung innerhalb 30 Tagen, (e) DORA Risk Score < 4.0 (P4): Behebung im nächsten regulären Patch-Zyklus (maximal 90 Tage). Bei Überschreitung der Fristen gelten die vertraglich vereinbarten Eskalations- und Sanktionsmechanismen.

Right-to-Test und unabhängige Validierung

PVG-CLAUSE-003 DORA Artikel 28 Abs. 2, MaRisk AT 9 sehr hoch (Eingriff in Provider-Umgebung)

Zweck: Vertragliche Verankerung des aufsichtlichen Rechts auf eigene Prüfung und unabhängige Sicherheitstests

Ready for Legal Review

Der Dienstleister gewährt dem Institut das Recht, jederzeit eigene Prüfungen der IKT-Systeme und -Prozesse durchzuführen oder durch Dritte durchführen zu lassen. Dies umfasst insbesondere: (a) Einsichtnahme in alle relevanten Systeme, Logs und Konfigurationen, (b) Durchführung von Sicherheitstests einschliesslich Penetrationstests in vereinbarten Testumgebungen, (c) Validierung von Kontrollmassnahmen und Schwachstellenmanagement-Prozessen, (d) Beauftragung unabhängiger Dritter mit Sicherheitsbewertungen. Der Dienstleister stellt die erforderlichen Testumgebungen und Zugänge innerhalb von 10 Werktagen nach Ankündigung bereit. Die Kosten für bis zu zwei externe Penetrationstests pro Jahr trägt der Dienstleister.

Risikoadressierung: Fehlende unabhängige Validierung, Abhängigkeit von Provider-Angaben · Evidenz: Right-to-Test-Protokolle, Pentest-Berichte, Validierungsnachweise
Vollständigen Klauseltext anzeigen

Der Dienstleister gewährt dem Institut das Recht, jederzeit eigene Prüfungen der IKT-Systeme und -Prozesse durchzuführen oder durch Dritte durchführen zu lassen. Dies umfasst insbesondere: (a) Einsichtnahme in alle relevanten Systeme, Logs und Konfigurationen, (b) Durchführung von Sicherheitstests einschliesslich Penetrationstests in vereinbarten Testumgebungen, (c) Validierung von Kontrollmassnahmen und Schwachstellenmanagement-Prozessen, (d) Beauftragung unabhängiger Dritter mit Sicherheitsbewertungen. Der Dienstleister stellt die erforderlichen Testumgebungen und Zugänge innerhalb von 10 Werktagen nach Ankündigung bereit. Die Kosten für bis zu zwei externe Penetrationstests pro Jahr trägt der Dienstleister.

Read-Only Dashboard und Datenbereitstellung

PVG-CLAUSE-004 DORA Artikel 28, 29, MaRisk AT 9 hoch (Datenschutz, Vertraulichkeit)

Zweck: Einrichtung eines kontinuierlichen Lesezugriffs auf Schwachstellendaten und ticket-bezogene Metriken

Ready for Legal Review

Der Dienstleister stellt dem Institut einen jederzeit verfügbaren Read-Only-Dashboard-Zugang zur Verfügung, der mindestens folgende Daten in Echtzeit (maximale Datenverzögerung 4 Stunden) abbildet: (a) aktuelle Schwachstellen nach Schweregrad und DORA Risk Score, (b) Patch-Status aller Assets, (c) SLA-Einhaltungsquoten nach Priorität, (d) offene und abgelaufene Ausnahmen, (e) Trendentwicklungen der letzten 12 Monate, (f) Status aller offenen Tickets. Darüber hinaus stellt der Dienstleister monatlich einen strukturierten Datenexport (JSON/CSV) aller Schwachstellendaten zur Verfügung. Der Zugang muss über Multi-Faktor-Authentifizierung gesichert sein und institutsseitige Audit-Logs ermöglichen.

Risikoadressierung: Intransparenz, fehlende Echtzeit-Überwachung, manuelle Datensammlung · Evidenz: Dashboard-Zugriffsnachweise, Datenexporte, Audit-Logs
Vollständigen Klauseltext anzeigen

Der Dienstleister stellt dem Institut einen jederzeit verfügbaren Read-Only-Dashboard-Zugang zur Verfügung, der mindestens folgende Daten in Echtzeit (maximale Datenverzögerung 4 Stunden) abbildet: (a) aktuelle Schwachstellen nach Schweregrad und DORA Risk Score, (b) Patch-Status aller Assets, (c) SLA-Einhaltungsquoten nach Priorität, (d) offene und abgelaufene Ausnahmen, (e) Trendentwicklungen der letzten 12 Monate, (f) Status aller offenen Tickets. Darüber hinaus stellt der Dienstleister monatlich einen strukturierten Datenexport (JSON/CSV) aller Schwachstellendaten zur Verfügung. Der Zugang muss über Multi-Faktor-Authentifizierung gesichert sein und institutsseitige Audit-Logs ermöglichen.

Sanktionen und Eskalation bei systematischen Mängeln

PVG-CLAUSE-005 DORA Artikel 28, 29, 30, MaRisk AT 9 sehr hoch (finanzielle Auswirkungen, Beendigungsrechte)

Zweck: Festlegung von Eskalationsstufen, Vertragsstrafen und Kündigungsrechten bei wiederholten oder schwerwiegenden Mängeln im Schwachstellenmanagement

Ready for Legal Review

Bei Überschreitung der vereinbarten Patch-SLAs oder bei wiederholten Mängeln im Schwachstellenmanagement gelten folgende Eskalations- und Sanktionsmechanismen: (a) Level 1 (erster Verstoss): Schriftliche Mahnung mit Fristsetzung von 5 Werktagen, (b) Level 2 (zweiter Verstoss innerhalb von 90 Tagen): Vertragskonferenz mit Geschäftsführung beider Parteien innerhalb von 10 Werktagen, Vorlage eines Massnahmenplans durch den Dienstleister, (c) Level 3 (dritter Verstoss innerhalb von 90 Tagen oder kritischer Verstoss): Vertragliche Konventionalstrafe in Höhe von 0,1 % der Jahresvergütung pro angefangenem Tag der Überschreitung, mindestens jedoch 5.000 EUR pro Tag, (d) Level 4 (systematisches Versagen): Ausserordentliches Kündigungsrecht des Instituts gemäss DORA Artikel 28 Abs. 5. Die Ausübung von Kündigungsrechten entbindet den Dienstleister nicht von der vollständigen Erfüllung seiner Verpflichtungen bis zur wirksamen Beendigung des Vertrags.

Risikoadressierung: Fehlende Sanktionsmöglichkeiten, systematische Mängel im Provider-Schwachstellenmanagement · Evidenz: Eskalationsprotokolle, Vertragsstrafenabrechnung, Kündigungsdokumentation
Vollständigen Klauseltext anzeigen

Bei Überschreitung der vereinbarten Patch-SLAs oder bei wiederholten Mängeln im Schwachstellenmanagement gelten folgende Eskalations- und Sanktionsmechanismen: (a) Level 1 (erster Verstoss): Schriftliche Mahnung mit Fristsetzung von 5 Werktagen, (b) Level 2 (zweiter Verstoss innerhalb von 90 Tagen): Vertragskonferenz mit Geschäftsführung beider Parteien innerhalb von 10 Werktagen, Vorlage eines Massnahmenplans durch den Dienstleister, (c) Level 3 (dritter Verstoss innerhalb von 90 Tagen oder kritischer Verstoss): Vertragliche Konventionalstrafe in Höhe von 0,1 % der Jahresvergütung pro angefangenem Tag der Überschreitung, mindestens jedoch 5.000 EUR pro Tag, (d) Level 4 (systematisches Versagen): Ausserordentliches Kündigungsrecht des Instituts gemäss DORA Artikel 28 Abs. 5. Die Ausübung von Kündigungsrechten entbindet den Dienstleister nicht von der vollständigen Erfüllung seiner Verpflichtungen bis zur wirksamen Beendigung des Vertrags.

Rechtlicher Hinweis

Die vorstehenden Klauselentwürfe dienen ausschliesslich als Diskussionsgrundlage und ersetzen keine anwaltliche Beratung. Die tatsächliche Ausgestaltung der Vertragsklauseln bedarf der individuellen Prüfung und Anpassung an den jeweiligen Provider-Vertrag sowie die geltende Rechtslage. Diese Klauseln wurden nicht durch eine Rechtsanwaltskanzlei geprüft und stellen keine Rechtsberatung dar.

Vertragsklauseln prüfen lassen?

Vereinbaren Sie ein Pilotgespräch für den Contract Clause Workspace.

Pilotgespräch anfragen