Contract Clause Workspace
Contract Clause Workspace
Vorbereitete Vertragsklauseln für das Schwachstellenmanagement beim Full-Scope-Outsourcing-Provider mit DORA-Bezug und rechtlicher Prüfungsvorbereitung.
5
Klauselentwürfe
13
Klauselbereiche
4
DORA-Referenzen
0
Hohe Verhandlungssensitivität
Klauselbereiche
Scan-Abdeckung und Mindestanforderungen
Zweck: Vertragliche Festlegung der vom Provider durchzuführenden Scan-Typen, -Frequenzen und -Abdeckungen
Der Dienstleister verpflichtet sich, mindestens folgende Schwachstellenscans in der angegebenen Mindestfrequenz durchzuführen: (a) Authentifizierte Infrastruktur-Scans aller Produktionssysteme wöchentlich, (b) Externe Perimeter-Scans aller internet-exponierten Systeme wöchentlich, (c) Web Application & API DAST monatlich, (d) SAST bei jedem Build, (e) SCA bei jedem Build, (f) Container-Image-Scan bei jedem Build und wöchentlich, (g) Mainframe & Legacy Version Review quartalsweise, (h) Cloud-Konfigurations-Scan wöchentlich, (i) Privileged Access Review monatlich. Abweichungen von diesem Mindeststandard bedürfen der schriftlichen Zustimmung des Instituts und sind im Scan-Coverage-Register zu dokumentieren.
Vollständigen Klauseltext anzeigen
Der Dienstleister verpflichtet sich, mindestens folgende Schwachstellenscans in der angegebenen Mindestfrequenz durchzuführen: (a) Authentifizierte Infrastruktur-Scans aller Produktionssysteme wöchentlich, (b) Externe Perimeter-Scans aller internet-exponierten Systeme wöchentlich, (c) Web Application & API DAST monatlich, (d) SAST bei jedem Build, (e) SCA bei jedem Build, (f) Container-Image-Scan bei jedem Build und wöchentlich, (g) Mainframe & Legacy Version Review quartalsweise, (h) Cloud-Konfigurations-Scan wöchentlich, (i) Privileged Access Review monatlich. Abweichungen von diesem Mindeststandard bedürfen der schriftlichen Zustimmung des Instituts und sind im Scan-Coverage-Register zu dokumentieren.
Patch-SLA und Behebungsfristen
Zweck: Festlegung verbindlicher Behebungsfristen für Schwachstellen nach DORA Risk Score
Der Dienstleister verpflichtet sich zur Behebung identifizierter Schwachstellen innerhalb folgender Fristen, gemessen ab dem Zeitpunkt der Erstidentifikation: (a) DORA Risk Score >= 20.0 (Critical): vollständige Behebung innerhalb 24 Stunden, temporäre Massnahme innerhalb 4 Stunden, (b) DORA Risk Score 15.0-19.9 (P1): Behebung innerhalb 7 Tagen, temporäre Massnahme innerhalb 24 Stunden, (c) DORA Risk Score 10.0-14.9 (P2): Behebung innerhalb 14 Tagen, (d) DORA Risk Score 4.0-9.9 (P3): Behebung innerhalb 30 Tagen, (e) DORA Risk Score < 4.0 (P4): Behebung im nächsten regulären Patch-Zyklus (maximal 90 Tage). Bei Überschreitung der Fristen gelten die vertraglich vereinbarten Eskalations- und Sanktionsmechanismen.
Vollständigen Klauseltext anzeigen
Der Dienstleister verpflichtet sich zur Behebung identifizierter Schwachstellen innerhalb folgender Fristen, gemessen ab dem Zeitpunkt der Erstidentifikation: (a) DORA Risk Score >= 20.0 (Critical): vollständige Behebung innerhalb 24 Stunden, temporäre Massnahme innerhalb 4 Stunden, (b) DORA Risk Score 15.0-19.9 (P1): Behebung innerhalb 7 Tagen, temporäre Massnahme innerhalb 24 Stunden, (c) DORA Risk Score 10.0-14.9 (P2): Behebung innerhalb 14 Tagen, (d) DORA Risk Score 4.0-9.9 (P3): Behebung innerhalb 30 Tagen, (e) DORA Risk Score < 4.0 (P4): Behebung im nächsten regulären Patch-Zyklus (maximal 90 Tage). Bei Überschreitung der Fristen gelten die vertraglich vereinbarten Eskalations- und Sanktionsmechanismen.
Right-to-Test und unabhängige Validierung
Zweck: Vertragliche Verankerung des aufsichtlichen Rechts auf eigene Prüfung und unabhängige Sicherheitstests
Der Dienstleister gewährt dem Institut das Recht, jederzeit eigene Prüfungen der IKT-Systeme und -Prozesse durchzuführen oder durch Dritte durchführen zu lassen. Dies umfasst insbesondere: (a) Einsichtnahme in alle relevanten Systeme, Logs und Konfigurationen, (b) Durchführung von Sicherheitstests einschliesslich Penetrationstests in vereinbarten Testumgebungen, (c) Validierung von Kontrollmassnahmen und Schwachstellenmanagement-Prozessen, (d) Beauftragung unabhängiger Dritter mit Sicherheitsbewertungen. Der Dienstleister stellt die erforderlichen Testumgebungen und Zugänge innerhalb von 10 Werktagen nach Ankündigung bereit. Die Kosten für bis zu zwei externe Penetrationstests pro Jahr trägt der Dienstleister.
Vollständigen Klauseltext anzeigen
Der Dienstleister gewährt dem Institut das Recht, jederzeit eigene Prüfungen der IKT-Systeme und -Prozesse durchzuführen oder durch Dritte durchführen zu lassen. Dies umfasst insbesondere: (a) Einsichtnahme in alle relevanten Systeme, Logs und Konfigurationen, (b) Durchführung von Sicherheitstests einschliesslich Penetrationstests in vereinbarten Testumgebungen, (c) Validierung von Kontrollmassnahmen und Schwachstellenmanagement-Prozessen, (d) Beauftragung unabhängiger Dritter mit Sicherheitsbewertungen. Der Dienstleister stellt die erforderlichen Testumgebungen und Zugänge innerhalb von 10 Werktagen nach Ankündigung bereit. Die Kosten für bis zu zwei externe Penetrationstests pro Jahr trägt der Dienstleister.
Read-Only Dashboard und Datenbereitstellung
Zweck: Einrichtung eines kontinuierlichen Lesezugriffs auf Schwachstellendaten und ticket-bezogene Metriken
Der Dienstleister stellt dem Institut einen jederzeit verfügbaren Read-Only-Dashboard-Zugang zur Verfügung, der mindestens folgende Daten in Echtzeit (maximale Datenverzögerung 4 Stunden) abbildet: (a) aktuelle Schwachstellen nach Schweregrad und DORA Risk Score, (b) Patch-Status aller Assets, (c) SLA-Einhaltungsquoten nach Priorität, (d) offene und abgelaufene Ausnahmen, (e) Trendentwicklungen der letzten 12 Monate, (f) Status aller offenen Tickets. Darüber hinaus stellt der Dienstleister monatlich einen strukturierten Datenexport (JSON/CSV) aller Schwachstellendaten zur Verfügung. Der Zugang muss über Multi-Faktor-Authentifizierung gesichert sein und institutsseitige Audit-Logs ermöglichen.
Vollständigen Klauseltext anzeigen
Der Dienstleister stellt dem Institut einen jederzeit verfügbaren Read-Only-Dashboard-Zugang zur Verfügung, der mindestens folgende Daten in Echtzeit (maximale Datenverzögerung 4 Stunden) abbildet: (a) aktuelle Schwachstellen nach Schweregrad und DORA Risk Score, (b) Patch-Status aller Assets, (c) SLA-Einhaltungsquoten nach Priorität, (d) offene und abgelaufene Ausnahmen, (e) Trendentwicklungen der letzten 12 Monate, (f) Status aller offenen Tickets. Darüber hinaus stellt der Dienstleister monatlich einen strukturierten Datenexport (JSON/CSV) aller Schwachstellendaten zur Verfügung. Der Zugang muss über Multi-Faktor-Authentifizierung gesichert sein und institutsseitige Audit-Logs ermöglichen.
Sanktionen und Eskalation bei systematischen Mängeln
Zweck: Festlegung von Eskalationsstufen, Vertragsstrafen und Kündigungsrechten bei wiederholten oder schwerwiegenden Mängeln im Schwachstellenmanagement
Bei Überschreitung der vereinbarten Patch-SLAs oder bei wiederholten Mängeln im Schwachstellenmanagement gelten folgende Eskalations- und Sanktionsmechanismen: (a) Level 1 (erster Verstoss): Schriftliche Mahnung mit Fristsetzung von 5 Werktagen, (b) Level 2 (zweiter Verstoss innerhalb von 90 Tagen): Vertragskonferenz mit Geschäftsführung beider Parteien innerhalb von 10 Werktagen, Vorlage eines Massnahmenplans durch den Dienstleister, (c) Level 3 (dritter Verstoss innerhalb von 90 Tagen oder kritischer Verstoss): Vertragliche Konventionalstrafe in Höhe von 0,1 % der Jahresvergütung pro angefangenem Tag der Überschreitung, mindestens jedoch 5.000 EUR pro Tag, (d) Level 4 (systematisches Versagen): Ausserordentliches Kündigungsrecht des Instituts gemäss DORA Artikel 28 Abs. 5. Die Ausübung von Kündigungsrechten entbindet den Dienstleister nicht von der vollständigen Erfüllung seiner Verpflichtungen bis zur wirksamen Beendigung des Vertrags.
Vollständigen Klauseltext anzeigen
Bei Überschreitung der vereinbarten Patch-SLAs oder bei wiederholten Mängeln im Schwachstellenmanagement gelten folgende Eskalations- und Sanktionsmechanismen: (a) Level 1 (erster Verstoss): Schriftliche Mahnung mit Fristsetzung von 5 Werktagen, (b) Level 2 (zweiter Verstoss innerhalb von 90 Tagen): Vertragskonferenz mit Geschäftsführung beider Parteien innerhalb von 10 Werktagen, Vorlage eines Massnahmenplans durch den Dienstleister, (c) Level 3 (dritter Verstoss innerhalb von 90 Tagen oder kritischer Verstoss): Vertragliche Konventionalstrafe in Höhe von 0,1 % der Jahresvergütung pro angefangenem Tag der Überschreitung, mindestens jedoch 5.000 EUR pro Tag, (d) Level 4 (systematisches Versagen): Ausserordentliches Kündigungsrecht des Instituts gemäss DORA Artikel 28 Abs. 5. Die Ausübung von Kündigungsrechten entbindet den Dienstleister nicht von der vollständigen Erfüllung seiner Verpflichtungen bis zur wirksamen Beendigung des Vertrags.
Rechtlicher Hinweis
Die vorstehenden Klauselentwürfe dienen ausschliesslich als Diskussionsgrundlage und ersetzen keine anwaltliche Beratung. Die tatsächliche Ausgestaltung der Vertragsklauseln bedarf der individuellen Prüfung und Anpassung an den jeweiligen Provider-Vertrag sowie die geltende Rechtslage. Diese Klauseln wurden nicht durch eine Rechtsanwaltskanzlei geprüft und stellen keine Rechtsberatung dar.
🔗 Verwandte Module
Vertragsklauseln prüfen lassen?
Vereinbaren Sie ein Pilotgespräch für den Contract Clause Workspace.
Pilotgespräch anfragen