Provider Vulnerability Governance
Provider Vulnerability Governance Workspace
Governance-Arbeitsraum für die systematische Überwachung, Bewertung und Steuerung von Schwachstellen in Full-Scope-Outsourcing-Umgebungen.
13
Module gesamt
4
Hohe Umsetzungskomplexität
12
Zielrollen
40
Workspace-Outputs
Die Herausforderung
In Full-Scope-Outsourcing-Szenarien verlagert sich der Betrieb kritischer IKT-Systeme auf externe Dienstleister. Die Verantwortung für das Schwachstellenmanagement bleibt jedoch beim Finanzinstitut. DORA Artikel 28 und 29 sowie MaRisk AT 9 fordern eine durchgängige Überwachung und Steuerung von Schwachstellen auch beim Provider. Fehlende Transparenz über Provider-Assets, unzureichende Patch-SLAs und intransparente Ticket-Prozesse führen zu Prüffeststellungen und aufsichtlichen Massnahmen. Der Provider Vulnerability Governance Workspace adressiert diese Herausforderungen mit 13 integrierten Modulen.
Provider Vulnerability Scope Builder
mittelIn Full-Scope-Outsourcing fehlt eine klare Abgrenzung der vom Provider zu verantwortenden Schwachstellen. Ohne Scope-Definition werden kritische Lücken übersehen.
DORA Artikel 28, 29 (IKT-Drittparteienrisiko), MaRisk AT 7.3, AT 9 (Auslagerungen)
Provider Zone Architecture Modeler
hochFehlende Zonenarchitektur zwischen Provider-Umgebung und Finanzinstitut führt zu unklaren Verantwortlichkeiten für Schwachstellenbehebung.
DORA Artikel 9 (IKT-Sicherheit), MaRisk AT 7.3
Provider Asset Synchronization Model
mittelProvider-Assets werden nicht systematisch in das institutseigene Schwachstellenmanagement synchronisiert, sodass Shadow-IT und unentdeckte Risiken entstehen.
DORA Artikel 6 (IKT-Risikomanagement), MaRisk AT 7.3
Provider Scan Coverage & Readiness Check
mittelDie Scan-Abdeckung des Providers ist oft unzureichend dokumentiert, sodass Lücken in der Schwachstellenerkennung unentdeckt bleiben.
DORA Artikel 9 (Schwachstellenmanagement), MaRisk AT 7.3
DORA Risk Score Engine für Provider-Schwachstellen
hochStandard-CVSS-Scores berücksichtigen nicht die spezifischen Risikofaktoren von Full-Scope-Outsourcing, was zu Fehlpriorisierung führt.
DORA Artikel 6, 7 (Risikomanagement), MaRisk AT 7.3
Provider Patch SLA Model & Compliance Check
mittelPatch-SLAs im Full-Scope-Outsourcing sind oft nicht an die DORA-Kritikalität angepasst, sodass kritische Schwachstellen zu spät behoben werden.
DORA Artikel 28, 29 (Drittparteienrisiko), MaRisk AT 7.3
Ticket Mirror & Case Management Integration
hochSchwachstellen-Tickets des Providers sind nicht in das institutseigene Case-Management eingebunden, sodass der Nachverfolgungsprozess intransparent ist.
DORA Artikel 9 (Nachweispflicht), MaRisk AT 7.3
SLA Breach Monitor & Escalation Manager
mittelSLA-Verstösse beim Provider werden oft zu spät erkannt, sodass Eskalationen nicht rechtzeitig eingeleitet werden.
DORA Artikel 28 (Drittparteienüberwachung), MaRisk AT 7.3
Patch Exception Register für Provider
mittelAusnahmen von Patch-Vorgaben beim Provider werden nicht systematisch dokumentiert, was zu unkontrollierten Risiken und Prüffeststellungen führt.
DORA Artikel 6, 7 (Risikomanagement), MaRisk AT 7.3
Right-to-Test / Independent Validation Workspace
hochDas aufsichtliche Recht auf eigene Prüfung (Right-to-Test) wird in Full-Scope-Outsourcing-Verträgen oft nicht systematisch ausgeübt.
DORA Artikel 28 Abs. 2 (Right-to-Test), MaRisk AT 9
Provider Vulnerability Evidence Pack
mittelGegenüber Aufsicht und Prüfung muss die ordnungsgemässe Überwachung von Provider-Schwachstellen jederzeit nachgewiesen werden können.
DORA Artikel 5, 6, 28, 29 (Nachweispflichten), MaRisk AT 4.3.3
Management Reporting & Escalation Dashboard
mittelDas Management erhält keine strukturierten Berichte über den Schwachstellenstatus beim Provider, sodass strategische Entscheidungen auf unvollständiger Basis getroffen werden.
DORA Artikel 5 (Governance), MaRisk AT 4.3.1
Audit Readiness & Prüfungsvorbereitung
niedrigPrüfungen des Provider-Schwachstellenmanagements erfordern eine strukturierte Vorbereitung, sonst drohen Prüffeststellungen.
DORA Artikel 5, 28, 29, MaRisk AT 4.3.3
Umsetzungs-Roadmap
Basis (2026 Q3–Q4)
Scope Builder, Architecture Model, Asset Sync, Scan Coverage, Risk Score
Steuerung (2026 Q4–2027 Q1)
Patch SLA, Ticket Mirror, Breach Monitor, Exception Register
Nachhaltigkeit (2027 Q1–Q2)
Right-to-Test, Evidence Pack, Management Reporting, Audit Readiness
Zielgruppen
Provider Vulnerability Governance aufbauen?
Vereinbaren Sie ein Pilotgespräch für den Provider Vulnerability Governance Workspace.
Pilotgespräch anfragen