Zum Inhalt springen

Provider Vulnerability Governance

Provider Vulnerability Governance Workspace

Governance-Arbeitsraum für die systematische Überwachung, Bewertung und Steuerung von Schwachstellen in Full-Scope-Outsourcing-Umgebungen.

Note: Diese Inhalte sind generische Umsetzungshilfen und ersetzen keine Rechtsberatung, keine aufsichtsrechtliche Auslegung, keine technische Sicherheitsprüfung und keine institutsspezifische Prüfung.

13

Module gesamt

4

Hohe Umsetzungskomplexität

12

Zielrollen

40

Workspace-Outputs

Die Herausforderung

In Full-Scope-Outsourcing-Szenarien verlagert sich der Betrieb kritischer IKT-Systeme auf externe Dienstleister. Die Verantwortung für das Schwachstellenmanagement bleibt jedoch beim Finanzinstitut. DORA Artikel 28 und 29 sowie MaRisk AT 9 fordern eine durchgängige Überwachung und Steuerung von Schwachstellen auch beim Provider. Fehlende Transparenz über Provider-Assets, unzureichende Patch-SLAs und intransparente Ticket-Prozesse führen zu Prüffeststellungen und aufsichtlichen Massnahmen. Der Provider Vulnerability Governance Workspace adressiert diese Herausforderungen mit 13 integrierten Modulen.

Provider Vulnerability Scope Builder

mittel

In Full-Scope-Outsourcing fehlt eine klare Abgrenzung der vom Provider zu verantwortenden Schwachstellen. Ohne Scope-Definition werden kritische Lücken übersehen.

4 Zielrollen · 4 Inputs · 3 Outputs

DORA Artikel 28, 29 (IKT-Drittparteienrisiko), MaRisk AT 7.3, AT 9 (Auslagerungen)

Provider Zone Architecture Modeler

hoch

Fehlende Zonenarchitektur zwischen Provider-Umgebung und Finanzinstitut führt zu unklaren Verantwortlichkeiten für Schwachstellenbehebung.

3 Zielrollen · 3 Inputs · 3 Outputs

DORA Artikel 9 (IKT-Sicherheit), MaRisk AT 7.3

Provider Asset Synchronization Model

mittel

Provider-Assets werden nicht systematisch in das institutseigene Schwachstellenmanagement synchronisiert, sodass Shadow-IT und unentdeckte Risiken entstehen.

3 Zielrollen · 3 Inputs · 3 Outputs

DORA Artikel 6 (IKT-Risikomanagement), MaRisk AT 7.3

Provider Scan Coverage & Readiness Check

mittel

Die Scan-Abdeckung des Providers ist oft unzureichend dokumentiert, sodass Lücken in der Schwachstellenerkennung unentdeckt bleiben.

3 Zielrollen · 3 Inputs · 3 Outputs

DORA Artikel 9 (Schwachstellenmanagement), MaRisk AT 7.3

DORA Risk Score Engine für Provider-Schwachstellen

hoch

Standard-CVSS-Scores berücksichtigen nicht die spezifischen Risikofaktoren von Full-Scope-Outsourcing, was zu Fehlpriorisierung führt.

3 Zielrollen · 4 Inputs · 3 Outputs

DORA Artikel 6, 7 (Risikomanagement), MaRisk AT 7.3

Provider Patch SLA Model & Compliance Check

mittel

Patch-SLAs im Full-Scope-Outsourcing sind oft nicht an die DORA-Kritikalität angepasst, sodass kritische Schwachstellen zu spät behoben werden.

3 Zielrollen · 3 Inputs · 3 Outputs

DORA Artikel 28, 29 (Drittparteienrisiko), MaRisk AT 7.3

Ticket Mirror & Case Management Integration

hoch

Schwachstellen-Tickets des Providers sind nicht in das institutseigene Case-Management eingebunden, sodass der Nachverfolgungsprozess intransparent ist.

3 Zielrollen · 3 Inputs · 3 Outputs

DORA Artikel 9 (Nachweispflicht), MaRisk AT 7.3

SLA Breach Monitor & Escalation Manager

mittel

SLA-Verstösse beim Provider werden oft zu spät erkannt, sodass Eskalationen nicht rechtzeitig eingeleitet werden.

3 Zielrollen · 3 Inputs · 3 Outputs

DORA Artikel 28 (Drittparteienüberwachung), MaRisk AT 7.3

Patch Exception Register für Provider

mittel

Ausnahmen von Patch-Vorgaben beim Provider werden nicht systematisch dokumentiert, was zu unkontrollierten Risiken und Prüffeststellungen führt.

4 Zielrollen · 3 Inputs · 3 Outputs

DORA Artikel 6, 7 (Risikomanagement), MaRisk AT 7.3

Right-to-Test / Independent Validation Workspace

hoch

Das aufsichtliche Recht auf eigene Prüfung (Right-to-Test) wird in Full-Scope-Outsourcing-Verträgen oft nicht systematisch ausgeübt.

4 Zielrollen · 3 Inputs · 4 Outputs

DORA Artikel 28 Abs. 2 (Right-to-Test), MaRisk AT 9

Provider Vulnerability Evidence Pack

mittel

Gegenüber Aufsicht und Prüfung muss die ordnungsgemässe Überwachung von Provider-Schwachstellen jederzeit nachgewiesen werden können.

4 Zielrollen · 3 Inputs · 3 Outputs

DORA Artikel 5, 6, 28, 29 (Nachweispflichten), MaRisk AT 4.3.3

Management Reporting & Escalation Dashboard

mittel

Das Management erhält keine strukturierten Berichte über den Schwachstellenstatus beim Provider, sodass strategische Entscheidungen auf unvollständiger Basis getroffen werden.

4 Zielrollen · 4 Inputs · 3 Outputs

DORA Artikel 5 (Governance), MaRisk AT 4.3.1

Audit Readiness & Prüfungsvorbereitung

niedrig

Prüfungen des Provider-Schwachstellenmanagements erfordern eine strukturierte Vorbereitung, sonst drohen Prüffeststellungen.

4 Zielrollen · 3 Inputs · 3 Outputs

DORA Artikel 5, 28, 29, MaRisk AT 4.3.3

Umsetzungs-Roadmap

Phase 1

Basis (2026 Q3–Q4)

Scope Builder, Architecture Model, Asset Sync, Scan Coverage, Risk Score

Phase 2

Steuerung (2026 Q4–2027 Q1)

Patch SLA, Ticket Mirror, Breach Monitor, Exception Register

Phase 3

Nachhaltigkeit (2027 Q1–Q2)

Right-to-Test, Evidence Pack, Management Reporting, Audit Readiness

Zielgruppen

Vorstand CISO IKT-Risikomanagement Auslagerungsmanagement Provider Manager IT-Governance SOC Interne Revision Compliance BCM

Provider Vulnerability Governance aufbauen?

Vereinbaren Sie ein Pilotgespräch für den Provider Vulnerability Governance Workspace.

Pilotgespräch anfragen