Zum Inhalt springen

IKT-Drittparteienrisiko

Drittparteienrisiken kontrolliert und prüfbar steuern.

Von Vertragsinformationen über Leistungsketten bis zu Exit-Strategien.

Management Summary

  • DORA Art. 28–30 verlangt ein durchgängiges Management von IKT-Drittparteienrisiken.
  • Die Strategie definiert Risikoappetit, Klassifizierung und Steuerungslogik für alle IKT-Drittdienstleister.
  • SLAs, Monitoring und Berichtszyklen stellen die operative Kontrolle sicher.
  • Exit-Strategien und Konzentrationsrisiken werden vorausschauend gemanagt.

Risikostrategie & Governance

Definition des Risikoappetits, der Klassifizierungslogik und der Governance-Strukturen für das IKT-Drittparteienmanagement. Festlegung von Rollen, Verantwortlichkeiten und Eskalationswegen gemäß DORA Art. 28.

Vertragsmanagement & SLAs

Standardisierung der vertraglichen Mindestanforderungen nach DORA Art. 28 Abs. 7. Definition von Service Level Agreements mit messbaren Kennzahlen, Berichtspflichten und Sanktionsmechanismen.

Risikobewertung & Due Diligence

Vorvertragliche und laufende Risikobewertung aller IKT-Drittdienstleister. Bewertung von inhärentem Risiko, Kontrollreife und residualem Risiko mit standardisierten Scoring-Modellen.

Monitoring & KRIs

Kontinuierliche Überwachung der Dienstleister-Performance mit Key Risk Indicators. Automatisierte Erfassung von SLA-Abweichungen, Sicherheitsvorfällen und Vertragsänderungen.

Exit-Strategien & Transition

Vorausschauende Planung von Exit-Szenarien für alle kritischen IKT-Dienstleistungen. Definition von Migrationspfaden, Übergangsfristen und Kommunikationsplänen.

Konzentrationsrisiken

Identifikation und Bewertung von Konzentrationsrisiken durch Abhängigkeiten von einzelnen Dienstleistern, Technologien oder geografischen Regionen.

Dokumentation & Nachweise

Lückenlose Dokumentation aller Prozesse, Bewertungen und Entscheidungen. Aufbereitung für Aufsichtsprüfungen, JAP und interne Revision.

Strategische Ziele

  • Vollständige Transparenz über alle IKT-Drittparteien und deren Risikoprofile.
  • Risikobasierte Klassifizierung und differenzierte Steuerungsintensität.
  • Standardisierte Vertragsanforderungen mit Prüf- und Kündigungsrechten.
  • Kontinuierliches Monitoring mit definierten KRIs und Eskalationslogik.
  • Vorausschauende Exit-Planung für alle kritischen Dienstleister.
  • Konzentrationsrisiken aktiv identifizieren und steuern.
  • Auditfähige Dokumentation für Aufsichts- und JAP-Prüfungen.

Service Level Agreements

Mindestanforderungen und Best Practices für SLAs mit IKT-Drittdienstleistern.

Verfügbarkeit & Performance

Definition von Verfügbarkeitszielen, Response-Zeiten und Performance-Metriken mit Schwellwerten und Eskalationsregeln.

Reaktions- & Wiederherstellungszeiten

Festlegung von Incident-Response-Zeiten, Wiederherstellungszielen (RTO/RPO) und Eskalationsfristen je Vorfallklasse.

Berichterstattung & Reporting

Standardisierte Berichtsformate und -zyklen für SLA-Reports, KRI-Dashboards und Management-Übersichten.

Sanktionen & Vertragsstrafen

Definition von Sanktionsmechanismen bei SLA-Verletzungen, einschließlich Vertragsstrafen, Kündigungsrechten und Eskalation.

Monitoring & Überwachung

Operative, taktische und strategische Überwachungsebenen für IKT-Drittdienstleister.

Operatives Monitoring

Kontinuierliche Überwachung von SLA-Kennzahlen, Verfügbarkeit und Incident-Häufigkeit in Echtzeit.

Risikobasiertes Monitoring

Anpassung der Monitoring-Intensität an die Risikoklasse des Dienstleisters. Kritische Dienstleister werden engmaschiger überwacht.

Berichtszyklen & Eskalation

Definierte Berichtszyklen (täglich, wöchentlich, monatlich) mit automatischer Eskalation bei Grenzwertüberschreitung.

Automatisierung & Tools

Einsatz von Monitoring-Tools und Dashboards zur Automatisierung der Datenerfassung und -auswertung.

Hinweis zur Umsetzung

Diese Struktur folgt DORA Art. 28–30 und kann als Blaupause für das institutsspezifische IKT-Drittparteienrisikomanagement dienen. Die konkrete Ausgestaltung muss an die Größe, Komplexität und das Risikoprofil des jeweiligen Instituts angepasst werden.