IKT-Drittparteienrisiko
Drittparteienrisiken kontrolliert und prüfbar steuern.
Von Vertragsinformationen über Leistungsketten bis zu Exit-Strategien.
Management Summary
- DORA Art. 28–30 verlangt ein durchgängiges Management von IKT-Drittparteienrisiken.
- Die Strategie definiert Risikoappetit, Klassifizierung und Steuerungslogik für alle IKT-Drittdienstleister.
- SLAs, Monitoring und Berichtszyklen stellen die operative Kontrolle sicher.
- Exit-Strategien und Konzentrationsrisiken werden vorausschauend gemanagt.
Risikostrategie & Governance
Definition des Risikoappetits, der Klassifizierungslogik und der Governance-Strukturen für das IKT-Drittparteienmanagement. Festlegung von Rollen, Verantwortlichkeiten und Eskalationswegen gemäß DORA Art. 28.
Vertragsmanagement & SLAs
Standardisierung der vertraglichen Mindestanforderungen nach DORA Art. 28 Abs. 7. Definition von Service Level Agreements mit messbaren Kennzahlen, Berichtspflichten und Sanktionsmechanismen.
Risikobewertung & Due Diligence
Vorvertragliche und laufende Risikobewertung aller IKT-Drittdienstleister. Bewertung von inhärentem Risiko, Kontrollreife und residualem Risiko mit standardisierten Scoring-Modellen.
Monitoring & KRIs
Kontinuierliche Überwachung der Dienstleister-Performance mit Key Risk Indicators. Automatisierte Erfassung von SLA-Abweichungen, Sicherheitsvorfällen und Vertragsänderungen.
Exit-Strategien & Transition
Vorausschauende Planung von Exit-Szenarien für alle kritischen IKT-Dienstleistungen. Definition von Migrationspfaden, Übergangsfristen und Kommunikationsplänen.
Konzentrationsrisiken
Identifikation und Bewertung von Konzentrationsrisiken durch Abhängigkeiten von einzelnen Dienstleistern, Technologien oder geografischen Regionen.
Dokumentation & Nachweise
Lückenlose Dokumentation aller Prozesse, Bewertungen und Entscheidungen. Aufbereitung für Aufsichtsprüfungen, JAP und interne Revision.
Strategische Ziele
- Vollständige Transparenz über alle IKT-Drittparteien und deren Risikoprofile.
- Risikobasierte Klassifizierung und differenzierte Steuerungsintensität.
- Standardisierte Vertragsanforderungen mit Prüf- und Kündigungsrechten.
- Kontinuierliches Monitoring mit definierten KRIs und Eskalationslogik.
- Vorausschauende Exit-Planung für alle kritischen Dienstleister.
- Konzentrationsrisiken aktiv identifizieren und steuern.
- Auditfähige Dokumentation für Aufsichts- und JAP-Prüfungen.
Service Level Agreements
Mindestanforderungen und Best Practices für SLAs mit IKT-Drittdienstleistern.
Verfügbarkeit & Performance
Definition von Verfügbarkeitszielen, Response-Zeiten und Performance-Metriken mit Schwellwerten und Eskalationsregeln.
Reaktions- & Wiederherstellungszeiten
Festlegung von Incident-Response-Zeiten, Wiederherstellungszielen (RTO/RPO) und Eskalationsfristen je Vorfallklasse.
Berichterstattung & Reporting
Standardisierte Berichtsformate und -zyklen für SLA-Reports, KRI-Dashboards und Management-Übersichten.
Sanktionen & Vertragsstrafen
Definition von Sanktionsmechanismen bei SLA-Verletzungen, einschließlich Vertragsstrafen, Kündigungsrechten und Eskalation.
Monitoring & Überwachung
Operative, taktische und strategische Überwachungsebenen für IKT-Drittdienstleister.
Operatives Monitoring
Kontinuierliche Überwachung von SLA-Kennzahlen, Verfügbarkeit und Incident-Häufigkeit in Echtzeit.
Risikobasiertes Monitoring
Anpassung der Monitoring-Intensität an die Risikoklasse des Dienstleisters. Kritische Dienstleister werden engmaschiger überwacht.
Berichtszyklen & Eskalation
Definierte Berichtszyklen (täglich, wöchentlich, monatlich) mit automatischer Eskalation bei Grenzwertüberschreitung.
Automatisierung & Tools
Einsatz von Monitoring-Tools und Dashboards zur Automatisierung der Datenerfassung und -auswertung.
Hinweis zur Umsetzung
Diese Struktur folgt DORA Art. 28–30 und kann als Blaupause für das institutsspezifische IKT-Drittparteienrisikomanagement dienen. Die konkrete Ausgestaltung muss an die Größe, Komplexität und das Risikoprofil des jeweiligen Instituts angepasst werden.