Warum Drittanbieter im Fokus stehen
In den letzten Jahren haben Banken, Versicherungen und Finanzdienstleister ihre IT-Landschaft stark ausgelagert. Cloud-Anbieter, SaaS-Lösungen und spezialisierte Dienstleister sind fester Bestandteil der Wertschöpfungskette geworden. Genau hier setzt DORA an: Jede kritische Abhängigkeit muss transparent und überprüfbar sein.
Die neuen Anforderungen von DORA
DORA verschärft die Regeln für das Management von Drittanbietern erheblich:
– Alle kritischen ICT-Dienstleister müssen in ein zentrales Auslagerungsregister aufgenommen werden.
– Verträge müssen Mindeststandards für Sicherheit, Reporting und Zugriff enthalten.
– Aufsichtsbehörden erhalten das Recht, direkt bei kritischen Dienstleistern Prüfungen vorzunehmen.
Kritische Abhängigkeiten identifizieren
Unternehmen müssen zunächst eine vollständige Übersicht über alle Dienstleister erstellen. Besonderes Augenmerk gilt dabei Cloud-Anbietern und IT-Security-Dienstleistern. Nur wer Transparenz über seine Abhängigkeiten hat, kann Risiken gezielt steuern.
Risikobewertung und Vertragsmanagement
Jeder kritische Dienstleister muss regelmäßig einer Risikobewertung unterzogen werden. Zusätzlich sind bestehende Verträge auf DORA-Konformität zu prüfen und ggf. anzupassen. Wichtige Punkte sind Exit-Strategien, Kontrollrechte und Notfallmaßnahmen.
Technische & organisatorische Maßnahmen
Neben der Vertragsseite fordert DORA auch konkrete technische Maßnahmen:
– Sicherheitszertifikate und Nachweise (z. B. ISO 27001).
– Regelmäßige Penetrationstests beim Dienstleister.
– Integration von Monitoring-Systemen über Schnittstellen.
Praktische Beispiele aus der Umsetzung
– Eine Versicherungsgesellschaft hat ihr Auslagerungsregister automatisiert und mit der internen CMDB verbunden.
– Eine Bankengruppe hat SLA-Management-Tools eingeführt, um Dienstleister-Performance in Echtzeit zu überwachen.
– Ein Zahlungsdienstleister hat alle Cloud-Verträge an die neuen DORA-Vorgaben angepasst und jährliche Prüfungen etabliert.
Fazit
Das Thema Drittanbieter ist einer der sensibelsten Punkte in der DORA-Umsetzung – und gleichzeitig einer der am meisten unterschätzten. Viele Finanzunternehmen haben ihre IT-Infrastruktur in den letzten Jahren stark ausgelagert, ohne dabei alle Risiken konsequent zu berücksichtigen. DORA zwingt jetzt zum Umdenken: Jede kritische Schnittstelle, jeder Vertrag, jeder externe Dienstleister muss transparent und überprüfbar sein.
Das ist eine Herausforderung – aber auch eine enorme Chance. Denn wer seine Lieferkette im Griff hat, reduziert nicht nur Risiken, sondern steigert auch die eigene Handlungsfähigkeit im Ernstfall. Statt Abhängigkeiten blind zu vertrauen, gewinnen Unternehmen die Kontrolle zurück und können proaktiv steuern.
Die Botschaft ist klar: Drittanbieter-Management wird zur strategischen Führungsaufgabe. Wer diese Aufgabe ernst nimmt, wird nicht nur die Compliance sichern, sondern auch das Vertrauen seiner Kunden und Aufsichtsbehörden nachhaltig stärken.
Wir liefern sie – kombiniert mit Technologie, Sicherheit und Verantwortung.
Ihr Umsetzungspartner für DORA, Softwareentwicklung, DevOps, Cybersecurity und mehr
