Einhaltung des EU-Gesetzes zur digitalen Ausfallsicherheit (Digital Operational Resilience Act)

Kontakt zu einem Experten

Zurück zu allen Use Cases

Vereinfachung der DORA-Drittmittelprüfungen

Der Digital Operational Resilience Act (DORA ) soll sicherstellen, dass der europäische Finanzsektor in der Lage ist, seine Widerstandsfähigkeit bei schweren Betriebsstörungen aufrechtzuerhalten.

DORA stellt einheitliche Anforderungen an die Sicherheit von Netzwerken und Informationssystemen von Unternehmen und Organisationen des Finanzsektors wie Banken, Versicherungen und Wertpapierfirmen.

DORA schafft einen Rechtsrahmen für die digitale betriebliche Widerstandsfähigkeit, in dem alle Unternehmen bestätigen müssen, dass sie einem breiten Spektrum von IKT-Störungen und Cyber-Bedrohungen standhalten, auf sie reagieren und sich von ihnen erholen können. Sie gilt auch für kritische Dritte, die IKT-Dienste (Informations- und Kommunikationstechnologien) für die Finanzdienstleistungsbranche erbringen, wie etwa Cloud-Plattformen oder Datenanalysedienste.

Relevante Anforderungen

  • Bewertung der Risiken im Zusammenhang mit IKT-Drittanbietern, einschließlich operationeller Risiken, Konzentrationsrisiken und systemischer Risiken.
  • Führen Sie ein Verzeichnis aller IKT-Drittanbieter und -Dienstleistungen.
  • Führen Sie eine umfassende Due-Diligence-Prüfung durch, bevor Sie Verträge mit externen IKT-Dienstleistern abschließen.
  • Testen Sie die betriebliche Ausfallsicherheit von IKT-Drittanbietern.
  • Stellen Sie sicher, dass die Verträge mit Drittanbietern Rechte und Pflichten enthalten, die kontinuierlich bewertet werden können.
  • Entwicklung von Wiederherstellungs- und Notfallplänen für den Fall von groß angelegten Cyberangriffen oder Ausfällen.
  • Überwachung von Konzentrationsrisiken im Zusammenhang mit IKT-Drittanbietern.
  • Sicherstellen, dass Unterauftragnehmer den gleichen Standards der Sorgfaltspflicht, der Überwachung und des Risikomanagements unterworfen werden.

     

Abbildung der gängigen Fähigkeiten auf die Anforderungen in DORA Kapitel V: Management von ICT-Drittparteirisiken

Kapitel V, Abschnitt I, Artikel 28-30 enthalten die Praktiken zur Erfüllung der Anforderungen an die Regulierungsaufsicht.

HINWEIS: Dies ist keine umfassende Liste der DORA-Anforderungen. Um einen vollständigen Überblick über die DORA-Anforderungen zu erhalten, lesen Sie bitte das vollständige Gesetz und konsultieren Sie das Prüfungsteam Ihrer Organisation oder den externen Prüfer.

Kapitel V: Management von IKT-Risiken gegenüber Dritten

Abschnitt I: Schlüsselprinzipien für ein solides Management von IKT-Drittrisiken

DORA-Anforderung

Entsprechende Best Practice im Risikomanagement für Dritte

Artikel 28: Allgemeine Grundsätze

28 (1). Die Finanzunternehmen handhaben das IKT-Drittparteirisiko als integralen Bestandteil des IKT-Risikos innerhalb ihres IKT-Risikomanagementrahmens gemäß
gemäß Artikel 6 Absatz 1 und in Übereinstimmung mit den folgenden Grundsätzen:

(a) Finanzunternehmen, die vertragliche
vertragliche Vereinbarungen über die Nutzung von IKT-Diensten zur Durchführung ihrer Geschäftstätigkeit getroffen haben, bleiben jederzeit voll verantwortlich für
die Einhaltung und die Erfüllung aller
Verpflichtungen im Rahmen dieser Verordnung und des geltenden
Finanzdienstleistungsrecht;

(b) das Management des IKT-Drittparteirisikos durch die Finanzunternehmen
Risiko wird unter Berücksichtigung des
Grundsatz der Verhältnismäßigkeit durchgeführt, wobei Folgendes zu berücksichtigen ist

(i) Art, Umfang, Komplexität und Bedeutung der IKT-bezogenen Abhängigkeiten,

(ii) die Risiken, die sich aus vertraglichen
Vereinbarungen über die Nutzung von IKT-Dienstleistungen
die mit IKT-Drittanbietern geschlossen wurden,
unter Berücksichtigung der Kritikalität oder Bedeutung
der jeweiligen Dienstleistung, des Prozesses oder der Funktion und der potenziellen Auswirkungen auf die Kontinuität und
Verfügbarkeit von Finanzdienstleistungen und -tätigkeiten auf
Einzel- und Gruppenebene.

28 (2). Als Teil ihres Rahmens für das IKT-Risikomanagement müssen Finanzunternehmen, die keine Unternehmen im Sinne von Artikel 16 Absatz 1 Unterabsatz 1 und keine Kleinstunternehmen sind, eine Strategie für das IKT-Drittrisiko festlegen und regelmäßig überprüfen, wobei sie gegebenenfalls die in Artikel 6 Absatz 9 genannte Multi-Vendor-Strategie berücksichtigen. Die Strategie für das IKT-Drittrisiko umfasst eine Politik für die Nutzung von IKT-Diensten, die kritische oder wichtige Funktionen unterstützen und von IKT-Drittdienstleistern erbracht werden, und gilt auf individueller und gegebenenfalls auf teilkonsolidierter und konsolidierter Basis. Das Leitungsorgan überprüft auf der Grundlage einer Bewertung des Gesamtrisikoprofils des Finanzinstituts sowie des Umfangs und der Komplexität der Geschäftsdienstleistungen regelmäßig die Risiken, die in Bezug auf vertragliche Vereinbarungen über die Nutzung von IKT-Dienstleistungen, die kritische oder wichtige Funktionen unterstützen, ermittelt wurden.

Prevalent unterstützt planmäßige Bewertungen, um Datenflüsse zwischen Beziehungen zu identifizieren und festzustellen, wo Daten vorhanden sind, wohin sie fließen und mit wem sie außerhalb des Unternehmens geteilt werden, indem eine einzigartige Beziehungszuordnungsfunktion verwendet wird. Automatische Erstellung eines Risikoregisters, das die wichtigsten Risikobereiche hervorhebt, um die Transparenz der Daten zu erhöhen.

Prevalent arbeitet mit Ihrem Team zusammen, um TPRM-Strategien, -Prozesse und -Lösungen im Kontext Ihres gesamten Risikomanagementansatzes zu definieren und zu implementieren, Risikobewertungsfragebögen und -rahmen auszuwählen und Ihr Programm so zu optimieren, dass es den gesamten Lebenszyklus des Risikos von Drittanbietern abdeckt - von der Beschaffung und Due Diligence bis zur Kündigung und Ausgliederung.

Als Teil dieses Prozesses hilft Ihnen Prevalent bei der Definition:

  • Klare Rollen und Verantwortlichkeiten (z. B. RACI).
  • Vorräte von Dritten.
  • Risikobewertung und Schwellenwerte auf der Grundlage der Risikotoleranz Ihres Unternehmens.
  • Bewertung und Überwachung. Methoden auf der Grundlage der Kritikalität von Dritten.
  • Fourth-Party-Mapping zum Verständnis der Risiken in Ihrem erweiterten Anbieter-Ökosystem.
  • Quellen für kontinuierliche Überwachungsdaten (Cyber-, Geschäfts-, Reputations- und Finanzdaten).
  • Wichtige Leistungsindikatoren (KPIs) und wichtige Risikoindikatoren (KRIs).
  • Richtlinien, Normen, Systeme und Verfahren zum Schutz von Daten.
  • Einhaltung der Vorschriften und der vertraglichen Berichterstattungsanforderungen in Bezug auf das Leistungsniveau.
  • Anforderungen an die Reaktion auf Vorfälle.
  • Risiko- und interne Stakeholder-Berichterstattung.
  • Strategien zur Risikominderung und -behebung.

28 (3). Als Teil ihres Rahmens für das IKT-Risikomanagement führen die Finanzunternehmen auf Unternehmensebene sowie auf teilkonsolidierter und konsolidierter Ebene ein Register mit Informationen über alle vertraglichen Vereinbarungen über die Nutzung von IKT-Diensten, die von IKT-Drittanbietern erbracht werden, und aktualisieren dieses.
Die in Unterabsatz 1 genannten vertraglichen Vereinbarungen sind angemessen zu dokumentieren, wobei zwischen solchen, die IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen betreffen, und solchen, die dies nicht tun, zu unterscheiden ist.
Die Finanzunternehmen erstatten den zuständigen Behörden mindestens einmal jährlich Bericht über die Zahl der neuen Vereinbarungen über die Nutzung von IKT-Dienstleistungen, die Kategorien von IKT-Drittdienstleistern, die Art der vertraglichen Vereinbarungen und die erbrachten IKT-Dienstleistungen und -Funktionen.
Die Finanzunternehmen stellen der zuständigen Behörde auf deren Verlangen das vollständige Informationsregister oder auf Wunsch bestimmte Teile davon sowie alle Informationen zur Verfügung, die für eine wirksame Beaufsichtigung des Finanzunternehmens für erforderlich gehalten werden.
Die Finanzunternehmen unterrichten die zuständige Behörde rechtzeitig über alle geplanten vertraglichen Vereinbarungen über die Nutzung von IKT-Diensten zur Unterstützung kritischer oder wichtiger Funktionen sowie über den Fall, dass eine Funktion kritisch oder wichtig geworden ist.

Mit Prevalent können Sie ein zentralisiertes Drittanbieterinventar aufbauen, indem Sie Lieferanten über eine Tabellenkalkulationsvorlage oder über eine API-Verbindung zu einer bestehenden Beschaffungslösung importieren. Teams im gesamten Unternehmen können wichtige Lieferantendetails mit einem zentralisierten Aufnahmeformular und zugehörigen Workflow-Aufgaben erfassen. Dies ist für jeden per E-Mail-Einladung möglich, ohne dass Schulungen oder Lösungskenntnisse erforderlich sind.

Als Teil dieses Prozesses erstellt Prevalent umfassende Lieferantenprofile, die alle dokumentarischen Belege in Bezug auf die Drittpartei sowie demografische Daten, vierte Parteien, ESG-Bewertungen, jüngste Geschäfts- und Reputationseinblicke, Datenverletzungen und die jüngste finanzielle Leistung enthalten. Dies liefert den nötigen Kontext für Audit-Prozesse.

Darüber hinaus quantifiziert Prevalent die inhärenten Risiken für alle Lieferanten, um eine effektive Einstufung der Lieferanten vorzunehmen, ein angemessenes Maß an weiterer Sorgfalt festzulegen und den Umfang der laufenden Bewertungen zu bestimmen. Zu den Kriterien, die zur Berechnung des inhärenten Risikos für die Lieferanteneinstufung verwendet werden, gehören:

  • Kritische Bedeutung für die Unternehmensleistung und den Geschäftsbetrieb.
  • Standort(e) und damit verbundene rechtliche oder regulatorische Erwägungen.
  • Interaktion mit geschützten Daten, Kundendaten oder kundenseitigen Systemen.

Ein Teil des Tiering-Prozesses ist die Identifizierung von Fourth-Party- und Nth-Party-Lieferanten in Ihrem Lieferanten-Ökosystem, da kritische Abhängigkeiten die Tiering-Entscheidungen beeinflussen können. Mit Prevalent können Sie eine fragebogenbasierte Bewertung Ihrer Lieferanten durchführen oder die öffentlich zugängliche Infrastruktur des Lieferanten passiv scannen. Die daraus resultierende Beziehungsübersicht zeigt erweiterte Abhängigkeiten auf, die Ihr Unternehmen einem Risiko aussetzen könnten.

28 (5). Finanzunternehmen dürfen nur dann vertragliche Vereinbarungen mit IKT-Drittdienstleistern schließen, wenn diese angemessene Informationssicherheitsstandards einhalten. Betreffen diese vertraglichen Vereinbarungen kritische oder wichtige Funktionen, so haben die Finanzunternehmen vor Abschluss der Vereinbarungen gebührend zu berücksichtigen, dass die IKT-Drittdienstleister die aktuellsten und hochwertigsten Informationssicherheitsstandards anwenden.

28 (6). Bei der Ausübung der Zugangs-, Inspektions- und Prüfungsrechte gegenüber dem IKT-Drittdienstleister legen die Finanzinstitute auf der Grundlage eines risikobasierten Ansatzes die Häufigkeit der Prüfungen und Inspektionen sowie die zu prüfenden Bereiche im Voraus fest, indem sie sich an allgemein anerkannte Prüfungsstandards halten, die im Einklang mit etwaigen aufsichtlichen Anweisungen für die Verwendung und Einbeziehung solcher Prüfungsstandards stehen.
Wenn vertragliche Vereinbarungen mit IKT-Drittanbietern über die Nutzung von IKT-Dienstleistungen eine hohe technische Komplexität mit sich bringen, hat das Finanzinstitut zu überprüfen, ob die internen oder externen Prüfer oder ein Pool von Prüfern über angemessene Fähigkeiten und Kenntnisse verfügen, um die entsprechenden Prüfungen und Bewertungen wirksam durchzuführen.

Nutzen Sie eine standardisierte Risikobewertung in der Prevalent-Plattform, z. B. auf der Grundlage von ISO 27001, um die Einhaltung der wichtigsten Grundsätze des Risikomanagements für Dritte zu bestimmen. Workflow-Automatisierungen, Aufgabenmanagement und automatisierte Funktionen zur Überprüfung von Nachweisen zur Bewertung von Risikowerten vereinfachen den Prozess.

Ergänzen Sie die regelmäßigen, auf Fragebögen basierenden Risikobewertungen durch eine kontinuierliche Verfolgung und Analyse der externen Bedrohungen für Dritte mit Prevalent. In diesem Zusammenhang überwacht Prevalent das Internet und das Dark Web auf Cyber-Bedrohungen und Schwachstellen.

Zu den Überwachungsquellen gehören:

  • Kriminelle Foren, Onion-Seiten, spezielle Dark-Web-Foren, Threat-Feeds und Paste-Sites für durchgesickerte Zugangsdaten - sowie verschiedene Sicherheits-Communities, Code-Repositories und Datenbanken für Sicherheitslücken.
  • Datenbanken mit einer mehrjährigen Historie von Datenschutzverletzungen bei Tausenden von Unternehmen in der ganzen Welt.

Alle Überwachungsdaten sollten mit den Bewertungsergebnissen korreliert und in einem einheitlichen Risikoregister für jeden Lieferanten zentralisiert werden, um die Risikoprüfung, Berichterstattung, Abhilfe- und Reaktionsinitiativen zu rationalisieren und Audits zu vereinfachen.
Sobald alle Bewertungs- und Überwachungsdaten in einem zentralen Risikoregister korreliert sind, wendet Prevalent eine Risikobewertung und -priorisierung gemäß einem Wahrscheinlichkeits- und Auswirkungsmodell an. Dieses Modell stellt die Risiken in einer Matrix dar, so dass Sie die Risiken mit den größten Auswirkungen leicht erkennen und die Abhilfemaßnahmen für diese Risiken priorisieren können. Weisen Sie Verantwortliche zu und verfolgen Sie Risiken und Abhilfemaßnahmen bis zu einem für das Unternehmen akzeptablen Niveau.
Wichtig ist, dass Sie Abhilfemaßnahmen für Lieferantenkontrollen mit niedrigem Reifegrad vorschlagen, die die Risikobereitschaft des Unternehmens übersteigen. Prevalent enthält integrierte Empfehlungen für Abhilfemaßnahmen auf der Grundlage von Risikobewertungsergebnissen, um sicherzustellen, dass Ihre Lieferanten Risiken rechtzeitig und in zufriedenstellender Weise angehen und den Prüfern die entsprechenden Nachweise vorlegen können.

28 (7). Die Finanzunternehmen stellen sicher, dass vertragliche Vereinbarungen über die Nutzung von IKT-Dienstleistungen unter folgenden Umständen gekündigt werden können:

(a) erheblicher Verstoß des ICT-Drittdienstleisters gegen geltende Gesetze, Vorschriften oder Vertragsbedingungen;

(b) Umstände, die während der Überwachung des IKT-Drittrisikos festgestellt werden und von denen angenommen wird, dass sie die Erfüllung der im Rahmen der vertraglichen Vereinbarung erbrachten Funktionen verändern können, einschließlich wesentlicher Änderungen, die die Vereinbarung oder die Situation des IKT-Drittdienstleisters beeinflussen;

(c) nachgewiesene Schwächen des IKT-Drittdienstleisters in Bezug auf sein IKT-Risikomanagement insgesamt und insbesondere in Bezug auf die Art und Weise, wie er die Verfügbarkeit, Authentizität, Integrität und Vertraulichkeit von Daten, seien es personenbezogene oder anderweitig sensible Daten oder nicht personenbezogene Daten, sicherstellt;

(d) wenn die zuständige Behörde das Finanzunternehmen aufgrund der Bedingungen oder Umstände der jeweiligen vertraglichen Vereinbarung nicht mehr wirksam beaufsichtigen kann.

28 (8). Für IKT-Dienstleistungen, die kritische oder wichtige Funktionen unterstützen, haben die Finanzunternehmen Ausstiegsstrategien zu entwickeln. Die Ausstiegsstrategien berücksichtigen Risiken, die auf der Ebene der IKT-Drittdienstleister auftreten können, insbesondere einen möglichen Ausfall dieser Dienstleister, eine Verschlechterung der Qualität der erbrachten IKT-Dienstleistungen, eine Unterbrechung des Geschäftsbetriebs aufgrund einer unangemessenen oder fehlgeschlagenen Erbringung von IKT-Dienstleistungen oder ein wesentliches Risiko, das sich in Bezug auf die angemessene und kontinuierliche Bereitstellung der jeweiligen IKT-Dienstleistung ergibt, oder die Beendigung vertraglicher Vereinbarungen mit IKT-Drittdienstleistern unter einem der in Absatz 7 aufgeführten Umstände.
Die Finanzinstitute stellen sicher, dass sie in der Lage sind, aus vertraglichen Vereinbarungen auszusteigen, ohne dies zu tun:

(a) Unterbrechung ihrer Geschäftstätigkeit,

(b) Einschränkung der Einhaltung von Rechtsvorschriften,

(c) Beeinträchtigung der Kontinuität und Qualität der für die Kunden erbrachten Dienstleistungen.

Die Ausstiegspläne müssen umfassend und dokumentiert sein und im Einklang mit den in Artikel 4 Absatz 2 genannten Kriterien ausreichend getestet und regelmäßig überprüft werden.
Die Finanzunternehmen ermitteln Alternativlösungen und entwickeln Übergangspläne, die es ihnen ermöglichen, die beauftragten IKT-Dienstleistungen und die entsprechenden Daten vom IKT-Drittdienstleister abzuziehen und sie sicher und vollständig an alternative Anbieter zu übertragen oder sie intern wieder einzugliedern.
Die Finanzunternehmen verfügen über geeignete Notfallmaßnahmen zur Aufrechterhaltung der Geschäftskontinuität für den Fall, dass die in Unterabsatz 1 genannten Umstände eintreten.

Mit Prevalent können Sie Vertragsbewertungen und Offboarding-Prozesse automatisieren, um das Risiko für Ihr Unternehmen nach Vertragsabschluss zu verringern.

  • Planen Sie Aufgaben zur Überprüfung von Verträgen, um sicherzustellen, dass alle Verpflichtungen erfüllt wurden.
  • Erstellen Sie Vertragsbewertungen, um den Status zu bewerten.
  • Nutzung von Umfragen und Arbeitsabläufen zur Berichterstattung über Systemzugang, Datenvernichtung, Zugangsverwaltung, Einhaltung aller einschlägigen Gesetze, Abschlusszahlungen usw.
  • Zentrale Speicherung und Verwaltung von Dokumenten und Zertifizierungen wie NDAs, SLAs, SOWs und Verträgen.
  • Analysieren Sie Dokumente, um sicherzustellen, dass die wichtigsten Kriterien erfüllt sind.
    Ergreifung von Maßnahmen zur Verringerung des Anbieterrisikos durch Empfehlungen und Anleitungen zur Abhilfe.
  • Visualisierung und Berücksichtigung von Compliance-Anforderungen durch automatische Zuordnung von Bewertungsergebnissen zu Vorschriften und Rahmenwerken.

28 (9) und 28 (10) sind besondere Bestimmungen für Aufsichtsbehörden und den Gemeinsamen Ausschuss.

Artikel 29: Vorläufige Bewertung des IKT-Konzentrationsrisikos auf Unternehmensebene

29 (1). Bei der Ermittlung und Bewertung der in Artikel 28 Absatz 4 Buchstabe c genannten Risiken berücksichtigen die Finanzunternehmen auch, ob der geplante Abschluss einer vertraglichen Vereinbarung in Bezug auf IKT-Dienstleistungen, die kritische oder wichtige Funktionen unterstützen, zu einem der folgenden Punkte führen würde:

(a) die Beauftragung eines IKT-Drittanbieters, der nicht leicht zu ersetzen ist, oder

(b) das Bestehen mehrerer vertraglicher Vereinbarungen über die Erbringung von IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen mit demselben IKT-Drittdienstleister oder mit eng verbundenen IKT-Drittdienstleistern.

Die Finanzunternehmen wägen die Vorteile und Kosten alternativer Lösungen ab, z. B. die Inanspruchnahme verschiedener IKT-Drittanbieter, und berücksichtigen dabei, ob und wie die geplanten Lösungen den in ihrer Strategie für die digitale Widerstandsfähigkeit dargelegten geschäftlichen Anforderungen und Zielen entsprechen.

Wenn eine alternative Drittpartei aufgrund von Nichteinhaltung, höherer Risikobewertung oder übermäßiger und konzentrierter Nutzung erforderlich ist, bietet Prevalent Netzwerke abgeschlossener Risikobewertungen von Drittparteien, die auf einem gemeinsamen Industrierahmen standardisiert sind, um einen geeigneten Ersatz zu bestimmen.

Unsere On-Demand-Bibliotheken für Risikobewertungen bieten Zugang zu Zehntausenden von abgeschlossenen und überprüften Bewertungen und Nachweisen und können als Fundgrube für potenzielle neue Drittparteien dienen, die bereits anhand strenger IKT-Sicherheitsrichtlinien überprüft worden sind.

29 (2). Wenn die vertraglichen Vereinbarungen über die Nutzung von IKT-Dienstleistungen, die kritische oder wichtige Funktionen unterstützen, die Möglichkeit vorsehen, dass ein IKT-Drittdienstleister IKT-Dienstleistungen, die eine kritische oder wichtige Funktion unterstützen, an andere IKT-Drittdienstleister weiter vergibt, müssen die Finanzinstitute die Vorteile und Risiken abwägen, die im Zusammenhang mit einer solchen Untervergabe entstehen können, insbesondere im Falle eines in einem Drittland ansässigen IKT-Unterauftragnehmers.

Wenn vertragliche Vereinbarungen IKT-Dienstleistungen betreffen, die kritische oder wichtige Funktionen unterstützen, müssen die Finanzinstitute die insolvenzrechtlichen Bestimmungen, die im Falle eines Konkurses des IKT-Drittdienstleisters gelten würden, sowie alle Einschränkungen, die sich in Bezug auf die dringende Wiederherstellung der Daten des Finanzinstituts ergeben könnten, gebührend berücksichtigen.

Werden vertragliche Vereinbarungen über die Nutzung von IKT-Diensten, die kritische oder wichtige Funktionen unterstützen, mit einem in einem Drittland ansässigen IKT-Drittdienstleister geschlossen, so berücksichtigen die Finanzunternehmen zusätzlich zu den in Unterabsatz 2 genannten Erwägungen auch die Einhaltung der Datenschutzvorschriften der Union und die wirksame Durchsetzung der Rechtsvorschriften in diesem Drittland.

Sehen die vertraglichen Vereinbarungen über die Nutzung von IKT-Dienstleistungen, die kritische oder wichtige Funktionen unterstützen, die Vergabe von Unteraufträgen vor, so prüfen die Finanzunternehmen, ob und wie sich potenziell lange oder komplexe Ketten von Unteraufträgen auf ihre Fähigkeit zur vollständigen Überwachung der beauftragten Funktionen und auf die Fähigkeit der zuständigen Behörde auswirken können, das Finanzunternehmen in dieser Hinsicht wirksam zu beaufsichtigen.

Mit Prevalent können Sie Unterauftragsbeziehungen von vierten und n-ten Parteien in Ihrem Drittanbieter-Ökosystem identifizieren. Führen Sie eine fragebogenbasierte Bewertung Ihrer Lieferanten durch oder scannen Sie passiv die öffentlich zugängliche Infrastruktur des Lieferanten. Die daraus resultierende Beziehungsübersicht zeigt erweiterte Abhängigkeiten und Informationsflüsse auf, die Ihr Unternehmen einem Risiko aussetzen könnten.
Nutzen Sie dann vertragliche Bestimmungen wie das Recht auf Audits, um die Risikobewertung auf diese vierten und n-ten Parteien auszudehnen.

Artikel 30: Wichtige Vertragsbestimmungen

30 (1). Die Rechte und Pflichten des Finanzinstituts und des IKT-Drittdienstleisters sind eindeutig zuzuordnen und schriftlich festzuhalten. Der vollständige Vertrag umfasst die Dienstleistungsvereinbarungen und wird in einem einzigen schriftlichen Dokument dokumentiert, das den Parteien in Papierform oder in einem anderen herunterladbaren, dauerhaften und zugänglichen Format zur Verfügung steht.

30 (2). Die vertraglichen Vereinbarungen über die Nutzung von IKT-Diensten müssen mindestens die folgenden Elemente enthalten:

(a) eine klare und vollständige Beschreibung aller Funktionen und IKT-Dienstleistungen, die vom IKT-Drittdienstleister zu erbringen sind, wobei anzugeben ist, ob die Untervergabe einer IKT-Dienstleistung, die eine kritische oder wichtige Funktion oder wesentliche Teile davon unterstützt, zulässig ist und, wenn dies der Fall ist, welche Bedingungen für eine solche Untervergabe gelten;

(b) die Standorte, d. h. die Regionen oder Länder, an denen die in Auftrag gegebenen oder untervergebenen Funktionen und IKT-Dienstleistungen erbracht und die Daten verarbeitet werden sollen, einschließlich des Speicherorts, sowie die Verpflichtung des IKT-Drittdienstleisters, das Finanzinstitut im Voraus zu benachrichtigen, wenn er beabsichtigt, diese Standorte zu wechseln;

(c) Bestimmungen über Verfügbarkeit, Authentizität, Integrität und Vertraulichkeit in Bezug auf den Schutz von Daten, einschließlich personenbezogener Daten;

(d) Bestimmungen über die Gewährleistung des Zugangs, der Wiederherstellung und der Rückgabe in einem leicht zugänglichen Format von personenbezogenen und nicht personenbezogenen Daten, die von dem Finanzinstitut verarbeitet werden, im Falle der Insolvenz, der Auflösung oder der Einstellung der Geschäftstätigkeit des IKT-Drittanbieters oder im Falle der Beendigung der vertraglichen Vereinbarungen;

(e) Beschreibungen des Leistungsniveaus, einschließlich ihrer Aktualisierungen und Überarbeitungen;

(f) die Verpflichtung des IKT-Drittdienstleisters, das Finanzinstitut ohne zusätzliche Kosten oder zu im Voraus festgelegten Kosten zu unterstützen, wenn ein IKT-Vorfall eintritt, der mit der für das Finanzinstitut erbrachten IKT-Dienstleistung zusammenhängt;
(g) die Verpflichtung des IKT-Drittdienstleisters zur uneingeschränkten Zusammenarbeit mit den zuständigen Behörden und den Abwicklungsbehörden des Finanzinstituts, einschließlich der von ihnen benannten Personen;

(h) Kündigungsrechte und entsprechende Mindestkündigungsfristen für die Beendigung der vertraglichen Vereinbarungen im Einklang mit den Erwartungen der zuständigen Behörden und Abwicklungsbehörden;

(i) die Bedingungen für die Teilnahme von IKT-Drittdienstleistern an den Programmen der Finanzinstitute zur Sensibilisierung für IKT-Sicherheit und zur Schulung in Bezug auf die digitale operationelle Widerstandsfähigkeit gemäß Artikel 13 Absatz 6.

30 (3). (3) Die vertraglichen Vereinbarungen über die Nutzung von IKT-Diensten, die kritische oder wichtige Funktionen unterstützen, müssen zusätzlich zu den in Absatz 2 genannten Elementen mindestens Folgendes enthalten:

(a) vollständige Beschreibungen des Leistungsniveaus, einschließlich Aktualisierungen und Überarbeitungen, mit genauen quantitativen und qualitativen Leistungszielen innerhalb der vereinbarten Leistungsniveaus, um eine wirksame Überwachung der IKT-Dienstleistungen durch das Finanzinstitut zu ermöglichen und bei Nichteinhaltung der vereinbarten Leistungsniveaus ohne unnötige Verzögerung geeignete Korrekturmaßnahmen ergreifen zu können;

(b) Mitteilungsfristen und Berichtspflichten des IKT-Drittdienstleisters gegenüber dem Finanzinstitut, einschließlich der Mitteilung jeder Entwicklung, die sich wesentlich auf die Fähigkeit des IKT-Drittdienstleisters auswirken könnte, die IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen im Einklang mit den vereinbarten Service Levels tatsächlich zu erbringen;

(c) Anforderungen an den IKT-Drittdienstleister, Notfallpläne für den Geschäftsbetrieb umzusetzen und zu testen und IKT-Sicherheitsmaßnahmen, -instrumente und -strategien einzusetzen, die ein angemessenes Sicherheitsniveau für die Erbringung von Dienstleistungen durch das Finanzinstitut im Einklang mit seinem Rechtsrahmen gewährleisten;

(d) die Verpflichtung des IKT-Drittdienstleisters, am TLPT des Finanzinstituts gemäß den Artikeln 26 und 27 teilzunehmen und umfassend mitzuarbeiten;

(e) das Recht, die Leistung des IKT-Drittanbieters fortlaufend zu überwachen, was Folgendes einschließt

(i) das uneingeschränkte Recht auf Zugang, Inspektion und Prüfung durch das Finanzinstitut oder einen beauftragten Dritten und durch die zuständige Behörde sowie das Recht, Kopien der einschlägigen Unterlagen vor Ort anzufertigen, wenn diese für den Betrieb des IKT-Drittanbieters von entscheidender Bedeutung sind, wobei die wirksame Ausübung dieses Rechts nicht durch andere vertragliche Vereinbarungen oder Durchführungsbestimmungen behindert oder eingeschränkt wird;

(ii) das Recht, sich auf ein anderes Sicherheitsniveau zu einigen, wenn die Rechte anderer Kunden beeinträchtigt werden;

(iii) die Verpflichtung des IKT-Drittdienstleisters, bei Vor-Ort-Kontrollen und Audits durch die zuständigen Behörden, den Lead Overseer, das Finanzinstitut oder einen beauftragten Dritten uneingeschränkt zu kooperieren; und

(iv) die Verpflichtung, Einzelheiten über den Umfang, die anzuwendenden Verfahren und die Häufigkeit solcher Inspektionen und Audits anzugeben;

(f) Ausstiegsstrategien, insbesondere die Festlegung einer obligatorischen angemessenen Übergangsfrist:

(i) während derer der IKT-Drittdienstleister die entsprechenden Funktionen oder IKT-Dienstleistungen weiterhin erbringt, um das Risiko einer Unterbrechung des Finanzinstituts zu verringern oder seine wirksame Abwicklung und Umstrukturierung zu gewährleisten;
(ii) dem Finanzinstitut die Möglichkeit zu geben, zu einem anderen IKT-Drittdienstleister zu migrieren oder zu internen Lösungen zu wechseln, die der Komplexität der erbrachten Dienstleistung entsprechen.
Abweichend von Buchstabe e können der IKT-Drittdienstleister und das Finanzinstitut, bei dem es sich um ein Kleinstunternehmen handelt, vereinbaren, dass die Rechte des Finanzinstituts auf Zugang, Inspektion und Prüfung an einen unabhängigen Dritten delegiert werden können, der vom IKT-Drittdienstleister benannt wird, und dass das Finanzinstitut von dem Dritten jederzeit Informationen und Zusicherungen über die Leistung des IKT-Drittdienstleisters verlangen kann.

30 (4). Bei der Aushandlung vertraglicher Vereinbarungen ziehen die Finanzinstitute und IKT-Drittdienstleister die Verwendung von Standardvertragsklauseln in Betracht, die von öffentlichen Stellen für bestimmte Dienstleistungen entwickelt wurden.

Prevalent zentralisiert die Verteilung, Diskussion, Aufbewahrung und Überprüfung von Lieferantenverträgen, um den Vertragslebenszyklus zu automatisieren und sicherzustellen, dass die wichtigsten Klauseln durchgesetzt werden. Die wichtigsten Funktionen umfassen:

  • Zentrale Verfolgung aller Verträge und Vertragsattribute wie Typ, Stichtage, Wert, Mahnungen und Status - mit individuellen, rollenbasierten Ansichten.
  • Workflow-Funktionen (basierend auf Benutzer oder Vertragsart) zur Automatisierung des Lebenszyklus der Vertragsverwaltung.
  • Automatische Mahnungen und Überfälligkeitsmitteilungen zur Rationalisierung von Vertragsprüfungen.
  • Zentralisierte Vertragsdiskussion und Verfolgung von Kommentaren.
  • Vertrags- und Dokumentenspeicherung mit rollenbasierten Berechtigungen und Prüfprotokollen für alle Zugriffe.
  • Versionskontrolle, die die Offline-Bearbeitung von Verträgen und Dokumenten unterstützt.
  • Rollenbasierte Berechtigungen, die die Zuweisung von Aufgaben, den Zugriff auf Verträge und den Lese-, Schreib- und Änderungszugriff ermöglichen.

Bewerten Sie kontinuierlich die Effektivität Ihres TPRM-Programms entsprechend den sich ändernden Geschäftsanforderungen und -prioritäten, indem Sie mit der Prevalent-Plattform die wichtigsten Leistungsindikatoren (KPIs) und Risikoindikatoren (KRIs) von Drittanbietern während des gesamten Beziehungslebenszyklus messen.

Mit dieser Funktion können Sie sicherstellen, dass klare Verantwortlichkeiten und Prüfungsklauseln im Anbietervertrag festgelegt und die SLAs entsprechend verfolgt und verwaltet werden.

Mit Prevalent verfügen Beschaffungs- und Rechtsteams über eine einzige Lösung zur Durchsetzung von Lieferantenvertragsbestimmungen und KPIs und vereinfachen die Verwaltung und Überprüfung.

30 (5). Enthält besondere Bestimmungen für Aufsichtsbehörden und den Gemeinsamen Ausschuss.

[templatera id=”83787″]
Zusätzliche Ressourcen

Blog

Wie man die Anforderungen der Europäischen Bankaufsichtsbehörde für Drittparteirisiken erfüllt

Blog

Eine Checkliste zur Einhaltung der GDPR für das Risikomanagement von Drittanbietern

Blog

EU Digital Operational Resilience Act (DORA) & Risikomanagement für Drittparteien

Checkliste

Die DORA-Checkliste für die Einhaltung der Vorschriften durch Dritte

Weitere Ressourcen anzeigen

Befähigen. Automatisieren. Erhöhen. Mitratech

©2025 Mitratech, Inc. Alle Rechte vorbehalten.

Befähigen. Automatisieren. Erhöhen. Mitratech

©2025 Mitratech, Inc. Alle Rechte vorbehalten.