EU Digital Operational Resilience Act (DORA) & Third-Party Risk Management (TPRM) 2025

Der Digital Operational Resilience Act (DORA) ist eine Verordnung der Europ�ischen Union, die sicherstellt, dass Finanzorganisationen ICT-bezogene (Informations- und Kommunikationstechnologie) St�rungen �berstehen und sich davon erholen k�nnen. Sie konzentriert sich auf den Schutz des Finanzsektors durch das Management von Risiken, die von Third-Party-ICT-Dienstleistern ausgehen. Kurz gesagt: DORA stellt sicher, dass Unternehmen stark und sicher bleiben � auch wenn die Systeme oder Vendors, auf die sie angewiesen sind, Probleme haben.

Ein zentraler Bestandteil von DORA ist das Third-Party Risk Management (TPRM). Setzt ein Unternehmen auf externe ICT-Vendors, verlangt DORA ein sorgf�ltiges Risikomanagement. So vertrauen Unternehmen Lieferanten nicht blind, sondern bereiten sich auf m�gliche Herausforderungen vor.

F�r vertiefende Einblicke in Best Practices im Supplier Risk Management empfehlen wir diesen Leitfaden zu den Supplier-Risk-Management-Best-Practices von Supplier Shield.

DORA Kapitel V: Management von ICT-Third-Party-Risiken

DORA Kapitel V regelt das Management von ICT-Risiken, die von Third-Party-Dienstleistern ausgehen. Stellen Sie sich vor, Sie nutzen Software oder Cloud-Dienste eines anderen Unternehmens. Geht etwas mit deren Systemen schief, leidet auch Ihr Gesch�ft. Deshalb will DORA, dass Finanzunternehmen diese Risiken �berwachen und reduzieren.

In Kapitel V sollen Unternehmen:

• Die Risiken der Zusammenarbeit mit ICT-Vendors verstehen und steuern.
• Solide Vertr�ge mit diesen Vendors abschlie�en.
• Die Resilienz von ICT-Systemen externer Dienstleister regelm��ig testen.

Vereinfacht gesagt fordert DORA Kapitel V: Kennen Sie Ihre Lieferanten, planen Sie f�r St�rungen und stellen Sie sicher, dass Ihre ICT-Systeme resilient sind.

F�r Einblicke in Third-Party-Schwachstellen und Schutz vor Datenpannen kann der Schutz von Supplier Shield vor Third-Party-Schwachstellen hilfreich sein.

Grundprinzipien f�r ein solides Management von ICT-Third-Party-Risiken

Der erste Teil von Kapitel V nennt Grundprinzipien f�r das Management von ICT-Risiken � eine Checkliste von Best Practices bei der Zusammenarbeit mit externen Vendors. Dazu geh�ren:

1. ?Alle Risiken verstehen: Unternehmen m�ssen die Risiken im Zusammenhang mit ICT-Vendors identifizieren. Was passiert z. B., wenn ein Cloud-Anbieter pl�tzlich offline geht � wie wirkt sich das auf den Betrieb aus?
2. ?Starke Controls aufbauen: Prozesse zur �berwachung und Steuerung von Vendor-Risiken einrichten � inklusive Plans f�r schnelle Reaktion bei St�rungen.
3. ?Regelm��ige Pr�fungen und Updates: Risiken �ndern sich �ber die Zeit; Third-Party-Risk-Management-Pl�ne m�ssen regelm��ig �berpr�ft und aktualisiert werden.

Das Ziel ist einfach: Proaktiv statt reaktiv. Nicht warten, bis etwas schiefgeht � potenzielle Risiken vorab adressieren.

F�r einen breiteren �berblick �ber die Third-Party-Risk-Landschaft eignet sich dieser umfassende Leitfaden.

Risk-Management-Framework

Um DORA-Anforderungen zu erf�llen, brauchen Unternehmen ein Risk-Management-Framework � eine Roadmap zur Identifikation, Bewertung und Steuerung von ICT-Risiken durch Third-Party-Anbieter.

So k�nnen Unternehmen ein Risk-Management-Framework aufbauen:

1. Risiken identifizieren

Listen Sie alle ICT-Vendors auf, von denen Ihr Unternehmen abh�ngt. Fragen Sie sich:

• Welche Dienste liefern sie?
• Wie kritisch sind diese Dienste f�r mein Gesch�ft?
• Was passiert, wenn diese Dienste ausfallen?

Nutzen Sie z. B. Cloud-Speicher f�r Kundendaten, kann der Verlust des Cloud-Zugangs Verz�gerungen oder Datenverlust verursachen.

2. Risiken bewerten

Im n�chsten Schritt bewerten Sie die Auswirkungen. Priorisieren Sie jeden Vendor nach:

• Wahrscheinlichkeit eines Fehlers.
• Gr��e der Auswirkung, falls er eintritt.

So konzentrieren Unternehmen sich zuerst auf die kritischsten Risiken.

3. Risiken steuern und mindern

Nach Identifikation und Bewertung brauchen Unternehmen Ma�nahmenpl�ne. Dazu k�nnen geh�ren:

• Backup-Systeme f�r kritische Dienste.
• Monitoring-Tools zur Vendor-Performance.
• Zusammenarbeit mit Vendors zur Behebung von Schwachstellen.

Ist ein Vendor-System anf�llig f�r Cyberangriffe, k�nnen Unternehmen st�rkere Sicherheitscontrols verlangen. Frameworks und Schulungen � z. B. von Abilene Academy � helfen, hohe Cybersicherheitsstandards bei Vendors sicherzustellen.

4. In die operative Resilienzstrategie integrieren

Das Risk-Management-Framework sollte nicht isoliert stehen. Es muss Teil der �bergeordneten operativen Resilienzstrategie sein � alle Abteilungen arbeiten zusammen, um auf ICT-St�rungen vorbereitet zu sein.

Kurz zusammengefasst hilft ein Risk-Management-Framework Unternehmen:

• Risiken fr�h zu erkennen.
• Sich auf die wichtigsten Vendors zu konzentrieren.
• Probleme pr�ventiv anzugehen.

Weitere Strategien finden Sie in den Best Practices zum Supplier Risk Management.

Due Diligence

Bei ICT-Vendors reicht es nicht, deren Sicherheitsversprechen zu akzeptieren. Due Diligence bedeutet, tiefer zu pr�fen, ob Vendors zuverl�ssig sind und DORA-Standards erf�llen. Der Prozess hilft Unternehmen:

1. ?Vendor-Zuverl�ssigkeit bewerten: Vor der Partnerschaft Track Record, Sicherheitspraktiken und St�rungsf�higkeit pr�fen.
2. ?Vendor-Controls bewerten: Wie sch�tzen Vendors Daten, warten Systeme und reagieren auf Cyberbedrohungen?
3. ?Laufende Reviews: Due Diligence endet nicht mit Vertragsunterzeichnung � regelm��iges Monitoring ist Pflicht.

Vertrauensw�rdige Berater wie Abilene Advisors k�nnen den Prozess mit Insights und Assessments straffen und DORA-Compliance sicherstellen.

Warum Due Diligence wichtig ist

Ohne angemessene Due Diligence riskieren Unternehmen unzuverl�ssige Vendors � mit Folgen wie:

• Dienstunterbrechungen
• Datenpannen
• Bu�geldern bei DORA-Nichteinhaltung

Gr�ndliche Pr�fung von ICT-Vendors schafft eine st�rkere, resilientere Basis f�r Third-Party-Risk-Management.

Vertragliche Anforderungen

Vertr�ge sind ein zentraler Bestandteil von Third-Party Risk Management unter DORA. Vertr�ge mit ICT-Vendors m�ssen Verantwortlichkeiten, Erwartungen und Risikocontrols klar regeln. Solide Vertr�ge sch�tzen das Unternehmen, wenn etwas schiefgeht.

Was in Vendor-Vertr�ge geh�rt

F�r DORA-Standards sollten Vertr�ge enthalten:

1. Service Level Agreements (SLAs): Definieren den erforderlichen Servicelevel � z. B. Uptime-Garantien oder Reaktionszeiten.
2. Sicherheitspflichten: Wie Vendors Systeme absichern, Daten sch�tzen und auf Vorf�lle reagieren.
3. Audit-Rechte: M�glichkeit, Vendor-Systeme zu pr�fen und Compliance zu verifizieren.
4. Exit-Strategien: Plan f�r Anbieterwechsel ohne schwerwiegende St�rungen, falls Anforderungen nicht erf�llt werden.

Tools wie die von Supplier Shield helfen vielen Organisationen, Vendor-Vertr�ge zu verfolgen und mit DORA abzugleichen.

Vorteile solider Vertr�ge

Bei klaren, umfassenden Vertr�gen k�nnen Unternehmen:

• Vendors bei Ausf�llen zur Verantwortung ziehen.
• Risiken aus unklaren Erwartungen reduzieren.
• Bei Problemen schnell reagieren.

Solide Vertr�ge setzen klare Erwartungen und sichern DORA-Compliance.

Konzentrationsrisiko und Abh�ngigkeitsmanagement

Eine der gr��ten Herausforderungen unter DORA ist das Konzentrationsrisiko � wenn ein Unternehmen zu stark von einem oder wenigen ICT-Vendors abh�ngt. F�llt dieser Vendor aus, kann das gesamte Gesch�ft schwer getroffen werden.

Konzentrationsrisiken identifizieren

Um Konzentrationsrisiken zu erkennen, sollten Unternehmen:

• Alle ICT-Vendors und deren Dienste kartieren.
• Abh�ngigkeiten analysieren, wo zu stark von einem Vendor abh�ngig.
• Tools und Frameworks nutzen, um Risiken beim Verlust kritischer Anbieter zu bewerten.

Stellen Sie sich vor, 90 % Ihrer Operationen h�ngen von einem Cloud-Anbieter ab � ein Ausfall kann Ihr Gesch�ft lahmlegen.

Konzentrationsrisiken steuern

Nach der Identifikation m�ssen Abh�ngigkeiten reduziert werden. Schritte:

• ?ICT-Anbieter diversifizieren: Mehrere Vendors statt nur einem.
• ?Backup-Systeme aufbauen: Redundante Systeme f�r Betrieb bei Vendor-Ausfall.
• ?Alternativen testen: Backup-L�sungen regelm��ig pr�fen.

So entstehen resilientere Systeme, die ICT-Ausf�lle oder Vendor-Outages �berstehen.

Weitere Orientierung bietet der Leitfaden zum effektiven Management von Supplier-Risiken.

ICT-Third-Party-Risk-Register

Ein ICT-Third-Party-Risk-Register ist ein zentrales Tool unter DORA � detaillierte Aufzeichnung aller Third-Party-ICT-Vendors, zugeh�riger Risiken und Gegenma�nahmen.

Warum Sie ein Risk Register brauchen

Ein Risk Register hilft Organisationen:

• Alle ICT-Vendors an einem Ort zu verwalten.
• Potenzielle Risiken pro Vendor zu identifizieren und zu dokumentieren.
• Risikoniveaus �ber die Zeit zu �berwachen und Minderungspl�ne anzupassen.

Es funktioniert wie ein Logbuch f�r ICT-Lieferanten. Ein aktuelles Register erm�glicht:

• Schnellere Reaktion auf St�rungen.
• Einhaltung der DORA-Vorgaben.
• Priorisierung kritischer Risiken.

Schritte zum Erstellen eines ICT-Risk-Registers

1. Alle ICT-Vendors listen: Jeden Vendor erfassen � unabh�ngig von der Rolle.
2. Risiken bewerten: Pro Vendor potenzielle Risiken notieren (z. B. Ausfallzeit, Cyberangriffe, Datenpannen).
3. Minderungsma�nahmen dokumentieren: Ergriffene Schritte festhalten.
4. Ownership zuweisen: Verantwortliche f�r Pflege des Registers benennen.
5. Regelm��ige Updates: Besonders nach �nderungen bei Vendor-Performance oder Risikoniveau.

Ein gepflegtes Risk Register ist Grundlage des Third-Party Risk Managements und unterst�tzt DORA-Compliance.

Ein umfassender Leitfaden findet sich in dieser Ressource zum Supplier Risk Management.

Beispiel ICT-Third-Party-Risk-Register

Resilienztests

Unter DORA ist Resilience Testing zentral � ICT-Systeme, besonders von Third-Party-Vendors, m�ssen St�rungen und Cyberbedrohungen standhalten. Tests decken Schwachstellen auf, bevor sie zu echten Problemen werden.

Arten von Resilienztests

1. Penetrationstests: Simulierte Cyberangriffe zur Bewertung der Abwehr.
2. Stresstests: Hohe Last oder St�rungen simulieren � Kapazit�t und Recovery pr�fen.
3. Szenario-basierte Tests: Konkrete Szenarien (z. B. Cloud-Ausfall eines Vendors) mit Backup-Pl�nen durchspielen.

Warum Resilienztests wichtig sind

Resilienztests erm�glichen:

• Proaktive Identifikation von Schwachstellen in ICT-Systemen.
• Sicherstellung, dass Third-Party-Vendors unerwartete St�rungen bew�ltigen.
• Erf�llung der DORA-Vorgaben zur ICT-Resilienz.

Regelm��ige Tests reduzieren Risiken von Systemausf�llen, Datenpannen oder langen Ausfallzeiten durch ICT-Vendors.

Tools und Services von Supplier Shield k�nnen den Testprozess vereinfachen und straffen.

Sub-Outsourcing-Risiken managen

Sub-Outsourcing liegt vor, wenn Ihr Third-Party-ICT-Vendor Teile seiner Leistungen an einen weiteren Anbieter (Fourth-Party-Vendors) weitergibt. Das erweitert das Vendor-�kosystem, f�gt aber zus�tzliche Risikoschichten hinzu, die unter DORA sorgf�ltig gemanagt werden m�ssen.

Interessant: W�hrend fast 90 Prozent der Unternehmen Risiken in Sourcing- und Auswahlphasen verfolgen, �berwachen weniger als 80 Prozent SLAs und Offboarding-Risiken sp�ter im Beziehungslebenszyklus. Das unterstreicht die Notwendigkeit besserer Oversight �ber Third-Party-Vendors und deren Subunternehmer.

Zentrale Sub-Outsourcing-Risiken

1. Fehlende Transparenz: Sie wissen m�glicherweise nicht, wie oder wo Subunternehmer Ihres Vendors arbeiten.
2. Kettenabh�ngigkeiten: F�llt ein Fourth-Party-Vendor aus, wirkt sich das auf Ihre Operationen aus.
3. Compliance-Probleme: Sub-Outsourcing kann DORA-Standards verletzen.

Sub-Outsourcing-Risiken effektiv managen

Unternehmen sollten:

1. Sub-Outsourcing-Klauseln in Vertr�ge aufnehmen: Offenlegung von Sub-Outsourcing und Monitoring durch den Vendor verlangen.
2. Due Diligence bei Fourth Parties: Details zu Sicherheitspraktiken, Risk Assessments und Compliance-Status der Subunternehmer.
3. Monitoring und Audits erweitern: Performance und Resilienz von Fourth-Party-Anbietern regelm��ig pr�fen.
4. Konzentrationsrisiko bewerten: Keine kritischen Operationen zu stark von einer Third-/Fourth-Party-Kette abh�ngig machen.
5. Verantwortlichkeit durchsetzen: Vertr�ge m�ssen Vendors f�r Probleme ihrer Subunternehmer haftbar machen.

Proaktives Sub-Outsourcing-Risk-Management st�rkt Resilienz und volle DORA-Compliance.

Vertragliche Controls nach Vendor-Verhandlungsmacht

Die durchsetzbaren Controls h�ngen von der Verhandlungsmacht ab. Beispiele:

• Gro�e Vendors (z. B. Microsoft): Fokus auf branchen�bliche Compliance und realistische SLAs; individuelle Klauseln sind schwerer durchsetzbar.
• Kleine Vendors (z. B. KMU oder Startups): Spezifischere Controls m�glich � h�ufige Audits, angepasste Resilienzanforderungen, k�rzere Vertr�ge zur Leistungsbewertung.

Zus�tzliche vertragliche Controls

Zur St�rkung von Vendor-Vereinbarungen:

1. Escrow-Vereinbarungen:
   • Zugang zu kritischer Software oder Daten bei Vendor-Ausfall oder Non-Compliance.
2. Kurzfristige Vertr�ge:
   • J�hrliche oder halbj�hrliche Vertr�ge zur regelm��igen Pr�fung von Performance und DORA-Compliance.
   • Flexibilit�t zur Neugestaltung oder Anbieterwechsel bei Bedarf.

Third-Party-Risk-Szenarien

Beim Third-Party-Risk-Management sollten Unternehmen konkrete Risikoszenarien vorbereiten. Beispiele:

1. Vendor-Cyberangriff

• Szenario: Vendor-Systeme werden durch Ransomware kompromittiert � Auswirkung auf Ihren Betrieb.
• Minderung: Regelm��ige Vendor-Audits, starke Cybersicherheitsanforderungen, Datensicherungen.

2. Vendor-Systemausfall

• Szenario: Cloud- oder Softwaresystem eines Vendors f�llt unerwartet aus.
• Minderung: Anbieter diversifizieren, Backup-Systeme, regelm��ige Tests alternativer L�sungen.

3. Vendor-Datenpanne

• Szenario: Sensible Kundendaten durch schwache Vendor-Security-Controls offengelegt.
• Minderung: Gr�ndliche Due Diligence, Datensicherheitsma�nahmen in Vertr�gen, Compliance-Monitoring.

Vorbereitung auf diese Szenarien erm�glicht schnelle, wirksame Reaktionen zur Minimierung von Third-Party-Risiken.

Oversight-Framework f�r kritische ICT-Third-Party-Dienstleister

DORA f�hrt strenge Oversight-Anforderungen f�r kritische ICT-Third-Party-Dienstleister ein. St�rungen bei diesen Anbietern k�nnen die Finanzstabilit�t weit reichend beeintr�chtigen.

Kritische ICT-Anbieter identifizieren

Kritische ICT-Anbieter sind Third-Party-Vendors, deren Dienste f�r den Betrieb unverzichtbar sind. Kriterien:

• Bedeutung des Vendors f�r essenzielle Dienste.
• Auswirkung eines Vendor-Ausfalls auf Betrieb und Kunden.
• Verf�gbarkeit alternativer Anbieter.

Zentrale Oversight-Ma�nahmen unter DORA

F�r kritische ICT-Anbieter m�ssen Unternehmen:

1. Erweitertes Monitoring: Regelm��ige Audits und Risk Assessments.
2. Transparenz sicherstellen: Offenlegung eigener Third-Party-Risiken und Sicherheitsma�nahmen.
3. Regelm��ige Resilienztests: Resilienz der Systeme kritischer ICT-Vendors pr�fen.

Ein robustes Oversight-Framework stellt sicher, dass kritische ICT-Anbieter DORA-Standards erf�llen und zur operativen Resilienz beitragen.

Wie Supplier Shield DORA-Third-Party-Risk-Management-Compliance vereinfacht

Third-Party-Risiken zu managen und DORA-konform zu bleiben kann �berw�ltigend wirken � Tools wie Supplier Shield vereinfachen den Prozess.

Alles beginnt hier

Supplier Shield bietet umfassende L�sungen, mit denen Unternehmen:

• Vendors effektiv verfolgen und managen k�nnen.
• Due Diligence automatisieren f�r ICT-Third-Party-Anbieter.
• Resilienztests durchf�hren, um regulatorische Standards zu erf�llen.
• ICT-Risk-Register pflegen f�r Ordnung und Compliance.

Mit Supplier Shield straffen Unternehmen TPRM-Prozesse, minimieren Risiken und sichern volle DORA-Compliance. Lassen Sie uns sprechen!

NIS2 und Third-Party Risk Management

Die Network and Information Security Directive 2 (NIS2) ist eine weitere Verordnung, die eng mit DORA �bereinstimmt. NIS2 verbessert die Cybersicherheit in kritischen EU-Sektoren � inklusive Third-Party Risk Management.

Zentrale Gemeinsamkeiten von NIS2 und DORA

1. Vendor Risk Management: Beide verlangen Bewertung und Minderung von Risiken durch Third-Party-ICT-Vendors.
2. Vorfallsmeldung: Wesentliche Cybersicherheitsvorf�lle m�ssen schnell gemeldet werden.
3. Resilienztests: NIS2 betont wie DORA die Bedeutung von ICT-Tests gegen St�rungen.

Warum NIS2 f�r DORA-Compliance wichtig ist

NIS2 st�rkt die Gesamt-Cybersicherheit und unterst�tzt direkt die DORA-Compliance. Third-Party-Risiken unter NIS2 adressiert zu haben, verbessert Resilienz und Alignment mit DORA-Anforderungen.

Mehr zur Cybersicherheits-Resilienz: Supplier Shields Insights zum Third-Party Risk Management.

SEC Cybersecurity Disclosure Rules: 9 zentrale Fragen an Third Parties

Die US-Securities and Exchange Commission (SEC) hat Regeln eingef�hrt, die Offenlegung von Cybersicherheitsrisiken und -vorf�llen verlangen � im Einklang mit DORAs Fokus auf Third-Party Risk Management.

9 zentrale Fragen an Third-Party-Vendors

F�r DORA- und SEC-Anforderungen sollten Unternehmen Vendors fragen:

Diese Fragen schaffen Klarheit �ber Vendor-Risiken und sichern Compliance mit DORA und SEC-Cybersicherheitsregeln.

Fazit

Der Digital Operational Resilience Act (DORA) ist ein umfassender Rahmen, der Unternehmen im Finanzsektor stark und sicher h�lt � auch bei ICT-St�rungen. Durch Third-Party Risk Management, Resilienztests und klare Oversight kritischer ICT-Anbieter mindern Organisationen Risiken und erhalten operative Resilienz.

Tools wie Supplier Shield vereinfachen DORA-Compliance durch automatisierte Vendor-Risk-Assessments, Resilienztests und Risk-Register-Management. Schulungen der Abilene Academy st�rken Vendor-Security-Frameworks im Team.

Proaktives Risikomanagement bedeutet nicht nur DORA-Compliance, sondern auch Vertrauen, Schutz von Kundendaten und langfristige Resilienz in einer zunehmend digitalen Welt.

FAQ

1. Was ist DORA und warum ist er wichtig? DORA ist der Digital Operational Resilience Act � eine EU-Verordnung, die sicherstellt, dass Finanzinstitute ICT-St�rungen �berstehen und Third-Party-Risiken effektiv managen.

2. Was sind die zentralen Anforderungen f�r Third-Party-Risk-Management unter DORA? Due Diligence, ICT-Risk-Register, Resilienztests und Management von Sub-Outsourcing-Risiken.

3. Was sind Resilienztests und wie helfen sie? Resilienztests pr�fen ICT-Systeme auf Schwachstellen und stellen sicher, dass sie St�rungen wie Cyberangriffe oder Ausf�lle �berstehen.

4. Wie behandelt DORA kritische ICT-Third-Party-Anbieter? DORA verlangt erweitertes Monitoring, regelm��ige Audits und Resilienztests f�r kritische Third-Party-ICT-Anbieter, deren Ausfall den Betrieb schwer beeintr�chtigen k�nnte.

5. Wie helfen Tools wie Supplier Shield bei DORA-Compliance? Supplier Shield automatisiert Vendor-Assessments, Resilienztests und Risk-Register-Management und erleichtert die Erf�llung der DORA-Vorgaben.

?