Third-Party ICT Provider – Praxis

Third-Party ICT Provider-Management ist im DORA-Audit der Pruefpunkt, der am haeufigsten aufwendige Nacharbeit ausloest -- weil Register fehlen, Vertraege nicht DORA-konform sind und Konzentrationsrisiken nicht bewertet wurden. Was konkret geprueft wird, zeigt dieser Abschnitt.

Was Auditoren konkret pruefen

Bei einer Pruefung von Third-Party ICT Provider prueft der Auditor die Vollstaendigkeit des Registers, die Konformitaet der Vertraege und das Vorhandensein eines Ausstiegsplans. Das BAM-Objekt CROSS-TP-01 definiert im Evidence-Feld, was konkret vorgelegt werden muss.

Haeufige Fehler

• Register unvollstaendig -- SaaS-Dienste, Cloud-Services und Datendienste fehlen
• Bestandsvertraege enthalten nicht die DORA-Mindestinhalte
• Keine Kritikalitaetsbewertung fuer jeden Drittanbieter
• Kein Ausstiegsplan fuer kritische Dienste

Umsetzung Schritt fuer Schritt

Erster Schritt: Vollstaendiges Inventar aller IKT-Drittanbieter aufbauen -- mit Kritikalitaetsbewertung (kritisch / wichtig / sonstig). Zweiter Schritt: Vertragspruefung gegen DORA Art. 30 -- Luecken identifizieren. Dritter Schritt: Fehlende Vertragsklauseln bei naechster Gelegenheit einfordern. Vierter Schritt: Konzentrationsrisiko-Analyse durchfuehren. Fuenfter Schritt: Ausstiegsstrategien fuer kritische Dienste dokumentieren. Sechster Schritt: Laufendes Monitoring aller IKT-Drittanbieter implementieren.

Evidence-Anforderungen im Audit

Der Auditor erwartet: vollstaendiges, datiertes IKT-Drittanbieter-Register mit Kritikalitaetsbewertung, alle massgeblichen Vertraege mit Pruefung gegen DORA-Mindestinhalte, Konzentrationsrisiko-Analyse, Ausstiegsstrategien fuer kritische Dienste und Nachweise des laufenden Monitorings (z.B. Service-Level-Reports, Sicherheitsberichte der Anbieter).

Die strategische Einordnung -- warum Third-Party ICT Provider-Management langfristig mehr als eine regulatorische Pflicht ist -- findet sich auf Ebene 3.