Compliance-Lexikon · DORA
Third-Party ICT Provider
[θɜːd ˈpɑːti aɪ siː tiː prəˈvaɪdə] · auch: IKT-Drittanbieter, Drittdienstleister
Third-Party ICT Provider sind externe Anbieter, die IKT-Systeme, -Dienste oder -Prozesse fuer Finanzunternehmen bereitstellen -- von Cloud-Diensten ueber Kernsysteme bis zu Datenanalysediensten -- und die nach DORA einem vollstaendigen Risikomanagement- und Ueberwachungsregime unterliegen.
Warum Third-Party ICT Provider-Management wichtig ist
Die groessten IKT-Vorfaelle im Finanzsektor der vergangenen Jahre hatten ihren Ursprung bei externen IKT-Dienstleistern. DORA reagiert darauf mit einem eigenstaendigen, umfassenden Regime fuer Drittparteienrisiken -- von der Vertragsgestaltung ueber laufende Ueberwachung bis zu Konzentrations-risikosteuerung und Ausstiegsstrategie. Kein anderes EU-Rahmenwerk ist bisher so konkret in den Anforderungen an IKT-Drittparteienmanagement.
Wo Third-Party ICT Provider-Management gefordert wird
| Framework | Referenz | Anforderung |
|---|---|---|
| DORA | Art. 28-44 | IKT-Drittparteienrisiko: Vollstaendiges Regime fuer Vertragsgestaltung, Ausstiegsstrategien, Register, Konzentrations-risiken und kritische Anbieter. |
| DORA | Art. 28 | Allgemeine Grundsaetze: Sorgfaltspflicht bei Auswahl und laufende Ueberwachung von IKT-Drittanbietern. |
| DORA | Art. 30 | Wichtige Vertragsbestimmungen: Mindestinhalte fuer Vertraege mit IKT-Drittanbietern (RTO, RPO, Sicherheitsanforderungen, Pruefungsrechte). |
| DORA | Art. 31 | Kritische IKT-Drittanbieter: ESAs koennen systemrelevante Anbieter als kritisch einstufen -- mit eigenem Aufsichtsregime. |
| DORA | Art. 28 Abs. 2 | Konzentrationsrisiko: Abhaengigkeit von wenigen Anbietern muss bewertet und gesteuert werden. |
BAM-Objektreferenz
Haeufige Audit-Fehler
- Kein vollstaendiges Register aller IKT-Drittanbieter
- Vertraege enthalten nicht die DORA-Mindestinhalte (DORA Art. 30)
- Kein Konzentrationsrisiko-Monitoring -- Abhaengigkeit von einzelnen Anbietern nicht bewertet
- Keine Ausstiegsstrategie fuer kritische IKT-Dienste dokumentiert
Mindestvertragsinhalt nach DORA Art. 30
Vertraege mit IKT-Drittanbietern muessen nach DORA Art. 30 mindestens enthalten: klare Beschreibung der erbrachten IKT-Dienste, Standorte der Datenverarbeitung, Mindest-RTO und -RPO, Sicherheitsanforderungen und Datenschutzstandards, Pruefungsrechte des Finanzunternehmens und der Aufsichtsbehoerde, Regelungen fuer Subunternehmer, Benachrichtigungspflichten bei Sicherheitsvorfaellen, Ausstiegsbedingungen und Datenherausgabe bei Kuendigung, Anforderungen an Business-Continuity-Unterstuetzung. Bestandsvertraege muessen bei der naechsten Verlaengerung angepasst werden.
Konzentrationsrisiko und kritische IKT-Anbieter
DORA Art. 28 Abs. 2 fordert die Bewertung von Konzentrationsrisiken: Wenn ein Finanzunternehmen von einem einzigen IKT-Anbieter fuer kritische Dienste abhaengt, ist das ein Risiko -- aber auch wenn der gesamte Sektor auf wenige Anbieter konzentriert ist. DORA Art. 31 gibt den ESAs die Moeglichkeit, systemrelevante IKT-Anbieter als "kritisch" einzustufen, was fuer diese Anbieter ein eigenes Aufsichtsregime ausloest.
Naechste Ebene
Third-Party ICT Provider in der Praxis: Register, Vertraege und Evidence
Wie das Drittanbieter-Register aufgebaut wird, welche Vertragsanforderungen gelten und was Auditoren pruefen.