Purpose

DORA macht das IKT-Drittparteienrisiko zur eigenständigen Steuerungsaufgabe: Auslagerungen an IKT-Dienstleister dürfen die operationale Resilienz nicht aushöhlen. Bestehende Auslagerungsverträge sind selten DORA-konform — es fehlen Audit-Rechte, Ausstiegsstrategien und Subunternehmer-Regelungen. Dieser Skill baut das Informationsregister auf, prüft die Vertragsmindestinhalte und ordnet kritische Funktionen ein.

Inputs

  • Liste aller IKT-Drittdienstleister und der bezogenen Leistungen
  • Zuordnung: unterstützt der Dienst eine kritische oder wichtige Funktion?
  • Bestehende Vertragsunterlagen (Audit-Rechte, SLA, Kündigung, Subunternehmer)
  • Standort der Leistungserbringung / Datenverarbeitung (Drittland?)
  • Konzentration: mehrere kritische Funktionen bei einem Anbieter?
  • Vorhandene Ausstiegsstrategien

Sub-Agent Architecture

Drei gedankliche Rollen. Ein Register-Agent baut und pflegt das Informationsregister nach Art. 28 DORA (alle Vereinbarungen, Funktionskritikalität, Subunternehmerketten) für das aufsichtliche Reporting. Ein Vertrags-Agent gleicht jeden Vertrag mit den Mindestinhalten des Art. 30 DORA ab und markiert Lücken (Audit-Rechte, Ausstiegsstrategie, Standort, Datenschutz). Ein Risiko-Agent bewertet Vorab-Due-Diligence, Konzentrationsrisiko und ordnet ein, ob der Anbieter Kandidat für den unionsweiten Überwachungsrahmen kritischer IKT-Drittdienstleister ist. Freigabe und Vertragsverhandlung bleiben beim Menschen.

Process

1. Allgemeine Prinzipien und Informationsregister (Art. 28 DORA)

  • IKT-Drittparteienrisiko ist integraler Teil des IKT-Risikomanagement-Rahmens.
  • Informationsregister aller vertraglichen Vereinbarungen — getrennt nach Funktionen, die kritische oder wichtige Funktionen stützen.
  • Vorab-Due-Diligence, Bewertung des Konzentrationsrisikos, dokumentierte Ausstiegsstrategie für kritische Funktionen.
  • Meldung neuer Vereinbarungen über kritische Funktionen an die zuständige Behörde.

2. Wesentliche Vertragsbestimmungen (Art. 30 DORA)

Mindestinhalte für alle IKT-Verträge (Art. 30 Abs. 2 DORA): Leistungsbeschreibung, Standort der Datenverarbeitung, Datenschutz/-sicherheit, Zugang/Wiederherstellung bei Insolvenz, Kooperation mit Aufsicht, Kündigungsrechte.

Zusätzliche Inhalte für kritische oder wichtige Funktionen (Art. 30 Abs. 3 DORA):

PflichtinhaltInhalt
Service-Levelvollständige SLA mit Zielwerten
Business ContinuityNotfall- und Wiederanlaufpläne des Anbieters
Audit-Rechteuneingeschränkte Prüf- und Zugangsrechte
Ausstiegsstrategiegeordneter Exit ohne Geschäftsunterbrechung
SubunternehmerBedingungen für Weiterverlagerung

3. Kritische IKT-Drittdienstleister / Überwachungsrahmen

  • Die ESA benennen kritische IKT-Drittdienstleister; diese unterliegen einem direkten unionsweiten Überwachungsrahmen (federführender Überwacher, Empfehlungen).
  • Finanzunternehmen bleiben für ihre Auslagerung verantwortlich, auch wenn der Anbieter überwacht wird.

4. Verzahnung

  • Register und Vertragslücken fließen in die Gap-Analyse des IKT-Rahmens und die Resilienztests (TLPT-Scope) zurück.

Risks and Common Mistakes

  • Informationsregister unvollständig — es muss alle IKT-Vereinbarungen erfassen, nicht nur die kritischen; lückenhafte Register sind ein häufiger Prüfbefund.
  • Ausstiegsstrategie fehlt — für kritische Funktionen ist ein dokumentierter, geordneter Exit zwingend.
  • Konzentrationsrisiko ignoriert — mehrere kritische Funktionen bei einem Anbieter (z. B. ein Hyperscaler) erhöhen das Systemrisiko.
  • Vertragsmindestinhalte des Art. 30 DORA nicht nachgezogen — Altverträge ohne Audit-Rechte und Subunternehmer-Klauseln sind nicht DORA-konform.

Sources

Statute

Sekundärliteratur

  • Maume/Maute/Fromberger, DORA-Kommentar
  • Gleiss Lutz, „DORA — ICT risk compliance obligations"

Output Format

DORA-DRITTPARTEIENRISIKO — <Mandant> — <Datum>

I.    Informationsregister (Art. 28 DORA)   [vollständig / Lücken]
      kritische/wichtige Funktion?           je Anbieter [Ja/Nein]
II.   Due-Diligence / Konzentrationsrisiko   [bewertet / offen]
III.  Vertragsprüfung (Art. 30 DORA)
      Mindestinhalte Abs. 2                  [erfüllt / Gap-Liste]
      Zusatzinhalte Abs. 3 (krit. Funktion)  [Audit-Rechte / Ausstiegsstrategie / SLA]
IV.   Überwachungsrahmen                      [kritischer IKT-Drittdienstleister? Ja/Nein]
V.    Ausstiegsstrategie                       [dokumentiert / fehlt]

Nachbesserungsbedarf:
  Vertrag <Anbieter>: <fehlende Klauseln>
Nächster Schritt: <…>

Related Skills in DORA

View SKILL.md on GitHub