Kiteworks | Your Private Data Network

Secure File Sharing and Governance Platfform

Kostenlos testen KITEWORKS ERKUNDEN
Home > Sicherheits- und Compliance-Blog > Unkategorisiert > Wie Sie das Third-Party Risk Management gemäß DORA umsetzen

Wie Sie das Third-Party Risk Management gemäß DORA umsetzen

von Danielle Barbour updated April 3, 2026 Third-Party-Risiko
Lesezeit: 9 Minuten

Finanzinstitute in ganz Europa agieren in einem regulatorischen Umfeld, in dem die operative Resilienz maßgeblich von Drittanbietern abhängt. Der Digital Operational Resilience Act (DORA) legt verbindliche Anforderungen für das Management von Drittparteirisiken fest, insbesondere für kritische ICT-Dienstleister. Übernehmen Anbieter Aufgaben wie Zahlungsabwicklung, Cloud-Infrastruktur oder Kundendatenmanagement, werden deren Schwachstellen zu Risiken für Ihr Unternehmen.

Die Umsetzung des Drittparteirisikomanagements nach DORA verlangt von Finanzunternehmen, Governance-Rahmenwerke zu etablieren, Sorgfaltspflichten durchzuführen, die Leistung der Anbieter zu überwachen und Ausstiegsstrategien vorzuhalten. Dieser Artikel erläutert, wie Sie ein konformes Drittparteirisikomanagement-Programm aufbauen, das die spezifischen Anforderungen von DORA erfüllt und sich gleichzeitig in bestehende Unternehmensrisikofunktionen integriert.

Executive Summary

DORA verpflichtet Finanzunternehmen zu einer umfassenden Überwachung der Drittanbieter, die kritische Geschäftsprozesse unterstützen. Dazu gehört die Benennung kritischer ICT-Drittanbieter, die Durchführung von Vorabprüfungen, die Aufnahme spezifischer Vertragsklauseln, die kontinuierliche Überwachung sowie die Pflege von Ausstiegsplänen. Für Sicherheitsverantwortliche reicht die Herausforderung weit über Anbieterfragebögen hinaus. DORA verlangt dokumentierte Risikoanalysen, aktive Leistungsüberwachung, die Erstellung von Audit-Trails für regulatorische Prüfungen und Resilienztests, die auch Drittparteien einbeziehen.

wichtige Erkenntnisse

  1. DORAs Vorgaben zum Drittparteirisiko. Der Digital Operational Resilience Act (DORA) stellt strenge Anforderungen an Finanzunternehmen, um ICT-Risiken von Drittparteien zu steuern. Die Überwachung kritischer Dienstleister schützt die operative Resilienz.
  2. Identifikation kritischer Anbieter. Finanzunternehmen müssen kritische ICT-Drittanbieter klassifizieren und registrieren sowie Behörden über Abhängigkeiten informieren, die regulierte Aktivitäten stören oder erhebliche Betriebsstörungen verursachen könnten.
  3. Umfassende Anbieterüberwachung. DORA fordert eine robuste Governance, Sorgfaltspflichten, Vertragsklauseln, kontinuierliche Überwachung und Ausstiegsstrategien, um Risiken über den gesamten Anbieterlebenszyklus zu minimieren und Compliance sicherzustellen.
  4. Datensicherheit bei der Zusammenarbeit mit Anbietern. Der Schutz sensibler Daten, die mit Drittanbietern geteilt werden, ist essenziell. Verschlüsselung, Zugriffskontrollen und zero trust-Architekturen verhindern Datenschutzverstöße und gewährleisten regulatorische Vorgaben.

DORAs Rahmenwerk für das Management von Drittparteirisiken verstehen

DORA etabliert ein regulatorisches Rahmenwerk, das die Resilienz von Drittanbietern als untrennbar mit der Resilienz des eigenen Unternehmens verknüpft. Finanzunternehmen müssen identifizieren, welche ICT-Dienstleister kritische oder wichtige Funktionen unterstützen, und darauf abgestimmte Risikomanagementmaßnahmen je nach Rolle für die Geschäftskontinuität anwenden.

Die Regulierung unterscheidet zwischen gewöhnlichen Anbietern und solchen, deren Ausfall die Geschäftstätigkeit wesentlich beeinträchtigen würde. Wenn ein Cloud-Anbieter das Transaktionssystem hostet oder ein Softwareanbieter die Kunden-Authentifizierung steuert, entsteht daraus ein operatives Risiko. DORA verlangt, dass Finanzunternehmen bewerten, ob ein Anbieterausfall Dienstleistungen stören, Compliance-Anforderungen verletzen oder die finanzielle Stabilität gefährden würde.

Dieses Rahmenwerk gilt über den gesamten Anbieterlebenszyklus hinweg. Die Vorabprüfung bewertet, ob ein Anbieter Sicherheits-, Resilienz- und Compliance-Standards erfüllt. Vertragsvereinbarungen müssen spezifische Regelungen zu Zugriffsrechten, Audit-Möglichkeiten, Datenschutz und Kündigungsmodalitäten enthalten. Die Überwachung nach Vertragsabschluss stellt die fortlaufende Compliance sicher und erkennt Leistungsabfälle oder neue Risiken frühzeitig.

Kritische ICT-Drittanbieter definieren

DORA führt das Konzept kritischer ICT-Drittanbieter ein, die einer direkten regulatorischen Aufsicht unterliegen. Finanzunternehmen müssen ein Register dieser kritischen Anbieter führen und Aufsichtsbehörden über neue Benennungen informieren.

Ein Anbieter gilt als kritisch, wenn sein Ausfall das Finanzunternehmen an der Ausführung regulierter Aktivitäten hindern, erhebliche Betriebsstörungen verursachen oder zu unzumutbaren finanziellen Verlusten führen würde. Cloud-Infrastruktur-Anbieter, die Kernbankensysteme hosten, erfüllen diese Kriterien typischerweise. Zahlungsdienstleister, Anbieter von Kernbankensoftware und Managed Security Service Provider zählen häufig aufgrund ihrer operativen Bedeutung dazu.

Organisationen müssen die Kriterien zur Bestimmung der Kritikalität dokumentieren. Die Bewertung berücksichtigt die Rolle des Anbieters für die Geschäftskontinuität, die Verfügbarkeit von Alternativen, die Komplexität einer Migration sowie die potenziellen Auswirkungen auf Kunden und Geschäftspartner. Das Register kritischer Anbieter ist aktuell zu halten, bei veränderten Abhängigkeiten zu aktualisieren und auf Anfrage den zuständigen Behörden bereitzustellen.

Governance-Strukturen für die Anbieterüberwachung etablieren

Effektives Drittparteirisikomanagement nach DORA erfordert Governance-Strukturen, die Einkauf, Sicherheit, Recht und Resilienz abdecken. Die Geschäftsleitung muss Richtlinien für die Anbieterauswahl, Vertragsstandards und laufende Überwachungsaufgaben genehmigen.

Das Governance-Rahmenwerk sollte klare Verantwortlichkeiten für die Anbieterrisikobewertung festlegen. Sicherheitsteams prüfen technische Kontrollen und Schwachstellenmanagement. Rechtsteams bewerten die Durchsetzbarkeit von Verträgen und regulatorische Anforderungen. Fachabteilungen bestätigen betriebliche Anforderungen und Wiederherstellungszeiten. Das Risikomanagement konsolidiert diese Informationen zu unternehmensweiten Risikobewertungen, die die Entscheidungsfindung unterstützen.

Diese Struktur muss auch das Konzentrationsrisiko adressieren. DORA verlangt von Finanzunternehmen, das Konzentrationsrisiko sowohl auf Anbieterebene als auch auf Sektorebene zu bewerten und zu dokumentieren – denn eine zu starke Abhängigkeit von einem einzelnen Cloud- oder Infrastruktur-Anbieter kann sektorübergreifend systemische Risiken schaffen. Wenn mehrere kritische Funktionen von einem Anbieter abhängen, verschärfen sich Ausfallszenarien. Finanzunternehmen müssen solche Abhängigkeiten identifizieren, überwachen und – wo möglich – durch architektonische Diversifizierung oder vertragliche Risikominderungen reduzieren.

Vorvertragliche Sorgfaltspflichten und Risikobewertung durchführen

Vor der Beauftragung eines ICT-Dienstleisters müssen Finanzunternehmen eine dokumentierte Sorgfaltsprüfung vornehmen, die technische Fähigkeiten, Sicherheitskontrollen, Servicekontinuität und Compliance bewertet. Diese Prüfung stellt sicher, dass der Anbieter Mindeststandards erfüllt und dient als Grundlage für Vertragsverhandlungen.

Die Sorgfaltsprüfung beginnt mit der Analyse, auf welche Daten der Anbieter zugreift, welche er verarbeitet oder speichert. Anbieter, die Zahlungsdaten, personenbezogene Daten oder Authentifizierungsinformationen handhaben, benötigen stärkere Kontrollen als solche, die keine sensiblen Dienste bereitstellen. Die Bewertung muss sicherstellen, dass die Sicherheitsarchitektur des Anbieters zur Sensibilität und Kritikalität der betreffenden Daten passt.

Die technische Prüfung umfasst das Schwachstellenmanagement, Patch-Management, Verschlüsselungsstandards, Zugriffskontrollen und die Fähigkeit zur Incident Response des Anbieters. Unabhängige Prüfberichte, Penetrationstest-Zusammenfassungen oder Zertifizierungen wie ISO 27001 oder SOC2 liefern zusätzliche Validierung über Fragebögen hinaus.

Die Resilienzanalyse bewertet die Notfallwiederherstellung und Geschäftskontinuität des Anbieters. Finanzunternehmen müssen sicherstellen, dass Anbieter Backups vorhalten, Wiederherstellungsprozesse testen und Wiederherstellungszeiten einhalten, die zu den eigenen Anforderungen passen.

ICT-Dienstleister lagern häufig Teilfunktionen an spezialisierte Subunternehmer aus. DORA verlangt von Finanzunternehmen Transparenz über wesentliche Subunternehmerbeziehungen. Verträge müssen vorsehen, dass Anbieter das Finanzunternehmen informieren, bevor Subunternehmer mit Zugang zu sensiblen Daten oder kritischen Funktionen beauftragt werden. Das Finanzunternehmen behält sich das Recht vor, Subunternehmerbeziehungen auf Basis einer Risikobewertung zu genehmigen oder abzulehnen. Die vollständige Kenntnis der Abhängigkeitskette ermöglicht es, Ausfallszenarien zu modellieren und Gegenmaßnahmen zu planen.

Vertragsgestaltung für DORA-Compliance

DORA schreibt Vertragsklauseln vor, die in Vereinbarungen mit ICT-Drittanbietern enthalten sein müssen. Diese Regelungen geben Finanzunternehmen die notwendige Transparenz, Kontrolle und Kündigungsrechte für Geschäftskontinuität und Compliance.

Verträge müssen Finanzunternehmen und deren zuständigen Behörden uneingeschränkten Zugang zu den Räumlichkeiten, Systemen und Aufzeichnungen des Anbieters für Audit- und Prüfzwecke gewähren. Dieses Zugriffsrecht gilt auch für Subunternehmer. Kündigungsrechte sind ein weiteres Muss: Verträge müssen es Finanzunternehmen ermöglichen, Vereinbarungen ohne Strafzahlungen zu beenden, wenn die Anbieterleistung nachlässt, Sicherheitskontrollen versagen oder regulatorische Anforderungen sich ändern.

Service Level Agreements müssen Leistungskennzahlen, Messmethoden und Pflichten zur Behebung bei Grenzwertüberschreitungen definieren. Konkrete Kennzahlen wie Systemverfügbarkeit, maximale Reaktionszeiten bei Sicherheitsvorfällen und Wiederherstellungszeiten schaffen messbare Standards und verhindern Durchsetzungsprobleme.

Verträge mit ICT-Dienstleistern müssen Datenschutzpflichten festlegen, darunter Verschlüsselungsanforderungen, Vorgaben zum Datenstandort und Löschverfahren bei Vertragsende. Vorgaben zum Datenstandort adressieren das Jurisdiktionsrisiko. Finanzunternehmen sollten präzisieren, wo Daten verarbeitet und gespeichert werden dürfen – besonders bei grenzüberschreitender Datenübertragung.

Pflichten zur Vorfallbenachrichtigung verlangen, dass Anbieter Finanzunternehmen umgehend über Sicherheitsverletzungen, Systemausfälle oder Dienstunterbrechungen informieren. Die Benachrichtigungsfristen sollten in Stunden, nicht Tagen gemessen werden. Vertragsklauseln sollten festlegen, welche Informationen Anbieter in Vorfallmeldungen bereitstellen müssen, um eine schnelle Einschätzung und Reaktion zu ermöglichen.

DORA verlangt von Finanzunternehmen dokumentierte Ausstiegsstrategien für kritische ICT-Drittanbieter. Diese beginnen mit Anforderungen an die Datenportabilität. Verträge müssen Datenformate, Exportmechanismen und Fristen für die Rückgabe von Daten bei Vertragsende festlegen. Übergabepflichten sollten den ausscheidenden Anbieter verpflichten, die Migration zu unterstützen, Dokumentation bereitzustellen und die Servicekontinuität während der Übergabe zu sichern.

Finanzunternehmen sollten Beziehungen zu alternativen Anbietern pflegen oder interne Fähigkeiten entwickeln, um Abhängigkeiten zu reduzieren. Das Testen von Ausstiegsstrategien prüft Annahmen zu Komplexität und Zeitbedarf von Übergängen. Organisationen sollten regelmäßig Anbieterwechsel simulieren, um Lücken in der Dokumentation oder Abhängigkeiten von proprietären Funktionen zu erkennen.

Kontinuierliche Überwachung und Leistungssteuerung implementieren

Vertragliche Vereinbarungen schaffen die Basis, kontinuierliche Überwachung stellt die fortlaufende Compliance sicher. Finanzunternehmen müssen Prozesse etablieren, die Leistungsabfälle, Versagen von Sicherheitskontrollen oder neue Risiken erkennen, bevor sie den Betrieb beeinträchtigen.

Die Überwachung beginnt mit definierten Kennzahlen, die sich an den Service Level Agreements orientieren. Systemverfügbarkeit, Transaktionszeiten, Patch-Management-Intervalle und Reaktionszeiten auf Sicherheitsvorfälle liefern messbare Indikatoren für die Anbieterleistung. Automatisierte Erfassung dieser Kennzahlen reduziert manuellen Aufwand und erhöht Genauigkeit sowie Aktualität.

Die Sicherheitsüberwachung fokussiert auf die Wirksamkeit der Kontrollen. Finanzunternehmen sollten regelmäßig Sicherheitsbewertungen, Penetrationstests und Auditberichte der Anbieter prüfen. Die Resilienzüberwachung bewertet, ob Anbieter durch regelmäßige Tests von Backups und Validierung der Wiederherstellungszeiten ihre Geschäftskontinuität und Notfallwiederherstellung sicherstellen.

Drittparteirisikodaten sollten in unternehmensweite Risikomanagementsysteme einfließen, die konsolidierte Transparenz über das gesamte Anbieterportfolio bieten. Risikoberichte müssen Hochrisiko-Anbieter anhand von Sicherheitslage, Resilienzkriterien und Geschäftskritikalität identifizieren. Trendanalysen zeigen Anbieter mit abnehmender Leistung oder Sicherheitslage auf, sodass proaktives Handeln möglich ist. Die Integration in umfassende Resilienzrahmenwerke stellt sicher, dass Anbieterabhängigkeiten in Szenarioanalysen und Stresstests einfließen.

Vorbereitung auf regulatorische Berichterstattung und Aufsicht

DORA verlangt von Finanzunternehmen, Register über ICT-Drittanbieter zu führen und kritische Abhängigkeiten den zuständigen Behörden zu melden. Das Register muss jeden Anbieter identifizieren, die erbrachten Leistungen beschreiben, die Kritikalität klassifizieren, Risikobewertungen dokumentieren und die vertragliche Compliance mit DORA bestätigen.

Aufsichtsbehörden können detaillierte Informationen zu einzelnen Anbieterbeziehungen, Vertragsklauseln, Risikobewertungen oder Vorfallhistorien anfordern. Die Beantwortung solcher Anfragen erfordert zugängliche Dokumentation und klare Verantwortlichkeiten. Organisationen sollten zentrale Ablagen führen, in denen Verträge, Risikobewertungen, Auditberichte und Vorfallprotokolle gespeichert und abrufbar sind.

Kommt es bei kritischen ICT-Drittanbietern zu erheblichen Betriebsstörungen, müssen Finanzunternehmen die Aufsichtsbehörden fristgerecht informieren. DORA etabliert ein Aufsichtsrahmenwerk für kritische ICT-Drittanbieter, das den Behörden direkte Prüfungsrechte einräumt. Finanzunternehmen müssen bei Aufsichtsmaßnahmen kooperieren und auf Anfragen zu Anbieterbeziehungen innerhalb der regulatorischen Fristen reagieren.

Sensible Datenkommunikation mit Drittanbietern absichern

Finanzunternehmen teilen regelmäßig Kundendaten, Transaktionsdaten und Authentifizierungsinformationen mit ICT-Dienstleistern. Jeder Datenaustausch birgt Risiken. Die Datenklassifizierung bestimmt die Schutzmaßnahmen. Zahlungsdaten erfordern Verschlüsselung und Tokenisierung. Personenbezogene Daten lösen Datenschutzpflichten aus. Authentifizierungsdaten verlangen privilegiertes Zugriffsmanagement und Überwachung.

Die Verschlüsselung von Daten während der Übertragung schützt vor Abfangen beim Transfer zu Anbietersystemen. Transport Layer Security (TLS) 1.3 ist der Mindeststandard für sichere Datenübertragung. Finanzunternehmen sollten sicherstellen, dass Anbieter aktuelle Protokolle und starke Cipher Suites einsetzen. AES-256-Verschlüsselung für ruhende Daten schützt Informationen in Anbietersystemen vor unbefugtem Zugriff.

Zugriffskontrollen begrenzen, welche Mitarbeiter des Anbieters auf Kundendaten zugreifen dürfen. Finanzunternehmen sollten verlangen, dass Anbieter das Least-Privilege-Prinzip umsetzen, Anwender mit Multi-Faktor-Authentifizierung authentifizieren und Zugriffsereignisse für Audit-Zwecke protokollieren. Zero-trust-Architekturen gehen davon aus, dass der Netzwerkstandort keine Sicherheit bietet. Anbieter, die auf Systeme oder Daten des Finanzunternehmens zugreifen, müssen sich explizit authentifizieren, erhalten nur Zugriff auf notwendige Ressourcen und alle Aktivitäten werden kontinuierlich überwacht.

Identitätsprüfung stellt sicher, dass Anwender über starke Anmeldedaten und Multi-Faktor-Authentifizierung auf Systeme zugreifen. Granulare Autorisierung beschränkt den Anbieterzugriff auf bestimmte Anwendungen, Datensätze oder Funktionen, die für die Leistungserbringung erforderlich sind. Kontinuierliche Überwachung erkennt abweichendes Verhalten von Anbietern. Weichen Zugriffsmuster von etablierten Baselines ab, ermöglichen automatisierte Alarme eine schnelle Untersuchung.

Servicekontinuität durch Drittparteirisikomanagement sichern

Drittparteirisikomanagement nach DORA geht über Compliance-Checklisten hinaus. Finanzielle Resilienz erfordert, dass Finanzunternehmen Anbieterausfälle antizipieren, Reaktionsfähigkeit vorhalten und kritische Funktionen innerhalb akzeptabler Zeiträume wiederherstellen können.

Szenarioplanung modelliert die Auswirkungen kritischer Anbieterausfälle. Tests validieren Annahmen durch Tabletop-Übungen, die Anbieterausfälle simulieren, und technische Failover-Tests, die Backup-Systeme und Wiederherstellungszeiten überprüfen.

Die Integration in Incident-Response-Programme stellt sicher, dass Anbieterausfälle etablierte Abläufe auslösen. Incident-Response-Playbooks sollten anbieterspezifische Szenarien enthalten, die Erkennung, Bewertung, Eindämmung und Wiederherstellung definieren. Wiederherstellungsfähigkeit hängt von Alternativen ab. Multi-Anbieter-Strategien, hybride Architekturen oder interne Kompetenzen bieten Optionen, wenn Hauptanbieter ausfallen.

Drittparteiresilienz durch sichere Datenkommunikation stärken

Finanzinstitute setzen robuste Drittparteirisikomanagement-Frameworks um, indem sie Datenflüsse zwischen internen Systemen und Anbietersystemen absichern. Das Private Data Network von Kiteworks bietet Finanzunternehmen eine dedizierte Plattform, um sensible Inhalte, die mit ICT-Dienstleistern geteilt werden, zu schützen. Anstatt auf vom Anbieter verwaltete File-Transfer-Systeme oder E-Mail-Kanäle ohne Ende-zu-Ende-Verschlüsselung zu setzen, schaffen Organisationen eine kontrollierte Umgebung, in der der Datenaustausch unter zero trust- und inhaltsbasierten Richtlinien erfolgt.

Kiteworks erzwingt AES-256-Verschlüsselung für ruhende Daten und TLS 1.3 für Datenübertragungen, sodass sensible Informationen während ihres gesamten Lebenszyklus geschützt bleiben. Granulare Zugriffskontrollen legen fest, welche Anbieteranwender auf bestimmte Dateien oder Ordner zugreifen dürfen und setzen das Least-Privilege-Prinzip um. Multi-Faktor-Authentifizierung prüft die Identität der Anbieteranwender, bevor Zugriff auf geteilte Inhalte gewährt wird.

Inhaltsbasierte Richtlinien prüfen Dateien auf sensible Datenmuster, bevor eine Übertragung erlaubt wird. Automatisierte Data Loss Prevention erkennt Zahlungsdaten, persönliche Identifikatoren oder vertrauliche Informationen und blockiert entweder die Übertragung oder setzt zusätzliche Kontrollen ein. Unveränderliche Audit-Trails erfassen jeden Zugriff, Download und jede Freigabe durch Anbieteranwender und liefern forensische Nachweise für Vorfalluntersuchungen und regulatorische Prüfungen.

Compliance-Mapping-Funktionen stimmen Datenaustauschaktivitäten mit DORA-Anforderungen und anderen regulatorischen Rahmenwerken ab. Vorgefertigte Richtlinienvorlagen kodifizieren vertragliche Datenschutzpflichten in durchsetzbare technische Kontrollen. Workflow-Automatisierung integriert den Datenaustausch mit Anbietern in bestehende Einkaufs-, Sicherheits- und Risikomanagementprozesse. Wenn Anbieter Zugriff auf sensible Daten benötigen, leiten Genehmigungsworkflows Anfragen an die zuständigen Stellen weiter, bevor Berechtigungen vergeben werden.

Erfahren Sie, wie das Private Data Network von Kiteworks Ihr Drittparteirisikomanagement stärken und die DORA-Anforderungen für den Schutz sensibler Daten bei der Zusammenarbeit mit ICT-Dienstleistern erfüllen kann – vereinbaren Sie eine individuelle Demo, die auf Ihr Anbietersystem und Ihre regulatorischen Vorgaben zugeschnitten ist.

Fazit

Die Umsetzung des Drittparteirisikomanagements nach DORA verlangt von Finanzunternehmen, die Anbieterüberwachung von administrativen Prozessen zu einer strategischen Resilienzfähigkeit weiterzuentwickeln. Durch die Klassifizierung kritischer ICT-Dienstleister, gründliche Sorgfaltspflichten, durchsetzbare Vertragsklauseln und kontinuierliche Überwachung schaffen Organisationen Schutz vor durch Anbieter verursachte Störungen. Wer DORA-Compliance als Grundlage und nicht als Obergrenze versteht, stärkt das Vertrauen von Geschäftspartnern, verschafft sich Wettbewerbsvorteile und ist bestens vorbereitet, wenn die Aufsichtsbehörden anklopfen.

Häufig gestellte Fragen

Der Digital Operational Resilience Act (DORA) ist eine europäische Verordnung, die verbindliche Anforderungen für Finanzinstitute zur Steuerung von Drittparteirisiken festlegt, insbesondere im Hinblick auf kritische ICT-Dienstleister. Er schreibt eine umfassende Überwachung vor, einschließlich Governance-Rahmenwerk, Sorgfaltspflichten, kontinuierlicher Überwachung und Ausstiegsstrategien, damit Schwachstellen bei Drittanbietern nicht zu Risiken für das Unternehmen werden.

Nach DORA gelten ICT-Drittanbieter als kritisch, wenn deren Ausfall ein Finanzunternehmen an der Ausführung regulierter Aktivitäten hindern, erhebliche Betriebsstörungen verursachen oder zu unzumutbaren finanziellen Verlusten führen würde. Beispiele sind Cloud-Infrastruktur-Anbieter für Kernbankensysteme oder Zahlungsdienstleister. Finanzunternehmen müssen ein Register dieser Anbieter führen und Aufsichtsbehörden über neue Benennungen informieren.

Die vorvertragliche Sorgfaltspflicht nach DORA umfasst die Bewertung der technischen Fähigkeiten, Sicherheitskontrollen, Servicekontinuität und Compliance eines Drittanbieters. Dazu gehören die Analyse der Datensensibilität, die Überprüfung der Sicherheitsarchitektur, das Schwachstellenmanagement sowie die Bestätigung von Notfallplänen. Finanzunternehmen müssen zudem Transparenz über Subunternehmerbeziehungen sicherstellen, die kritische Funktionen betreffen.

Kontinuierliche Überwachung ist nach DORA entscheidend, um fortlaufende Compliance sicherzustellen und Leistungsabfälle oder neue Risiken frühzeitig zu erkennen, bevor sie den Betrieb beeinträchtigen. Dazu gehört das Tracking von Kennzahlen wie Systemverfügbarkeit und Reaktionszeiten, die regelmäßige Überprüfung von Sicherheitsbewertungen und die Integration von Drittparteirisikodaten in das unternehmensweite Risikomanagement für konsolidierte Transparenz und proaktives Handeln.

Jetzt loslegen.

Es ist einfach, mit Kiteworks die gesetzliche Vorgaben einzuhalten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sicher sind, wie sie vertrauliche Daten zwischen Personen, Maschinen und Systemen austauschen. Beginnen Sie noch heute.

DEMO ANSCHAUEN

Table of Contents

Table of Content
Teilen
Twittern
Teilen
Explore Kiteworks