Kiteworks

Secure File Sharing and Governance Platfform

Kostenlos testen KITEWORKS ERKUNDEN
Home > Sicherheits- und Compliance-Blog > Unkategorisiert > DORA-Artikel-28-Anforderungen: Warum britische Banken dokumentierte Exit-Strategien für ICT-Drittparteien benötigen

DORA-Artikel-28-Anforderungen: Warum britische Banken dokumentierte Exit-Strategien für ICT-Drittparteien benötigen

von Danielle Barbour updated Mai 24, 2026 Third-Party-Risiko
Lesezeit: 7 Minuten

Finanzinstitute im Vereinigten Königreich stehen unter wachsendem Druck, umfassende Kontrolle über ihre ICT-Drittparteienbeziehungen nachzuweisen. DORA Artikel 28 legt spezifische Anforderungen für dokumentierte Exit-Strategien fest, die es Banken ermöglichen, kritische Anbieterbeziehungen zu beenden, ohne die betriebliche Kontinuität oder die Einhaltung gesetzlicher Vorgaben zu gefährden.

Die Herausforderung geht über einfache Vertragskündigungsklauseln hinaus. Banken müssen nachweisen, dass sie vollständige Datenmigrationen durchführen, die Servicekontinuität wahren und regulatorische Dokumentation während Anbieterwechseln erhalten können. Diese operative Komplexität erfordert architektonische Planung, die viele Institute bisher nicht effektiv umgesetzt haben.

Diese Analyse zeigt, wie Banken im Vereinigten Königreich verteidigungsfähige Exit-Strategien entwickeln können, die die Anforderungen von DORA Artikel 28 erfüllen und gleichzeitig die Agilität für wettbewerbsfähige Drittparteienbeziehungen bewahren.

Anwendbarkeit von DORA auf britische Banken nach dem Brexit

DORA ist eine EU-Verordnung und gilt nicht automatisch für alle Banken im Vereinigten Königreich. Dennoch reicht der Einfluss der Verordnung auf den britischen Finanzsektor weiter, als es zunächst scheint, weshalb Institute ihre spezifische Betroffenheit sorgfältig prüfen sollten.

Britische Banken mit Niederlassungen, Tochtergesellschaften oder regulierten Einheiten in EU-Mitgliedstaaten unterliegen DORA direkt und müssen sämtliche Anforderungen, einschließlich der Exit-Strategien nach Artikel 28, vollständig erfüllen. Ebenso können britische Unternehmen, die ICT-Dienstleistungen für EU-Finanzinstitute als Drittparteien erbringen, in den Anwendungsbereich von DORA fallen, sofern diese Dienstleistungen nach den Risikoklassifizierungskriterien der Verordnung als kritisch oder wichtig eingestuft werden.

Für Institute mit ausschließlich britischem Geschäft und ohne EU-Bezug besteht keine direkte gesetzliche Verpflichtung. Allerdings haben FCA und PRA mit eigenen Operational-Resilience-Rahmenwerken wie SS2/21 und PS6/21 eine klare Ausrichtung an den DORA-Prinzipien signalisiert, die vergleichbare Erwartungen an Drittparteienrisikomanagement, Exit-Planung und Servicekontinuität stellen. Britische Banken sollten daher die Standards von DORA Artikel 28 als Indikator für die Entwicklung nationaler regulatorischer Anforderungen betrachten – unabhängig davon, ob sie formal betroffen sind.

Executive Summary

DORA Artikel 28 verpflichtet Finanzinstitute, umfassende Exit-Strategien für alle kritischen ICT-Drittparteienservices zu unterhalten, einschließlich detaillierter Pläne zur Datenportabilität, Maßnahmen zur Servicekontinuität und Sicherung der Compliance. Banken im Vereinigten Königreich müssen nachweisen, dass sie Anbieterwechsel ohne Betriebsunterbrechung oder Compliance-Lücken durchführen können. Dies erfordert architektonische Ansätze, die Exit-Bereitschaft von Beginn an in Drittparteienbeziehungen integrieren, statt sie als nachträglichen Vertragsaspekt zu behandeln.

wichtige Erkenntnisse

  1. DORA-Artikel-28-Anforderungen. Verlangt umfassende Exit-Strategien für kritische ICT-Drittparteienservices, einschließlich Datenportabilität, Servicekontinuität und Sicherung der Compliance.
  2. Betroffenheit britischer Banken. Gilt direkt für Institute mit EU-Geschäft oder ICT-Services für EU-Unternehmen; andere müssen sich an gleichwertigen FCA- und PRA-Anforderungen zur Operational Resilience orientieren.
  3. Kernbestandteile von Exit-Strategien. Erfordern Datenklassifizierung, standardisierte Migrationsformate, Identifikation alternativer Anbieter und kontinuierliche Audit-Trail-Sicherung während des gesamten Übergangs.
  4. Proaktive architektonische Vorbereitung. Exit-Planung muss von Anfang an in die Drittparteien-Governance eingebettet sein, um Sicherheit, Compliance und Betriebsfortführung unter regulatorischer Beobachtung zu gewährleisten.

Kritische Bestandteile DORA-konformer Exit-Strategien

Banken müssen Exit-Strategien entwickeln, die mehrere operative Dimensionen gleichzeitig abdecken. Die Anforderungen von DORA Artikel 28 gehen über das klassische Vertragsmanagement hinaus und umfassen Datensouveränität, Servicekontinuität sowie die Sicherung regulatorischer Dokumentation während Anbieterwechseln.

Wirksame Exit-Strategien beginnen mit einer umfassenden Datenklassifizierung, die alle Informationsflüsse zwischen Bank und Drittparteien identifiziert. Diese Abbildung muss nicht nur primäre Datenbestände, sondern auch Metadaten, Audit-Trails und Compliance-Dokumentation erfassen, die Aufsichtsbehörden während und nach Anbieterwechseln weiterhin zugänglich erwarten.

Die Planung der Servicekontinuität erfordert, dass Banken alternative Bereitstellungsmechanismen für jede kritische Funktion von Drittanbietern identifizieren. Diese Analyse muss technische Kompatibilität, regulatorische Genehmigungsfristen und Kapazitätsgrenzen berücksichtigen, die den Übergang verzögern könnten.

Datenportabilität und Migrationsplanung

Datenportabilität ist einer der technisch anspruchsvollsten Aspekte DORA-konformer Exit-Strategien. Banken müssen sicherstellen, dass sie alle relevanten Daten extrahieren, validieren und migrieren können, ohne Integrität oder regulatorische Nachvollziehbarkeit zu gefährden.

Eine effektive Migrationsplanung erfordert standardisierte Exportformate, die die Kontinuität des Audit-Trails und die Genauigkeit der regulatorischen Abbildung gewährleisten. Banken benötigen Mechanismen, um die Vollständigkeit der Daten während der Extraktion zu überprüfen und gleichzeitig sicherzustellen, dass sensible Informationen während des gesamten Migrationsprozesses geschützt bleiben.

Migrationszeitpläne müssen regulatorische Genehmigungsanforderungen, technische Validierungsverfahren und operative Tests berücksichtigen, die eine gleichwertige Servicebereitstellung nachweisen. Viele Banken unterschätzen den Koordinationsaufwand zwischen internen Teams, abgebenden Anbietern und Ersatzdienstleistern während solcher Übergänge.

Servicekontinuität und alternative Bereitstellung

Die Planung der Servicekontinuität verlangt, dass Banken für jede kritische Funktion vor Beginn der Drittparteienbeziehung tragfähige Alternativen identifizieren. Dieser proaktive Ansatz ermöglicht schnellere Übergänge und reduziert das operationelle Risiko bei Anbieterwechseln.

Die Analyse alternativer Bereitstellung muss technische Kompatibilität, Compliance-Status und Kapazitäten potenzieller Ersatzanbieter bewerten. Banken sollten laufend aktualisierte Bewertungen von Marktalternativen pflegen, einschließlich Kostenstrukturen und Implementierungszeiträumen, die schnelle Übergänge unterstützen.

Kontinuitätstests validieren, dass alternative Anbieter gleichwertige Servicelevels liefern können, ohne Compliance oder operative Effizienz zu beeinträchtigen. Diese Tests sollten regelmäßig erfolgen, damit Ersatzoptionen weiterhin den sich wandelnden Anforderungen der Bank und den Fähigkeiten der Anbieter entsprechen.

Regulatorische Dokumentation und Audit-Trail-Sicherung

DORA-Compliance verlangt, dass Banken vollständige Audit-Trails und regulatorische Dokumentation während Drittparteienwechseln erhalten. Diese Sicherung geht über reine Datenaufbewahrung hinaus und umfasst Compliance-Abbildungen, Risikoanalysen und operative Monitoring-Aufzeichnungen, die kontinuierliche regulatorische Einhaltung belegen.

Strategien zur Dokumentationssicherung müssen gewährleisten, dass Audit-Trails während Anbieterwechseln zugänglich und rechtlich belastbar bleiben. Banken benötigen Mechanismen, um Compliance-Aufzeichnungen zu extrahieren und deren Beweiswert für regulatorische Prüfungen und internes Risikomanagement zu erhalten.

Die Kontinuität der regulatorischen Abbildung erfordert, dass Banken nachweisen, dass Ersatzanbieter eine gleichwertige Compliance-Position ohne Lücken bei Monitoring oder Reporting gewährleisten. Diese Kontinuität muss durch Tests und Validierungsverfahren belegt werden, die von Aufsichtsbehörden geprüft werden können.

Abgleich mit Compliance-Rahmenwerken

Exit-Strategien müssen aufzeigen, wie Anbieterwechsel die Einhaltung der relevanten regulatorischen Rahmenwerke während des gesamten Prozesses sicherstellen. Dazu gehört eine detaillierte Abbildung zwischen den Fähigkeiten der Anbieter und den spezifischen Compliance-Pflichten der Bank.

Verfahren zur Compliance-Validierung sollten bestätigen, dass Ersatzanbieter gleichwertige regulatorische Berichterstattung, Risikobeobachtung und Audit-Trail-Erstellung bieten können. Banken müssen diese Gleichwertigkeit durch Tests und Dokumentation belegen, die Aufsichtsbehörden während Übergangsphasen prüfen können.

Der Abgleich mit Rahmenwerken erstreckt sich auf Datenschutzanforderungen, Standards zur operativen Resilienz und Erwartungen an das Risikomanagement, die von Aufsichtsbehörden kontinuierlich überwacht werden. Exit-Strategien sollten explizit darlegen, wie diese Verpflichtungen während Anbieterwechseln erfüllt bleiben.

Operatives Risikomanagement während Anbieterwechseln

Anbieterwechsel bringen operationelle Risiken mit sich, die Banken durch umfassende Planungs- und Ausführungsrahmen identifizieren, bewerten und mindern müssen. DORA Artikel 28 betont die Bedeutung der Aufrechterhaltung operativer Resilienz bei Veränderungen in Drittparteienbeziehungen.

Prozesse zur Risikoidentifikation müssen technische Integrationsherausforderungen, Komplexitäten bei der Datenmigration und Lücken in der Servicekontinuität erfassen, die während Übergängen die operative Leistungsfähigkeit beeinträchtigen könnten. Banken sollten Risikoregister entwickeln, die sowohl erwartete Herausforderungen als auch Eventualfälle mit alternativen Ansätzen abdecken.

Strategien zur Risikominderung erfordern die Koordination zwischen internen Teams, abgebenden Anbietern und Ersatzdienstleistern, um einen reibungslosen Wissenstransfer und die Übergabe der Services sicherzustellen. Diese Koordination muss während des gesamten Übergangs Sicherheitskontrollen und Compliance aufrechterhalten.

Stakeholder-Kommunikation und Change Management

Wirksame Anbieterwechsel erfordern umfassende Kommunikationsstrategien, die alle Stakeholder über Fortschritte, Herausforderungen und Zeitplananpassungen informieren. Diese Kommunikation muss Transparenz mit Vertraulichkeitsanforderungen in Einklang bringen, um sensible geschäftliche und operative Informationen zu schützen.

Change-Management-Prozesse sollten sicherstellen, dass interne Teams ihre Rollen und Verantwortlichkeiten während Anbieterwechseln verstehen und dabei den Fokus auf das Tagesgeschäft beibehalten. Banken müssen klare Eskalationsverfahren für Probleme bereitstellen, die den Erfolg des Übergangs oder die Compliance gefährden könnten.

Das externe Stakeholder-Management umfasst die Abstimmung mit Aufsichtsbehörden, Geschäftspartnern und Kunden, die von Serviceänderungen während Anbieterwechseln betroffen sein könnten. Banken sollten Kommunikationsvorlagen und Freigabeprozesse entwickeln, die eine konsistente Kommunikation gewährleisten und Offenlegungspflichten erfüllen.

Fazit

DORA Artikel 28 markiert einen grundlegenden Wandel im Umgang von Finanzinstituten mit ICT-Drittparteienbeziehungen – weg vom reaktiven Vertragsmanagement hin zu proaktiver, architektonisch verankerter Exit-Bereitschaft. Für britische Banken im Anwendungsbereich – sei es durch EU-Geschäft, ICT-Services für EU-Unternehmen oder durch die Angleichung an FCA- und PRA-Rahmenwerke – sind die operativen und Compliance-Anforderungen erheblich.

Die Erfüllung dieser Anforderungen erfordert mehr als aktualisierte Anbieter-Verträge. Banken müssen nachweisen, dass Datenportabilität, Servicekontinuität, Audit-Trail-Sicherung und Integrität regulatorischer Dokumentation während Anbieterwechseln unter Prüfbedingungen gewährleistet bleiben. Institute, die Exit-Planung als nachgelagerte Aufgabe betrachten, setzen sich operativen und regulatorischen Risiken aus.

Verteidigungsfähige Exit-Strategien erfordern, Exit-Bereitschaft von Beginn an in die Governance von Drittparteien zu integrieren – gestützt durch technische Architekturen, die Sicherheit und Compliance-Kontrolle unabhängig vom jeweiligen Dienstleister gewährleisten. Institute, die jetzt handeln, sind nicht nur regulatorisch besser aufgestellt, sondern profitieren auch von der geschäftlichen Agilität, die effektives Drittparteienrisikomanagement ermöglicht.

Sicherung sensibler Daten während Anbieterwechseln

Traditionelle Exit-Planungen konzentrieren sich häufig auf vertragliche und operative Aspekte und vernachlässigen die entscheidende Bedeutung der Datensicherheit und Compliance während Anbieterwechseln. Banken benötigen architektonische Ansätze, die Sicherheitskontrollen und Audit-Trail-Sicherung in jeden Aspekt des Drittparteienrisikomanagements integrieren.

Das Private Data Network von Kiteworks ermöglicht es Banken, während Anbieterwechseln umfassende Kontrolle über vertrauliche Daten zu behalten, indem es eine zero trust Architektur bereitstellt, die Informationen unabhängig vom jeweiligen Dienstleister schützt. Dieser Ansatz stellt sicher, dass Exit-Strategien umgesetzt werden können, ohne Datenschutz oder regulatorische Dokumentationsanforderungen zu gefährden.

Kiteworks liefert manipulationssichere Audit-Trails, die Compliance-Nachweise während Anbieterwechseln sichern und es Banken ermöglichen, die kontinuierliche Einhaltung der DORA-Anforderungen während Übergangsphasen nachzuweisen. Die datenbewussten Kontrollen der Plattform sorgen dafür, dass vertrauliche Informationen geschützt bleiben und gleichzeitig die Anforderungen an Datenportabilität und Migration erfüllt werden, die effektive Exit-Strategien verlangen. Die Plattform ist nach FIPS 140-3 validiert, verwendet TLS 1.3 für Daten während der Übertragung und ist FedRAMP High-ready – so können Banken die anspruchsvollsten technischen Sicherheitsstandards unter DORA und weiteren Compliance-Vorgaben des Finanzsektors erfüllen.

Die Integration mit bestehenden SIEM-, SOAR- und ITSM-Workflows ermöglicht es Banken, während Anbieterwechseln operative Transparenz und Risikomanagementfähigkeit aufrechtzuerhalten. Diese Integration stellt sicher, dass Sicherheitsmonitoring und Compliance-Reporting ohne Unterbrechung fortgeführt werden und gleichzeitig die Dokumentation und der Nachweis erbracht werden, den Aufsichtsbehörden bei Änderungen in Drittparteienbeziehungen erwarten.

Erfahren Sie, wie Kiteworks Ihr Institut dabei unterstützt, DORA-konforme Rahmenwerke für Anbieterwechsel zu etablieren, die Sicherheit, Compliance und Betriebsfortführung während kritischer Veränderungen in Drittparteienbeziehungen gewährleisten – vereinbaren Sie eine individuelle Demo.

Häufig gestellte Fragen

DORA Artikel 28 verpflichtet Finanzinstitute, umfassende Exit-Strategien für alle kritischen ICT-Drittparteienservices zu unterhalten, einschließlich detaillierter Pläne zur Datenportabilität, Maßnahmen zur Servicekontinuität und Sicherung der Compliance.

DORA gilt direkt für britische Banken mit EU-Niederlassungen, Tochtergesellschaften oder für solche, die kritische ICT-Services für EU-Institute erbringen. Für rein britische Unternehmen orientieren sich die FCA- und PRA-Rahmenwerke mit Regeln wie SS2/21 und PS6/21 an den DORA-Prinzipien.

Wirksame Strategien erfordern umfassende Datenklassifizierung, Identifikation alternativer Dienstleister, standardisierte Datenmigrationsformate zur Sicherung von Audit-Trails und laufende Tests, um regulatorische Dokumentation und Servicekontinuität zu gewährleisten.

Banken müssen vollständige Audit-Trails, Compliance-Abbildungen und Risikoanalysen während des Übergangs erhalten und sicherstellen, dass diese Aufzeichnungen zugänglich und rechtlich belastbar bleiben, um kontinuierliche regulatorische Einhaltung gegenüber Behörden nachzuweisen.

Jetzt loslegen.

Es ist einfach, mit Kiteworks die gesetzliche Vorgaben einzuhalten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sicher sind, wie sie vertrauliche Daten zwischen Personen, Maschinen und Systemen austauschen. Beginnen Sie noch heute.

DEMO ANSCHAUEN

Table of Contents

Table of Content
Teilen
Twittern
Teilen
Explore Kiteworks