DORA Art. 28 und Drittanbieter-Risiko: Was Banken ihre IT-Dienstleister jetzt fragen müssen

Seit 17. Januar 2025 ist der Digital Operational Resilience Act (DORA) in der EU voll anwendbar. Artikel 28 verpflichtet Finanzinstitute zu umfassendem Third-Party-Risk-Management für ICT-Dienstleister. Für Banken, Versicherer, Asset Manager und Zahlungsinstitute heißt das: jeden kritischen IT-Anbieter systematisch durchleuchten — inklusive personeller Sicherheit. Dieser Leitfaden zeigt die sieben Fragen, die jetzt Standard sind.

Was DORA Art. 28 fordert

Artikel 28 DORA (VO 2022/2554) regelt den „allgemeinen Rahmen" für ICT-Drittdienstleister. Kern:

• Pre-contractual Due Diligence — Risikoprüfung vor Vertragsschluss

• Register of Information (RoI) — zentrales Verzeichnis aller ICT-Drittdienstleister auf Entitäts-, Subgruppen- und Gruppenebene

• Laufendes Monitoring — kontinuierliche Überwachung kritischer Dienstleister

• Exit-Strategien — dokumentierte Austrittspfade bei jedem Outsourcing

Unterschieden wird zwischen „gewöhnlichen" und „kritischen oder wichtigen Funktionen" (CIF, Critical or Important Functions). Für CIFs gelten deutlich strengere Anforderungen — von Due-Diligence-Tiefe bis zu Audit-Rechten.

Was das Register of Information (RoI) enthalten muss

Der RoI ist kein einfacher Vertragsindex. Er muss pro Dienstleister dokumentieren:

• Identität und Rechtsform des Dienstleisters

• Art der ICT-Services und unterstützte Geschäftsprozesse

• Klassifikation: CIF oder Non-CIF

• Sub-Outsourcing-Kette (Vierth-Anbieter, Fünfth-Anbieter)

• Standort der Datenverarbeitung

• Zugang zu Personendaten und Geschäftsdaten

• Personelle Sicherheit der Dienstleister-Mitarbeiter

Dieses Register wird jährlich den Aufsichtsbehörden (BaFin, FMA, FINMA bei grenzüberschreitenden Diensten) vorgelegt.

Sieben Fragen, die Banken ICT-Dienstleistern jetzt stellen

1. Welche Services fallen unter CIF?

Jeder Service wird klassifiziert. Core-Banking-Cloud = fast immer CIF. Marketing-E-Mail-Versand = meist Non-CIF. Der Dienstleister muss eine Service-Map mit Risiko-Klassifikation liefern.

2. Wie sieht die Sub-Outsourcing-Kette aus?

Art. 28 verlangt Transparenz entlang der gesamten Kette. Der Dienstleister muss alle weiteren Unter-Dienstleister auflisten und deren Rolle dokumentieren — inklusive deren Datenschutz- und Sicherheitsstandards.

3. Wo liegen die Server?

EU-Lokalisierung ist kein DORA-Pflichtkriterium, aber für DSGVO-Konformität essentiell. Dienstleister, die in den USA, UK oder Asien verarbeiten, müssen Schrems-II-Kompensation nachweisen (SCC, TIA, ggf. ergänzende Maßnahmen).

4. Welche Zertifizierungen und Audits?

ISO 27001, SOC 2 Type II, CSA STAR, TISAX, BSI C5 — je nach Scope. Für CIF-Dienstleister sind kontinuierliche Audit-Rechte erforderlich (Art. 30 DORA).

5. Wie sieht das Incident-Management aus?

DORA fordert in Art. 17 eine Meldefrist von 72 Stunden bei „major incidents". Der Dienstleister muss deine Meldefrist unterstützen — sprich: schneller eskalieren als 72 Stunden, damit du deine Meldung rechtzeitig machen kannst.

6. Wie ist die personelle Sicherheit geregelt?

Hier kommen Background Checks ins Spiel. Art. 28 Abs. 2 lit. e DORA fordert „robuste interne Governance und Kontrollen" bei ICT-Drittdienstleistern. In der Praxis bedeutet das: Pre-Employment-Screening, Sanktionslisten-Abgleich und laufendes Monitoring für Mitarbeiter mit Zugang zu kritischen Systemen.

7. Was ist die Exit-Strategie?

Jeder CIF-Vertrag braucht eine dokumentierte Exit-Strategie: Daten-Rückübertragung, Transitional Services, Knowledge-Transfer. DORA-Supervisor prüfen das stichprobenartig.

Personelle Sicherheit konkret

Art. 28 DORA nennt „personelle Sicherheit" nicht explizit — aber die umsetzenden Technical Standards der EBA (RTS on outsourcing arrangements) und ESMA (Guidelines on outsourcing to cloud service providers) schon. In der Praxis fordern Banken mittlerweile bei jedem CIF-Dienstleister:

• Background Checks für Mitarbeiter mit privilegierten Zugriffsrechten

• Laufendes Sanktionslisten-Monitoring für Mitarbeiter in Schlüsselrollen

• Vertraulichkeits-Vereinbarungen mit dokumentierter Compliance-Schulung

• PEP-Prüfung für Compliance-Officer und Data Protection Officer des Dienstleisters

Wer als ICT-Dienstleister Finanzinstitute bedient, muss diese Dokumentation proaktiv liefern können. Wer das nicht kann, verliert Deals.

Was gilt in der Schweiz?

Die Schweiz hat DORA nicht übernommen. Für FINMA-beaufsichtigte Institute gilt das FINMA-Rundschreiben 2018/3 „Outsourcing" in Verbindung mit dem Banken- und Versicherungsaufsichtsrecht. Die Anforderungen sind an DORA angelehnt — insbesondere bei Zugangssicherheit, Incident-Reporting und personeller Sicherheit. Schweizer Banken, die ICT-Services von EU-Dienstleistern beziehen, müssen DORA-Anforderungen dennoch beachten, weil EU-Dienstleister diese ohnehin umsetzen.

Was gilt in Österreich?

DORA gilt direkt. Die FMA ist gemeinsam mit der OeNB Aufsichtsbehörde. Zusätzlich gelten FMA-Mindeststandards zum Outsourcing-Risiko-Management.

Indicium für DORA-Konformität

Indicium unterstützt Banken in zwei Rollen:

• Als Tool für ICT-Dienstleister-Prüfung: Banken nutzen Indicium, um Background Checks für kritische Dienstleister-Mitarbeiter zu automatisieren — inklusive laufendem Sanktions- und PEP-Monitoring

• Als DORA-konformer Dienstleister selbst: Indicium liefert auf Anfrage vollständige DORA-Dokumentation (Exit-Strategie, Sub-Outsourcing-Kette, personelle Sicherheit, EU-Server-Lokalisierung). Alle Compliance-Dokumente im Trust Center.

Fazit

DORA Art. 28 macht Drittanbieter-Prüfung zur Dauer-Aufgabe. Banken brauchen strukturierte Prozesse — vom RoI über Due Diligence bis zu laufendem Monitoring. Für ICT-Dienstleister gilt: wer DORA-ready ist, gewinnt. Wer nicht, verliert Bank-Kunden.

Sprich mit uns über Deine DORA-Implementierung im Third-Party-Risk-Management.