DORA und das Management von Cyber-Risiken bei Drittparteien: Ein strukturierter Ansatz für Unternehmen
Seit Inkrafttreten des Digital Operational Resilience Act (DORA) im Januar 2025 sind europäische Finanzakteure verpflichtet, ihre digitale Resilienz zu stärken – insbesondere durch die Kontrolle von Risiken, die mit ihren externen Dienstleistern verbunden sind, darunter vor allem IT- und Softwareanbieter als Drittparteien. Digital Operational Resilience Act (DORA) in January 2025, European financial players are now required to strengthen their digital resilience, in particular by controlling risks associated with their external service providers, particularly ICT and software vendors working with them as third parties.
In einem so dynamischen Umfeld fällt es vielen großen Unternehmen schwer, ihre Pflichten klar zu erfassen. Es stellt sich also die Frage: Welche Best Practices helfen, die DORA-Vorgaben einzuhalten und gleichzeitig Cyber-Risiken durch Drittparteien wirksam zu reduzieren?
DORA und das Management von Cyber-Risiken bei Drittparteien: Ein strukturierter Ansatz für Unternehmen
Seit Inkrafttreten des Digital Operational Resilience Act (DORA) im Januar 2025 sind europäische Finanzakteure verpflichtet, ihre digitale Resilienz zu stärken – insbesondere durch die Kontrolle von Risiken, die mit ihren externen Dienstleistern verbunden sind, darunter vor allem IT- und Softwareanbieter als Drittparteien.
In einem so dynamischen Umfeld fällt es vielen großen Unternehmen schwer, ihre Pflichten klar zu erfassen. Es stellt sich also die Frage: Welche Best Practices helfen, die DORA-Vorgaben einzuhalten und gleichzeitig Cyber-Risiken durch Drittparteien wirksam zu reduzieren?
DORA und Third-Party-Management: Ein unterstützender regulatorischer Rahmen
Die Verordnung basiert auf fünf zentralen Säulen:
- Risikomanagement
- Meldung von Sicherheitsvorfällen
- Digitale operative Resilienz
- Management von IKT-Risiken durch Drittparteien
- Informations- und Intelligence-Austausch
Jeder dieser Bereiche ist entscheidend für die Sicherheitsstrategie eines Unternehmens. Laut dem Cybersecurity Outlook 2025 des World Economic Forum ist das Risiko in der Lieferkette heute das größte Hindernis für Cyber-Resilienz – bei über der Hälfte aller Großunternehmen.
CyberVadis verfolgt einen einzigartigen Ansatz beim Management von Lieferkettenrisiken – aber wie lässt sich damit ein Third-Party Risk Management Programm umsetzen, das den DORA-Anforderungen entspricht?
Fünf Schritte für effektives Third-Party Risk Management
1. Relevante Drittparteien identifizieren
- Importieren Sie alle relevanten Lieferanten, die unter den Geltungsbereich von DORA fallen, in die Plattform.
- Unterscheiden Sie jene, die direkten Einfluss auf kritische Geschäftsprozesse haben, mithilfe klarer Kriterien.
2. Ein Tiering-System für Lieferanten etablieren
Die Bewertung des Risikograds von Drittparteien ist zentral für ein belastbares Risikomanagementprogramm. Verschiedene Dienstleister erfordern – je nach Kritikalität – differenzierte Herangehensweisen.
Laut Artikel 28, Absatz 1 der DORA-Verordnung müssen Finanzunternehmen Drittparteienrisiken abhängig von “Art, Ausmaß, Komplexität und Relevanz IKT-bezogener Abhängigkeiten” sowie “Kritikalität oder Relevanz der jeweiligen Dienstleistungen, Prozesse oder Funktionen” managen.
3. Risiken bewerten und geeignete Due Diligence durchführen
Sobald die Lieferanten identifiziert und eingestuft sind, sollte ihr Reifegrad ermittelt werden, um Vertrauen in ihre Konformität mit regulatorischen Anforderungen zu schaffen. Mögliche Methoden:
- Analyse von Zertifizierungen (z. B. ISO 27001, SOC 2)
- Screening der externen Angriffsfläche (External Attack Surfacing)
- Evidenzbasierte Bewertungen
- Vor-Ort-Audits für besonders kritische Drittparteien
Diese Methoden unterscheiden sich in Skalierbarkeit und Aussagekraft – und müssen entsprechend dem Risiko zielgerichtet eingesetzt werden. Genau das fordert auch DORA mit seinem proportionalen Bewertungsansatz.
4. Zusammenarbeit fördern und Verbesserungen anstoßen
Eine Risikobewertung allein reicht nicht aus. Drittparteien müssen aktiv in einen kontinuierlichen Verbesserungsprozess eingebunden werden. Best Practices:
- Klare Risk-Management-Vorgaben und -Maßnahmen auf Basis der Bewertungsergebnisse
- Gemeinsame Umsetzung von Maßnahmenplänen mit Lieferanten
- Regelmäßige Reassessments zur Fortschrittskontrolle
5. Governance sichern und regelmäßige Feedbacks etablieren
Das Management von Cyber-Risiken bei Drittparteien ist nicht nur Sache der IT-Abteilung. Auch der Einkauf, die Rechtsabteilung und weitere Fachbereiche müssen eingebunden werden. Wichtig ist:
- Bewertungsergebnisse mit allen relevanten Stakeholdern teilen
- Klare Cyber-Empfehlungen zum Umgang mit jedem Lieferanten aussprechen
- Bewertungen in Vertrags- und Lieferantenprozesse integrieren
Automatisiertes Third-Party Risk Management: Der nächste Schritt
Angesichts zunehmender regulatorischer Komplexität wird Automatisierung zum Schlüsselfaktor. Die Lösung von CyberVadis unterstützt Unternehmen dabei:
- Lieferantendaten zentral auf einer Plattform zu verwalten
- Zertifikate und Sicherheitsdaten automatisiert zu erfassen und Tiering zu unterstützen
- Due-Diligence-Prozesse effizienter zu gestalten
- Reifegradbewertungen zu standardisieren und im Rahmen evidenzbasierter Prüfungen auszulagern
- Korrekturmaßnahmen kontinuierlich zu tracken und nachzuverfolgen
Mit einer strukturierten Umsetzung gemäß DORA steigern Unternehmen ihre digitale Resilienz und behalten Cyberrisiken in ihrer Lieferkette besser unter Kontrolle.
Dank Automatisierung, kombinierten Bewertungsmethoden und evidenzbasierten Bewertungen im Rahmen eines Managed Service bieten Lösungen wie CyberVadis einen skalierbaren, effizienten und kontinuierlichen Ansatz zur Einhaltung regulatorischer Anforderungen und zur Risikominimierung.