BOARD BRIEFING REPORTEuropäisches Banking & FinanzmärkteManagement-Board-Frage · Zur Diskussion

Wenn Ihr kritischer ICT-Provider morgen ausfällt: Was steht still — und wie lange?

ThemaKritisches ICT-Drittparteienrisiko
ZielgruppeVorstand · Aufsichtsrat · Executive Committee
Lesezeit7 Minuten
ZielstatusGRÜN — sobald kritische Abhängigkeiten gemappt, getestet und steuerbar sind

Auf einen Blick

Es geht nicht mehr nur um den Provider.

Es geht darum, ob das Institut Kontinuität belegen kann.

Board AskBestätigen, ob das Institut Kontinuität und Exit-Fähigkeit für ICT-Services belegen kann, die kritische oder wichtige Funktionen unterstützen.

Situation

Nehmen wir folgende Situation an.

Ein kritischer ICT-Drittanbieter fällt aus. Er unterstützt eine Plattform, einen Datendienst, eine Cloud-Umgebung, eine Workflow Engine, eine Reporting-Schicht oder einen KI-gestützten Prozess des Instituts. Innerhalb weniger Stunden lautet die Frage nicht mehr, ob der Provider vertraglich verpflichtet ist, den Service wiederherzustellen.

Die Frage ist, was innerhalb der Bank stillsteht.

Welche kritischen oder wichtigen Funktionen sind betroffen? Welche Kunden-, Risiko-, operative oder entscheidungsbezogene Ketten hängen vom Provider ab? Welche Wiederherstellungszeit wurde getestet? Kann der Service innerhalb der Toleranz des Instituts ersetzt, beendet oder wiederhergestellt werden?

Es geht nicht mehr nur um den Provider.

Es geht darum, ob das Institut Kontinuität belegen kann.

Management Summary

DORA macht ICT-Drittparteienrisiko zu einer board-relevanten und evidenzbasierten Disziplin. Finanzunternehmen bleiben für Compliance verantwortlich, auch wenn ICT-Services von Drittanbietern erbracht werden; DORA verlangt außerdem ICT-Drittparteienrisikomanagement, ein Register of Information und Exit-Strategien für ICT-Services, die kritische oder wichtige Funktionen unterstützen.

Die Europäischen Aufsichtsbehörden veröffentlichten am 18. November 2025 die erste Liste von 19 designierten kritischen ICT-Drittanbietern unter DORA. Die Designierung stützte sich auf Daten aus den Registers of Information und auf eine Kritikalitätsbewertung, die systemische Bedeutung, Unterstützung kritischer oder wichtiger Funktionen und Substituierbarkeit berücksichtigt.

Eine starke Antwort lautet nicht: „Wir haben eine Exit-Policy." Eine starke Antwort zeigt, welche Services stillstehen, welches Recovery Objective gilt, wo Abhängigkeiten zusammenlaufen, welcher Exit-Pfad getestet wurde und wer entscheiden kann, ein Arrangement einzuschränken, zu ersetzen, zu beenden oder fortzuführen.

Management-Report-Panel

Situation in One Sentence
Ein Ausfall eines kritischen ICT-Providers wird dann zu einem Board-Thema, wenn das Institut nicht belegen kann, was stillsteht, wie lange Recovery dauert und wer die Reaktion verantwortet.
Key Issue
Drittparteienaufsicht ist nicht dasselbe wie institutionelle Resilienz. Die ECB Supervisory Priorities 2026–28 stellen klar, dass DORA-Oversight über kritische Drittanbieter solides Third-Party-Risk-Management ergänzt, aber nicht ersetzt.
Primary Risk
Ein Provider unterstützt eine kritische oder wichtige Funktion, aber Business Impact, Recovery Route, Fourth-Party Chain, Exit-Fähigkeit oder accountable Owner sind nicht sichtbar genug für Board Reliance.
Board Ask
Bestätigen, ob das Institut Kontinuität und Exit-Fähigkeit für ICT-Services belegen kann, die kritische oder wichtige Funktionen unterstützen.
Target RAG
GRÜN, wenn kritische Abhängigkeiten gemappt, klassifiziert, vertraglich ermöglicht, getestet und gesteuert sind.

Kalibrierung der Antwortqualität

GRÜN Entscheidungsfähige Antwort
GELB Teilweise belegte Antwort
ROT Nicht entscheidungsfähig
RegisterDas aktuelle Register of Information spiegelt tatsächliche ICT-Abhängigkeiten wider.
RegisterEin Register existiert, ist aber nicht vollständig mit der operativen Realität abgeglichen.
Register“Wir haben eine Exit-Policy.”
Function MappingKritische oder wichtige Funktionen sind Providern und Services zugeordnet.
Function MappingEin Provider-Inventar existiert, aber das Mapping auf Business Services ist unvollständig.
Function Mapping“Der Provider wird jetzt direkt unter DORA beaufsichtigt.”
ConcentrationProvider-Konzentration und Fourth-Party Chains sind bewertet.
ConcentrationDer Exit-Plan ist dokumentiert, aber für kritische Funktionen nicht getestet.
Concentration“Das wird von Procurement gesteuert.”
RecoveryRTO, RPO und maximal tolerierbare Unterbrechung sind je Funktion definiert.
RecoveryRTOs sind definiert, aber nicht durch Recovery-Übungen nachgewiesen.
Recovery“Der Cloud-Provider hat eigene Resilienzpläne.”
ExitExit- und Substitutionspfade sind dokumentiert, getestet und überprüft.
ExitVerträge enthalten zentrale Klauseln, aber die Umsetzbarkeit der Transition ist unklar.
Exit“Der Vertrag enthält SLAs.”
ContractsVertragsklauseln unterstützen Zugang, Audit, Recovery, Rückgabe und Transition.
ContractsProvider-Konzentration wird berichtet, aber nicht in Board-Entscheidungen übersetzt.
Contracts“Wir haben mehr als einen Provider.”
Board ReportingBoard Reporting zeigt verbleibendes Konzentrationsrisiko und offene Maßnahmen.
Board ReportingOwnership liegt in Procurement oder IT, aber nicht end-to-end.
Board Reporting“Das ist nur ein KI-Workflow.”
Substitution
Substitution
Substitution“Wir könnten aussteigen, wenn wir müssten.”

Der RAG-Status kalibriert die Qualität der Antwort. Er bewertet nicht das Institut.

Wer antworten sollte

CIO / CTOCOOCRO / Operational RiskCISO / ICT RiskProcurement / Vendor Management / OutsourcingBusiness OwnerLegal / Compliance / DPOInternal Audit
Accountability-Hinweis:
  • Procurement kann den Vertrag verantworten.
  • Technology kann die Plattform verantworten.
  • Das Business verantwortet die Auswirkung.
  • Das Board muss die Kette sehen.

Nachweise, die der Vorstand anfordern sollte

  1. 01Register of Information
  2. 02Critical Function Mapping
  3. 03Provider Criticality Classification
  4. 04Concentration Risk Assessment
  5. 05Fourth-Party Dependency Map
  6. 06RTO / RPO / MTPD View
  7. 07Tested Exit Strategy
  8. 08Contractual Exit and Transition Evidence
  9. 09Incident and Recovery Exercise Log
  10. 10Board Resilience Dashboard

Warnsignale

  • “Wir haben eine Exit-Policy.”
  • “Der Provider wird direkt unter DORA beaufsichtigt.”
  • “Das wird von Procurement gesteuert.”
  • “Der Provider hat starke SLAs.”
  • “Wir nutzen mehrere Provider.”
  • “Der Service ist nicht kundennah.”
  • “Der Exit-Plan ist dokumentiert.”
  • “Wir könnten aussteigen, wenn es notwendig wäre.”

Keine dieser Aussagen ist notwendigerweise falsch. Sie sind nur keine ausreichende Evidenz für Board-Level Reliance.

Weg zu Grün

  • Abhängigkeiten sichtbar
  • Kritikalität klassifiziert
  • Konzentration verstanden
  • Recovery gemessen
  • Exit ermöglicht
  • Residual Risk gesteuert

GRÜN ist kein Vertragsstatus.
GRÜN ist ein getesteter Kontinuitätsstatus.

Empfohlene nächste Frage

Welche kritische oder wichtige Funktion würde die größte Störung erzeugen, wenn ihr ICT-Provider morgen ausfällt — und können wir den getesteten Recovery-Pfad belegen?

Experten-Kommentar — 7 Min. Lesezeit

ICT-Drittparteienresilienz wird häufig über Verträge, Outsourcing-Register und Provider-Oversight diskutiert. Diese Elemente sind wichtig. Aber sie beantworten nicht die praktischste Frage des Boards.

Was steht still — und wie lange?

Diese Frage ist bewusst operativ. Sie übersetzt DORA aus regulatorischem Text in Board-Level-Managementrealität. Ein kritischer ICT-Provider kann eine Cloud-Umgebung, eine Workflow Engine, eine Reporting-Schicht, eine Cybersecurity-Fähigkeit, einen Datendienst, einen Marktdatenfeed, eine Dokumentenplattform oder einen KI-gestützten Prozess unterstützen. Der Provider muss für Kunden nicht sichtbar sein. Die Abhängigkeit kann trotzdem kritisch sein.

DORA macht den Verantwortlichkeitspunkt ausdrücklich. Finanzunternehmen, die ICT-Services nutzen, bleiben für die Einhaltung ihrer Pflichten verantwortlich, und ICT-Drittparteienrisiko muss als Teil des ICT-Risk-Management-Frameworks gesteuert werden. DORA verlangt außerdem, dass Finanzunternehmen ein Register of Information führen und aktualisieren, das alle vertraglichen Arrangements über die Nutzung von ICT-Services durch ICT-Drittanbieter erfasst.

01

Sichtbarkeit

Damit wird Sichtbarkeit zur ersten Disziplin.

Ein Board kann keine Abhängigkeit beaufsichtigen, die es nicht sieht. Eine Bank kann keine Provider-Kette steuern, die sie nicht gemappt hat. Und sie kann „wie lange" nicht beantworten, ohne ein getestetes Recovery Objective, das mit einer spezifischen kritischen oder wichtigen Funktion verbunden ist.

02

Konzentration

Die zweite Disziplin ist Konzentration.

DORA verlangt, dass Finanzunternehmen Konzentrationsrisiko berücksichtigen, wenn sie Arrangements für ICT-Services eingehen, die kritische oder wichtige Funktionen unterstützen. Dazu gehört, ob ein Provider nicht leicht substituierbar ist oder ob mehrere Arrangements Abhängigkeiten vom selben oder eng verbundenen Providern schaffen.

Das ist wichtig, weil Diversifikation irreführend sein kann.

Zwei Provider können auf Vertragsebene unabhängig erscheinen, aber auf Cloud-, Rechenzentrums-, Netzwerk-, Identity-, DNS-, Software-, Subcontracting- oder operativen Support-Schichten zusammenlaufen. Eine boardfähige Antwort endet daher nicht bei „wir haben mehr als einen Provider". Sie fragt, ob die Ausfallmodi tatsächlich unabhängig sind.

03

Exit-Fähigkeit

Die dritte Disziplin ist Exit-Fähigkeit.

DORA verlangt Exit-Strategien für ICT-Services, die kritische oder wichtige Funktionen unterstützen; diese Exit-Pläne müssen umfassend, dokumentiert, ausreichend getestet und regelmäßig überprüft sein. DORA verlangt außerdem schriftliche vertragliche Arrangements, die Rechte und Pflichten zuweisen, einschließlich Regelungen zu Zugang, Recovery, Rückgabe von Daten, Kündigung und Exit.

Genau hier klingen schwache Antworten oft plausibel.

  • Eine Exit-Policy ist kein Exit.
  • Eine Vertragsklausel ist keine getestete Transition.
  • Der Resilienzplan eines Providers ist nicht der Recovery-Plan der Bank.

Und direkte Aufsicht über einen kritischen Provider ersetzt nicht das eigene Third-Party-Risk-Management des Instituts. Die ECB Supervisory Priorities 2026–28 erklären, dass DORA-Anforderungen, insbesondere ICT-Drittparteienrisiko und Incident Response Management, konsistent und zügig umgesetzt werden müssen. Sie stellen außerdem klar, dass das DORA-Oversight-Framework für kritische Drittanbieter solides Third-Party-Risk-Management ergänzt, aber nicht ersetzt.

Die praktische Board-Frage lautet daher nicht, ob der Provider stark ist.

Sie lautet, ob das Institut gegenüber einem Provider-Ausfall resilient ist.

Das verlangt eine andere Antwortstruktur. Das Board sollte eine Abhängigkeitskarte, eine Kritikalitätssicht, eine Konzentrationsbewertung, ein Recovery Objective, einen getesteten Exit-Pfad, vertragliche Evidenz und ein Dashboard zum verbleibenden Risiko sehen. Es sollte auch sehen, wo Substitution nicht realistisch ist. In diesen Fällen muss Resilienz aus Continuity Arrangements, Contingency Planning, vertraglichem Schutz, Monitoring und formaler Akzeptanz verbleibender Risiken entstehen.

Das Ziel ist nicht, jede Abhängigkeit zu eliminieren.

Das wäre unrealistisch.

Das Ziel ist zu wissen, welche Abhängigkeiten zählen, was bei ihrem Ausfall bricht, wie lange Recovery dauert, wer die Reaktion verantwortet und welche Evidenz die Antwort trägt.

Ein beaufsichtigter Provider ist nicht dasselbe wie ein resilientes Institut.

Resilienz beginnt, wenn das Board die Frage stellen kann — und eine Antwort erhält, die gemappt, getestet und steuerbar ist.

Ausgewählte Quellenbasis

← Alle Vorstandsfragen