Der neue DORA Oversight Guide für Tech-Provider – Was Entscheider jetzt wissen müssen

Der neue DORA Oversight Guide für Tech-Provider – Was Entscheider jetzt wissen müssen

Avatar of Phil Marxhausen
Phil Marxhausen
16. Juli 2025
9 min Lesezeit
Informationssicherheit

Executive Summary

Am 15.07.2025 veröffentlichten die Europäischen Aufsichtsbehörden (EBA, ESMA, EIOPA - die ESAs) den Guide zur Überwachung kritischer IKT-Drittdienstleister. Welche Implikationen das hat und wie Sie hieraus einen strategischen Wettbewerbsvorteil schaffen können wird im folgenden Beitrag beleuchtet.

Direkte Aufsicht ist Realität

Seit dem 17. Januar 2025 unterstehen Ihre kritischen Cloud- und SaaS-Anbieter (CTPPs = Critical Third-Party Provider) erstmals einer direkten, EU-weiten Aufsicht. Die Zeit des reinen Vertragsmanagements ist vorbei; aktive Steuerung ist gefordert.

Konzentrationsrisiko wird zur Chefsache

Die neue Guideline der ESAs macht die Geschäftsleitung direkt für Systemrisiken durch Anbieterkonzentration (z. B. bei AWS, Azure, Google) verantwortlich. Fehlende Exit-Strategien sind keine Option mehr.

Verträge unter der Lupe

Die Aufsicht kann künftig Mindestklauseln für Ihre Verträge empfehlen und sogar Sub-Outsourcing durch Ihre kritischen Drittanbieter einschränken. Bestehende Verträge müssen dringend auf den Prüfstand.

Das Ende der "Black Box": Warum dieser Leitfaden alles verändert

Die digitale Transformation im Finanzsektor stützt sich auf eine Handvoll globaler Technologie-Giganten. Bisher agierten diese weitgehend außerhalb der direkten Kontrolle der Finanzaufsicht. Das ändert sich jetzt fundamental.

Der heute veröffentlichte gemeinsame DORA Leitfaden der EU-Aufsichtsbehörden (EBA, EIOPA, ESMA) ist mehr als nur eine weitere Regulierung. Er ist die Blaupause für eine neue Ära der digitalen Verantwortung. Er übersetzt die abstrakten Anforderungen des Digital Operational Resilience Act (DORA) in konkrete, prüfbare Maßnahmen.

Dieser Artikel geht über die juristischen Details hinaus. Wir übersetzen die Anforderungen in strategische Imperative für das C-Level und geben Fachverantwortlichen eine umsetzbare Roadmap an die Hand. Wir zeigen Ihnen, wie Sie aus einer regulatorischen Pflicht einen messbaren Wettbewerbsvorteil schmieden.

1. Was der neue Leitfaden wirklich bedeutet: Ein Blick hinter die Kulissen der Aufsicht

Der Leitfaden etabliert eine schlagkräftige, dreistufige Aufsichtsarchitektur. Stellen Sie sich diese als eine präzise Inspektions-Maschine vor, die tief in die Abläufe Ihrer wichtigsten Technologiepartner blicken wird.

Die Strategen: Das Oversight Forum

Hier werden die strategischen Weichen gestellt. Es entscheidet, welche Provider als "kritisch" eingestuft werden, basierend auf einem Scoring-Modell aus 11 Kriterien wie Systemrelevanz und Substituierbarkeit.

Die Steuerer: Das Joint Oversight Network (JON)

Das JON koordiniert die laufende Überwachung und entwickelt die jährlichen Aufsichtspläne für jeden einzelnen kritischen Provider (CTPP).

Die Prüfer: Die Joint Examination Teams (JETs)

Diese Teams sind die "Boots on the Ground". Angeführt von einem Lead Overseer (LO), führen sie die eigentlichen Prüfungen durch – von der Analyse von Dokumenten bis hin zu Vor-Ort-Inspektionen.

Der entscheidende Punkt für Sie

Die Aufsicht wird nicht nur fragen, was Ihr Provider tut, sondern wie er es tut. Die Kosten für diese intensive Aufsicht werden über Gebühren direkt an die Provider weitergereicht – und landen damit letztlich in Ihrer Kostenrechnung.

Blog post image

2. Die neuen Pflichten der Provider – Und was sie für Ihre Verträge bedeuten

Die Guideline zwingt die CTPPs zu einer radikalen Transparenz. Diese Pflichten haben direkte Auswirkungen auf Ihre Vertragsbeziehungen und Ihr Risikomanagement.

Kooperationspflicht

Jeder CTPP muss einen zentralen Ansprechpartner in der EU benennen, der mit Budget- und Eskalationsbefugnissen ausgestattet ist. Das ist Ihr direkter Hebel bei Problemen.

Datenlieferung auf Abruf

Provider müssen granulare Daten bereitstellen – von der gesamten Service-Kette über Sub-Dienstleister bis hin zu Incident-Logs und Finanzkennzahlen.

Verpflichtende Korrekturpläne

Stellt die Aufsicht Mängel fest, muss der Provider einen verbindlichen Plan zur Behebung vorlegen und über den Fortschritt berichten. Werden Empfehlungen nicht befolgt, kann dies öffentlich gemacht werden – ein erhebliches Reputationsrisiko für Ihren Dienstleister und indirekt für Sie.

Was das für Ihre Verträge bedeutet

Ihre Verträge müssen diese neuen Realitäten widerspiegeln. Standardklauseln reichen nicht mehr aus. Sie benötigen jetzt "DORA-ready"-Ergänzungen, die Ihnen Audit-Rechte ohne lange Vorankündigung, On-Demand-Zugriff auf Logs und klare Exit-Timelines garantieren.

3. Vom IT-Risiko zur Chefsache: Strategische Implikationen für das C-Level

Dieser Leitfaden katapultiert das Third-Party-Risk-Management endgültig aus dem IT-Keller in die Vorstandsetage. Die Verantwortung ist seit der Veröffentlichung des Digital Operational Resilience Act (DORA) ohnehin klar adressiert. Stellen Sie sich als Board folgende Fragen:

Für den CEO & das gesamte Board

"Wie hoch ist unser Konzentrationsrisiko bei einem einzelnen Cloud-Provider? Haben wir einen geprüften, finanzierbaren und technisch umsetzbaren Plan B, falls dieser Anbieter ausfällt oder die Aufsicht seine Nutzung einschränkt?"

Für den CFO

"Sind die potenziellen Kosten für einen Anbieterwechsel oder den Aufbau einer Multi-Cloud-Architektur in unserer Mittelfristplanung berücksichtigt? Verstehen wir die finanziellen Implikationen der an uns weitergereichten Aufsichtskosten?"

Für den CTO/CIO

"Sind unsere Reporting-Pipelines so automatisiert, dass wir die von der Aufsicht geforderten KPIs (z. B. zu Incidents, Kontrollen, Budgets) auf Knopfdruck liefern können? Sind unsere Exit-Strategien technisch validiert oder nur theoretische Papiere?"

Für den CRO

"Wie ist unser Kommunikationsplan, falls unser kritischer Provider eine öffentliche Rüge von der Aufsicht erhält? Wie managen wir das damit verbundene Reputationsrisiko für unser eigenes Haus?"

4. Die Best-Practice-Toolbox: So machen Sie Ihr Unternehmen DORA-sicher

Für Verantwortliche in den Bereichen IT, Risk, Compliance und Einkauf ist jetzt proaktives Handeln gefragt.

Phase 1: Vorbereitung & Analyse (Jetzt!)

Aktion: Halten Sie Ihr Informationsregister gemäß Art. 28 DORA auf dem aktuellen Stand.

Best-Practice-Tipp: Führen Sie ein "Schatten-Register", das auch kritische Intra-Group-IT-Leistungen erfasst. Oft liegen hier versteckte Abhängigkeiten.

Phase 2: Risikobewertung

Aktion: Implementieren Sie ein Scoring-Modell für Lieferantenrisiken, das über reine Compliance-Checks hinausgeht und technische Bedrohungen (z. B. nach NIST SP 800-161 Rev. 1) einbezieht.

Best-Practice-Tipp: Etablieren Sie ein simples Red/Amber/Green-Dashboard für die Top-20-Provider, das direkt an den Risikoausschuss des Vorstands berichtet.

Phase 3: Kontinuierliches Monitoring

Aktion: Automatisieren Sie die Überwachung durch den Abgriff von Telemetriedaten direkt aus den Provider-APIs (z. B. AWS Security Hub, Azure Defender for Cloud).

Best-Practice-Tipp: Definieren Sie "Handshake-KPIs" gemeinsam mit den Business-Ownern, um technische Metriken (z. B. Uptime) direkt mit Geschäftsprozessen zu verknüpfen.

Phase 4: Tests & Simulation

Aktion: Führen Sie Table-Top-Übungen durch, die gezielt Aufsichts-Szenarien simulieren (z. B. Ausfall einer kompletten Cloud-Region, Datenverlust bei einem Sub-Dienstleister).

Best-Practice-Tipp: Integrieren Sie einen "Exit-Dry-Run" als festen Bestandteil Ihrer jährlichen Disaster-Recovery-Übung, um die Portabilität von Daten und Anwendungen real zu testen.

Blog post image

Ausblick: Die entscheidenden Deadlines auf Ihrem Radar

Der Zeitplan ist ambitioniert und lässt keinen Raum für Verzögerungen.

Juli 2025

Erste Benachrichtigungen an potenziell kritische Provider. Wer liefert: EU-Aufsichtsbehörden (ESAs).

Q4 2025

Veröffentlichung der finalen Liste der CTPPs und Start der ersten Prüfungen durch die Joint Examination Teams (JETs). Wer liefert: ESAs und die neu formierten Prüfteams.

Fazit: Resilienz als Wettbewerbsvorteil

Der neue DORA Guide zur Überwachung kritischer IKT-Drittdienstleister macht unmissverständlich klar: Die Aufsicht wird tief in die Technologien und Prozesse Ihrer wichtigsten IT-Dienstleister eintauchen. Und sie erwartet von Ihnen, dass Sie Ihre digitale Lieferkette mit der gleichen Tiefe kennen und steuern.

Unternehmen, die jetzt handeln und ein integriertes Third-Party-Risk-Management mit datengetriebener Echtzeit-Transparenz aufbauen, werden regulatorische Prüfungen nicht nur bestehen. Sie werden digitale Resilienz von einer lästigen Pflicht in einen strategischen, messbaren Wettbewerbsvorteil verwandeln. Die Frage ist nicht mehr, ob Sie handeln, sondern wie schnell und wie entschlossen.

ADVISORI unterstützt Sie mit maßgeschneiderten Lösungen und herausragender DORA-Expertise im Hinblick auf Third-Party Risk Management.

Hat ihnen der Beitrag gefallen? Teilen Sie es mit:

Bereit, Ihr Wissen in Aktion umzusetzen?

Dieser Beitrag hat Ihnen Denkanstöße gegeben. Lassen Sie uns gemeinsam den nächsten Schritt gehen und entdecken, wie unsere Expertise im Bereich DORA Third-Party Risk Management Ihr Projekt zum Erfolg führen kann.

Mehr über DORA Third-Party Risk Management erfahren

Unverbindlich informieren & Potenziale entdecken.

Ihr strategischer Erfolg beginnt hier

Unsere Kunden vertrauen auf unsere Expertise in digitaler Transformation, Compliance und Risikomanagement

Bereit für den nächsten Schritt?

Vereinbaren Sie jetzt ein strategisches Beratungsgespräch mit unseren Experten

30 Minuten • Unverbindlich • Sofort verfügbar

Zur optimalen Vorbereitung Ihres Strategiegesprächs:

Ihre strategischen Ziele und Herausforderungen
Gewünschte Geschäftsergebnisse und ROI-Erwartungen
Aktuelle Compliance- und Risikosituation
Stakeholder und Entscheidungsträger im Projekt

Bevorzugen Sie direkten Kontakt?

Direkte Hotline für Entscheidungsträger

Strategische Anfragen per E-Mail

Detaillierte Projektanfrage

Für komplexe Anfragen oder wenn Sie spezifische Informationen vorab übermitteln möchten