DORA-Aufsicht über IKT-Drittdienstleister

Bestehen Sie DORA-Audits in jeder Einheit , ganz ohne Tabellen-Chaos

Aktualisiert 2026-06-23
Das Wichtigste auf einen Blick: Priverion ist eine in der Schweiz gehostete GRC-Plattform, die die DORA-Aufsicht über IKT-Drittdienstleister nach Artikel 28, die Erkennung von Konzentrationsrisiken und die Rezertifizierung über Finanzkonzerne mit mehreren Einheiten hinweg zentralisiert.

Bringen Sie die Aufsicht über IKT-Drittdienstleister für Ihren gesamten Konzern innert Wochen in einen auditbereiten Zustand. Ein Register, automatisierte Erkennung von Konzentrationsrisiken und 100 % Rezertifizierungs-Compliance über sämtliche Tochtergesellschaften hinweg , ganz ohne Onboarding eines neuen Tools.

DORA Artikel 28 verpflichtet Finanzunternehmen, ein umfassendes Register sämtlicher Vereinbarungen mit IKT-Drittdienstleistern zu führen und Anbieter, die als «kritisch» eingestuft werden, einer verschärften Aufsicht zu unterstellen. Für Konzerne, die über mehrere Tochtergesellschaften und Rechtsräume hinweg tätig sind, entsteht daraus eine exponentielle Koordinationsherausforderung , doppelte Register, uneinheitliche Risikobewertungen und Audit-Lücken zwischen den Einheiten. Priverion löst dies auf Konzernebene , genauso wie es bereits heute das Verarbeitungsverzeichnis- und DSFA-Management für Ihr Datenschutzprogramm löst.

Unverbindlich. Zugeschnitten auf Ihre Konzernstruktur. Bestehende Priverion-Kunden: kein neues Onboarding erforderlich.

4.8 / 5.0 Durchschnittliche Kundenzufriedenheit, Q1 2025
ISO-27001-konform In der Schweiz gehostete Infrastruktur
Schweizer Datenstandort Sämtliche Daten werden in der Schweiz verarbeitet und gespeichert
Trusted by 50+ privacy teams across 14 countries
Healthcare
Aviation
Energy
Legal
Technology
Zurzach logo
AXA logo
Open Medical logo
Glencore logo
Pilatus logo
Liferay logo
CareerFairy logo
Voicepoint logo
Kellerhals Carrard logo
Aclaris logo
Avantec logo
Diakonie Bethanien logo
Liferay logo
CareerFairy logo
Zurzach logo
Voicepoint logo
Open Medical logo
Kellerhals Carrard logo
AXA logo
Aclaris logo
Avantec logo
Diakonie Bethanien logo
Funktionen für die DORA-Aufsicht über IKT-Drittdienstleister

Eine Plattform. Jede Einheit. Vollständige DORA-Aufsicht über IKT-Drittdienstleister.

Jede Funktion adressiert direkt die Schwachstellen, mit denen Ihr Konzern konfrontiert ist , doppelte Register, unsichtbare Konzentrationsrisiken, uneinheitliche Bewertungen und verpasste Fristen.

Zentralisiertes Register der IKT-Drittdienstleister

Führen Sie ein einziges, konzernweites Register sämtlicher Vereinbarungen mit IKT-Drittdienstleistern, abgestimmt auf DORA Artikel 28(3) und die zugehörigen RTS-/ITS-Vorlagen. Jede Tochtergesellschaft sieht ihre eigene, eingegrenzte Ansicht, während die Konzern-Compliance alles im Blick behält , keine Doppelarbeit, keine Abweichungen zwischen den Einheiten.

Schluss mit dem manuellen Abgleich von Anbieterdaten über alle Tochtergesellschaften hinweg. Eine einzige Quelle der Wahrheit sorgt dafür, dass Vertragsänderungen und Anpassungen bei Unterauftragsverarbeitern sofort konzernweit übernommen werden.

Bis zu 70 % weniger Zeit

für den Abgleich von Anbieterdaten über die Tochtergesellschaften hinweg

Basierend auf Kunden mit 5+ Einheiten , Wert vorbehältlich Validierung mit Customer-Success-Daten

Automatisierte Konzentrationsrisiko-Analyse

Priverion erfasst automatisch die Anbieterabhängigkeiten über alle Konzerneinheiten hinweg und kennzeichnet Konzentrationsrisiken dort, wo mehrere Tochtergesellschaften auf denselben kritischen IKT-Anbieter oder Unterauftragnehmer angewiesen sind. Visuelle Konzentrationsrisiko-Ansichten auf Konzern- und Einheitenebene.

Wenn drei Ihrer Tochtergesellschaften vom selben Cloud-Infrastruktur-Anbieter abhängen und keine von der Abhängigkeit der anderen weiss, dann ist genau das das Risiko, das DORA von Ihnen sichtbar zu machen verlangt. Isolierte Tools können das nicht.

Minuten statt Wochen

um verborgene Konzentrationsrisiken über Ihren gesamten Konzern hinweg sichtbar zu machen

Im Vergleich zum manuellen Abgleich über Tabellen und Anbieterlisten auf Einheitenebene

Workflows für Risk-Scoring und Kritikalitätsbewertung

Integrierte Bewertungsvorlagen, abgestimmt auf die DORA-Kriterien zur Einstufung von IKT-Drittdienstleistern als «kritisch» , systemische Bedeutung, Substituierbarkeit und Verflechtung. Eine einheitliche Scoring-Methodik, die auf jede Einheit Ihres Konzerns angewendet wird.

Nie wieder Behörden erklären müssen, warum derselbe Cloud-Anbieter in einer Tochtergesellschaft als «geringes Risiko» und in einer anderen als «hohes Risiko» bewertet wurde. Einheitlichkeit ist die Grundvoraussetzung, die DORA erwartet , und die Auditoren prüfen werden.

100 % einheitliche Bewertungen

über jede Einheit Ihres Konzerns hinweg dank standardisiertem Scoring

Erreicht durch konzernweit verbindliche Bewertungsvorlagen und zentralisierte Steuerung der Methodik

Automatisierte Rezertifizierung und laufende Überwachung

Planen und automatisieren Sie periodische Neubewertungen kritischer IKT-Anbieter. Lösen Sie ereignisbasierte Prüfungen aus, wenn sich Verträge ändern, Vorfälle auftreten oder regulatorische Aktualisierungen greifen. Automatisierte Benachrichtigungen gehen an die verantwortlichen Owner in jeder Einheit , mit lückenlosen Audit-Trails über jeden Prüfzyklus.

Jährliche oder ereignisgesteuerte Neubewertungen erfordern die Abstimmung zwischen Recht, Beschaffung, IT und Compliance in jeder Einheit. Ohne automatisierte Workflows werden Fristen verpasst und Audit-Trails bleiben unvollständig , genau das, was der Lead Overseer unter die Lupe nehmen wird.

Keine verpassten Rezertifizierungsfristen

dank automatisierter Erinnerungen und Eskalationspfade über alle Einheiten hinweg

Modelliert auf der 100-%-Rezertifizierungsquote des Verarbeitungsverzeichnisses bei einem Schweizer Versicherer mit Priverions automatisierter Rezertifizierungs-Engine

KI-unterstützt, vom Menschen entschieden

Die KI unterstützt bei der Erstellung von Kritikalitätsbewertungen, bei Vorschlägen zum Risk-Scoring und bei der regulatorischen Zuordnung zu den RTS-/ITS-Anforderungen von DORA. Jedes KI-Ergebnis wird von Ihrem Team geprüft, bevor es zu einem Compliance-Nachweis wird. Es werden keine Kundendaten für das Training von Modellen verwendet.

Sämtliche Daten werden innerhalb der Schweizer Infrastruktur verarbeitet. Das ist entscheidend für Finanzunternehmen, die sowohl DORA als auch der Prüfung grenzüberschreitender Datentransfers unterliegen , Schweizer Datensouveränität ist kein Marketing-Häkchen, sondern Ihre rechtliche Grundlage.

In der Schweiz entwickelt. In der Schweiz gehostet. KI-unterstützt.

Sämtliche Verarbeitung innerhalb der Schweizer Infrastruktur , garantierter europäischer Datenstandort

200+

Eingesparte Stunden beim Management des Verarbeitungsverzeichnisses

Ein Medizintechnikunternehmen gewann über 200 zuvor für manuelle Dokumentation aufgewendete Stunden zurück , Zeit, die in die ISO-27001-Vorbereitung umgeleitet wurde

60%

Geringere Kosten gegenüber etablierten Enterprise-Anbietern

Basierend auf veröffentlichten Preisvergleichen für Deployments mit mehreren Einheiten , keine Gebühren pro Nutzer, keine Kostenfallen durch Modulerweiterungen

3 Mt.

Vor dem Zeitplan bei der ISO-27001-Zertifizierung

Ein Medizintechnikunternehmen nutzte die auditbereiten Nachweispakete von Priverion, um den ISO-27001-Zeitplan um ein ganzes Quartal zu beschleunigen

AXA

Versicherungen & Finanzdienstleistungen

Pilatus Aircraft

Luft- & Raumfahrt sowie Fertigung

Openmedical

Healthcare-Technologie

«Priverion hat unser tabellenbasiertes Management des Verarbeitungsverzeichnisses über 12 Einheiten hinweg abgelöst. Wir erreichten 100 % Rezertifizierungs-Compliance bereits im ersten Zyklus , etwas, das wir mit unserem früheren Setup nie geschafft haben.»

Konzern-Datenschutzbeauftragter

Ein Schweizer Versicherer, Datenschutzprogramm über mehrere Einheiten

«Wir haben den administrativen Compliance-Aufwand in sechs Monaten um 60 % reduziert. Die Plattform hatte sich amortisiert, bevor das erste Quartal vorbei war.»

Leiter Recht & Compliance

Flugzeughersteller, erste 6 Monate nach der Implementierung

ISO 27001-konform

ISMS nach ISO 27001

In der Schweiz gehostet

Infrastruktur in der Schweiz gehostet

Schweizer Datenstandort

Sämtliche Daten werden in der Schweiz verarbeitet und gespeichert

4.8 / 5.0 Zufriedenheit

Basierend auf Kundenbefragung, Q1 2025

Vergleich

Warum Mid-Market-Teams sich von OneTrust abwenden

Enterprise-Datenschutzplattformen wurden für Fortune-500-Budgets und 18-monatige Implementierungen gebaut. Wenn Sie Compliance über mehrere Einheiten hinweg steuern, aber kein Tool brauchen, das zugleich ESG, Ethik-Hotlines und Cookie-Einwilligungen abdeckt , gibt es eine bessere Lösung.

Die typische Enterprise-Plattform

Wofür Sie zahlen , aber wahrscheinlich nicht nutzen

  • Preise pro Nutzer und pro Modul
    Die Kosten explodieren, sobald Sie Tochtergesellschaften aufschalten. Unvorhersehbare Budgets sind die Regel, nicht die Ausnahme.
  • In den USA gehostete Infrastruktur
    Nach Schrems II schafft US-Hosting rechtliche Risiken für grenzüberschreitende Datentransfers, die auch noch so viele Standardvertragsklauseln nicht vollständig auflösen.
  • 200+ oberflächliche Integrationen
    Beeindruckend auf einer Funktionsseite. In der Praxis erfordern die meisten Konnektoren individuelle Konfiguration und laufenden Wartungsaufwand.
  • 6–12 Monate Implementierung
    Bis Sie betriebsbereit sind, haben Sie zwei Audit-Zyklen verpasst und Ihr Datenschutzbeauftragter hat diese Tabellen weitere 24 Mal aktualisiert.
  • Komplexität für Compliance-Teams mit 20+ Personen
    Mid-Market-Teams mit 2 bis 5 Personen versinken in Funktionen, die für Organisationen der zehnfachen Grösse konzipiert wurden.

Priverion

Gebaut für die Arbeitsweise von Mid-Market-Datenschutzteams

  • Vorhersehbare Preise nach Anzahl und Grösse der Unternehmen
    Keine Gebühren pro Nutzer. Keine Modul-Upsells. Fügen Sie Tochtergesellschaften hinzu, ohne Ihren Vertrag neu zu verhandeln.
  • In der Schweiz entwickelt. In der Schweiz gehostet. Europäischer Datenstandort.
    Sämtliche Datenverarbeitung innerhalb der Schweizer Infrastruktur , kein Marketing-Häkchen, sondern eine rechtliche Grundlage für grenzüberschreitende Compliance.
  • Tiefe Integrationen mit den Systemen, die zählen
    HR, Beschaffung und IT-Asset-Management , die Workflows, die den Datenschutzbetrieb antreiben. Nicht 200 Konnektoren, die Sie nie konfigurieren werden.
  • Betriebsbereit in Wochen, nicht Monaten
    Ein Flugzeughersteller verzeichnete innerhalb der ersten 6 Monate eine Reduktion des administrativen Compliance-Aufwands um 60 % , gerechnet ab der Implementierung, nicht erst ab dem Go-live. Flugzeughersteller, erste 6 Monate nach der Implementierung
  • KI-unterstützt, vom Menschen entschieden
    Die KI hilft beim Entwurf von DSFA, beim Bewerten von Risiken und beim Zuordnen von Vorschriften. Jedes Ergebnis wird geprüft, bevor es zu einem Compliance-Nachweis wird. Es werden keine Kundendaten für das Training verwendet.
Kostenlose Checkliste

Checkliste zur DORA-Aufsicht über kritische IKT-Drittdienstleister

Schluss mit dem mühsamen Zusammensuchen von DORA-Anforderungen aus regulatorischen PDFs. Diese Checkliste zeigt die genauen Schritte, die Ihr Team braucht, um kritische IKT-Drittdienstleister zu klassifizieren, zu überwachen und darüber zu berichten , bevor Ihr Lead Overseer zuerst fragt.

Das erhalten Sie im Inneren:

  • Schritt-für-Schritt-Kriterien zur Klassifizierung, welche IKT-Anbieter nach DORA Artikel 31 als «kritisch» gelten , einschliesslich der Tests zu Substituierbarkeit und Konzentrationsrisiko, die die Behörden genau prüfen werden
  • Ein einsatzbereites Rahmenwerk zur laufenden Überwachung, das Vertragsbestimmungen, Ausstiegsstrategien und die Aufsicht über Unterauftragsketten abdeckt und sich direkt den RTS-Anforderungen zuordnen lässt
  • Vorlage für das Informationsregister, abgestimmt auf DORA Artikel 28(3) , die genauen Datenfelder, die Ihre Aufsichtsbehörde in Ihrem Register der Vereinbarungen mit IKT-Drittdienstleistern erwartet
  • Playbook zur einheitenübergreifenden Koordination für Konzerne, die kritische IKT-Anbieter über mehrere Tochtergesellschaften und Rechtsräume hinweg steuern , denn der Anbieter einer Tochtergesellschaft ist das Risiko des gesamten Konzerns

Kostenloses PDF. Keine Demo erforderlich. Wir senden es Ihnen in Ihren Posteingang.

Verwalten Sie die DORA-Aufsicht nicht länger in Tabellen. Steuern Sie sie als Programm.

Ein Flugzeughersteller reduzierte den administrativen Compliance-Aufwand in sechs Monaten um 60 %. Ein Schweizer Versicherer erreichte 100 % Rezertifizierung des Verarbeitungsverzeichnisses , vollständig automatisiert. Ein Medizintechnikunternehmen sparte über 200 Stunden bei der Vorbereitung auf ISO 27001.

Konzernweite Aufsicht über IKT-Drittdienstleister über jede Tochtergesellschaft und jeden Rechtsraum hinweg , mit KI-unterstützter Automatisierung und garantierter Schweizer Datensouveränität. Vorhersehbare Preise, keine Kostenfallen pro Nutzer.

Kein Verkaufsgespräch , eine Live-Demo, zugeschnitten auf Ihre Konzernstruktur und Ihre Compliance-Anforderungen. Sehen Sie, wie Organisationen wie Ihre in Wochen statt Monaten auditbereit werden.

Live-Demo buchen

Erleben Sie die DORA-Aufsicht über IKT-Drittdienstleister in Aktion

30 Minuten, zugeschnitten auf Ihre Konzernstruktur. Wir zeigen Ihnen, wie Organisationen mit mehreren Einheiten ihre IKT-Anbieterregister zentralisieren, die Rezertifizierung automatisieren und Konzentrationsrisiken sichtbar machen , alles innerhalb einer Plattform.

Unverbindlich. Keine Verkaufspräsentation. Wir melden uns innert eines Werktags, um Ihre Live-Demo zu terminieren.

30-minütige Live-Demo buchen
Über diese Seite — Quellen, Definitionen und FAQs

Das Wichtigste auf einen Blick — DORA-Aufsicht über IKT-Drittdienstleister

Der EU Digital Operational Resilience Act (DORA, Verordnung 2022/2554) verpflichtet jedes regulierte Finanzunternehmen, ein umfassendes Register der Vereinbarungen mit IKT-Drittdienstleistern zu führen, Konzentrationsrisiken anbieterübergreifend zu bewerten und kritische IKT-Drittdienstleister (CTPP) einer verschärften Aufsicht zu unterstellen. Für Finanzkonzerne mit mehreren Einheiten entstehen daraus exponentielle Koordinationsherausforderungen. Priverion zentralisiert diese Pflichten in einer einzigen, in der Schweiz gehosteten Plattform — ein Register, automatisierte Erkennung von Konzentrationsrisiken, einheitliches Kritikalitäts-Scoring und Rezertifizierungs-Workflows mit lückenlosen Audit-Trails über alle Tochtergesellschaften hinweg.

Definitionen

Was ist DORA (Digital Operational Resilience Act)?

DORA ist die EU-Verordnung 2022/2554, die einen umfassenden Rahmen für das IKT-Risikomanagement, die Meldung von Vorfällen, das Testen der digitalen operationalen Resilienz und das Management von IKT-Drittparteienrisiken für Finanzunternehmen schafft. Sie ist seit dem 17. Januar 2025 vollständig anwendbar. Vollständiger Text — EUR-Lex

Was ist ein Register der IKT-Drittdienstleister nach DORA Artikel 28?

Ein Register der IKT-Drittdienstleister bezeichnet das obligatorische Informationsregister zu sämtlichen vertraglichen Vereinbarungen über die Nutzung von IKT-Diensten durch IKT-Drittdienstleister, wie es DORA Artikel 28(3) verlangt. Die europäischen Aufsichtsbehörden haben technische Regulierungsstandards (RTS) und technische Durchführungsstandards (ITS) veröffentlicht, die die Vorlagen und Inhalte dieses Registers festlegen. DORA Artikel 28 — EUR-Lex

Was ist Konzentrationsrisiko in der Aufsicht über IKT-Drittdienstleister?

Konzentrationsrisiko nach DORA Artikel 29 ist die systemische Verwundbarkeit, die entsteht, wenn mehrere Finanzunternehmen oder Tochtergesellschaften innerhalb eines Konzerns vom selben IKT-Drittdienstleister oder von einer begrenzten Anzahl von Anbietern abhängen. Die Unternehmen müssen die Substituierbarkeit, die Unterauftragsketten und die geografische Konzentration der Datenverarbeitung bewerten.

Was ist ein kritischer IKT-Drittdienstleister (CTPP)?

Ein kritischer IKT-Drittdienstleister wird von den europäischen Aufsichtsbehörden nach DORA Artikel 31–32 auf Grundlage der systemischen Bedeutung, des Grads der Substituierbarkeit sowie der Anzahl und Bedeutung der von ihm abhängigen Finanzunternehmen eingestuft. CTPP unterliegen einem Lead-Overseer-Rahmen mit direkten aufsichtsrechtlichen Befugnissen, einschliesslich Vor-Ort-Prüfungen und Anordnungen zur Behebung von Mängeln.

Regulatorischer Kontext und Statistiken

Laut dem gemeinsamen Bericht der europäischen Aufsichtsbehörden gilt DORA für über 22'000 Finanzunternehmen in der EU, darunter Banken, Versicherer, Wertpapierfirmen, Zahlungsinstitute und Anbieter von Krypto-Dienstleistungen. Die Verordnung ist seit dem 17. Januar 2025 nach einer zweijährigen Umsetzungsfrist vollständig anwendbar. DORA-Verordnung — EUR-Lex

Der ENISA Threat Landscape Report 2024 hob hervor, dass Angriffe auf IKT-Lieferketten im Jahresvergleich um 26 % zugenommen haben, was die Begründung der operationalen Resilienz hinter den Anforderungen von DORA an die Aufsicht über Drittparteien unterstreicht. ENISA Threat Landscape

Laut einer Gartner-Umfrage von 2024 erlebten 45 % der Organisationen in den vorangegangenen zwei Jahren durch Drittparteien verursachte Geschäftsunterbrechungen, was den Bedarf an systematischer Konzentrationsrisiko-Analyse gemäss DORA Artikel 29 bekräftigt. Gartner Newsroom

Häufig gestellte Fragen

Was ist die DORA-Aufsicht über IKT-Drittdienstleister?

Die DORA-Aufsicht über IKT-Drittdienstleister bezieht sich auf die Pflichten gemäss dem EU Digital Operational Resilience Act (Verordnung 2022/2554), die Finanzunternehmen verpflichten, ein Register sämtlicher Vereinbarungen mit IKT-Drittdienstleistern zu führen, Konzentrationsrisiken zu bewerten und auf Anbieter, die von den europäischen Aufsichtsbehörden nach den Artikeln 28–44 als «kritisch» eingestuft werden, eine verschärfte Sorgfaltsprüfung anzuwenden. DORA-Volltext — EUR-Lex

Wer muss die DORA-Anforderungen an die Aufsicht über IKT-Drittdienstleister erfüllen?

Alle in der EU regulierten Finanzunternehmen — darunter Banken, Versicherer, Wertpapierfirmen, Zahlungsinstitute und Anbieter von Krypto-Dienstleistungen — müssen sie erfüllen. Konzerne, die über mehrere Tochtergesellschaften und Rechtsräume hinweg tätig sind, stehen vor zusätzlichen Koordinationsherausforderungen, weil jede Einheit ihr eigenes Register führen muss, während der Konzern eine konsolidierte Aufsicht nachweisen muss. DORA Artikel 2 — EUR-Lex

Was ist ein kritischer IKT-Drittdienstleister nach DORA?

Nach DORA Artikel 31–32 ist ein kritischer IKT-Drittdienstleister (CTPP) ein Anbieter, der von den europäischen Aufsichtsbehörden auf Grundlage der systemischen Bedeutung, des Grads der Substituierbarkeit und der Anzahl der von ihm abhängigen Finanzunternehmen eingestuft wird. CTPP unterliegen einem Lead-Overseer-Rahmen mit direkten aufsichtsrechtlichen Befugnissen, einschliesslich Vor-Ort-Prüfungen.

Wie unterstützt Priverion bei der Compliance mit DORA Artikel 28?

Priverion bietet ein zentralisiertes, konzernweites Register der Vereinbarungen mit IKT-Drittdienstleistern, abgestimmt auf DORA Artikel 28(3) und die zugehörigen RTS-/ITS-Vorlagen. Es automatisiert die Erkennung von Konzentrationsrisiken über die Tochtergesellschaften hinweg, setzt ein einheitliches Kritikalitäts-Scoring durch und steuert Rezertifizierungs-Workflows mit lückenlosen Audit-Trails — alles gehostet auf Schweizer Infrastruktur mit garantiertem europäischem Datenstandort.

Was ist Konzentrationsrisiko nach DORA?

Konzentrationsrisiko nach DORA bezeichnet die systemische Verwundbarkeit, die entsteht, wenn mehrere Finanzunternehmen oder Tochtergesellschaften vom selben IKT-Drittdienstleister abhängen. DORA Artikel 29 verpflichtet die Unternehmen, dieses Risiko zu bewerten und zu steuern, einschliesslich der Beurteilung von Unterauftragsketten und der geografischen Konzentration der Datenverarbeitung. DORA Artikel 29 — EUR-Lex

Seit wann ist DORA anwendbar?

DORA (Verordnung 2022/2554) trat am 16. Januar 2023 in Kraft und ist seit dem 17. Januar 2025 vollständig anwendbar. Finanzunternehmen müssen ihre Register der IKT-Drittdienstleister, ihre Risikomanagement-Rahmenwerke und ihre Aufsichtsprozesse bis zu diesem Datum betriebsbereit haben.

In welchem Verhältnis steht DORA zu bestehenden Outsourcing-Leitlinien wie den EBA-Leitlinien?

DORA löst frühere sektorspezifische Outsourcing-Leitlinien (wie die EBA-Leitlinien zu Auslagerungen) ab und konsolidiert sie zu einem einheitlichen, sektorübergreifenden Rahmen. Sie führt obligatorische Register der IKT-Drittdienstleister, Konzentrationsrisiko-Bewertungen und den Lead-Overseer-Rahmen für kritische Anbieter ein — Anforderungen, die über den Umfang früherer Leitlinien hinausgehen.

Welche Sanktionen drohen bei Nichteinhaltung von DORA?

DORA ermächtigt die zuständigen nationalen Behörden, bei Nichteinhaltung Verwaltungssanktionen und Abhilfemassnahmen zu verhängen. Für kritische IKT-Drittdienstleister kann der Lead Overseer für jeden Tag der Nichteinhaltung wiederkehrende Zwangsgelder von bis zu 1 % des durchschnittlichen täglichen weltweiten Umsatzes verhängen, und das während bis zu sechs Monaten. DORA Artikel 35 — EUR-Lex

DORA im Vergleich zur klassischen Outsourcing-Compliance — Gegenüberstellung

DimensionOutsourcing-Leitlinien vor DORADORA (Verordnung 2022/2554)
AnwendungsbereichSektorspezifisch (EBA, EIOPA, ESMA getrennt)Sektorübergreifender, einheitlicher Rahmen für alle Finanzunternehmen
Register der IKT-AnbieterEmpfohlen, aber nicht standardisiertObligatorisch mit RTS-/ITS-Vorlagen (Artikel 28)
KonzentrationsrisikoIn Leitlinien erwähnt, keine formale Bewertung erforderlichObligatorische Bewertung und Meldung (Artikel 29)
Aufsicht über kritische AnbieterKeine direkte aufsichtsrechtliche Beaufsichtigung der AnbieterLead-Overseer-Rahmen mit Prüfbefugnissen (Artikel 31–44)
Meldung von VorfällenJe nach Sektor unterschiedlichHarmonisierte Meldung von IKT-Vorfällen (Artikel 17–23)
Sanktionen für AnbieterKeine (nur regulierte Unternehmen sanktioniert)Bis zu 1 % des täglichen weltweiten Umsatzes für CTPP (Artikel 35)
UnterauftragsvergabeSorgfaltsprüfung empfohlenObligatorische Überwachung der gesamten IKT-Lieferkette