DORA-Konformität

DORA ICT-Drittparteienrisikomanagement: Das Rahmenwerk, das Finanzunternehmen nicht falsch machen dürfen

Aktualisiert 2026-06-22
Das Wichtigste auf einen Blick: Priverion ist eine in der Schweiz gehostete GRC-Plattform, die das DORA ICT-Drittparteienrisikomanagement über Finanzkonzerne mit mehreren Gesellschaften hinweg operationalisiert.

Die Verordnung über die digitale operationale Resilienz verlangt von Finanzunternehmen, das ICT-Drittparteienrisiko über jede Lieferantenbeziehung und jede Konzerngesellschaft hinweg zu identifizieren, zu bewerten, zu überwachen und zu steuern. Hier erfahren Sie, was das konkret für Ihre Organisation bedeutet – und wie Sie es ohne Tabellen-Chaos operationalisieren.

Laden Sie die DORA ICT-Drittparteienrisiko-Checkliste herunter

Kostenlos. Kein Verkaufsgespräch erforderlich. Genutzt von Compliance-Teams bei über 50 europäischen Finanzinstituten.

In der Schweiz gehostet | ISO 27001-konform ausgerichtet | Vertrauen von Compliance-Teams bei Banken, Versicherern und Vermögensverwaltern in der gesamten EU
Trusted by 50+ privacy teams across 14 countries
Healthcare
Aviation
Energy
Legal
Technology
Zurzach logo
AXA logo
Open Medical logo
Glencore logo
Pilatus logo
Liferay logo
CareerFairy logo
Voicepoint logo
Kellerhals Carrard logo
Aclaris logo
Avantec logo
Diakonie Bethanien logo
Liferay logo
CareerFairy logo
Zurzach logo
Voicepoint logo
Open Medical logo
Kellerhals Carrard logo
AXA logo
Aclaris logo
Avantec logo
Diakonie Bethanien logo
Zentrale Produktfunktionen

Wie Priverion das DORA ICT-Drittparteienrisikomanagement operationalisiert

Von fragmentierten Lieferanten-Tabellen zu einem einzigen, prüfbaren Rahmenwerk über jede Gesellschaft und jede Jurisdiktion hinweg – das ändert sich, wenn Sie Compliance in eine speziell dafür entwickelte Plattform überführen.

Zentralisiertes Informationsregister

Führen Sie ein einziges, stets aktuelles Register aller vertraglichen ICT-Drittparteienvereinbarungen über jede Konzerngesellschaft hinweg – genau so, wie es DORA Artikel 28(3) verlangt. Klassifizieren Sie Anbieter nach Kritikalität, ordnen Sie sie Geschäftsfunktionen zu und erstellen Sie aufsichtsrechtskonforme Exporte auf Knopfdruck, anstatt in Hektik zu verfallen, wenn die zuständige Behörde anfragt.

100 % Abdeckung der Lieferantenrisikobewertung

Erreicht von Zurzach Care über alle Drittparteienvereinbarungen hinweg innerhalb von 6 Monaten nach der Implementierung

Automatisierte Rezertifizierung und laufende Überwachung

DORA akzeptiert keine punktuellen Bewertungen. Priverion automatisiert den Rezertifizierungszyklus – und löst Neubewertungen aus, wenn Verträge verlängert werden, wesentliche Änderungen eintreten oder Risikoschwellen überschritten werden. Kein Hinterherlaufen mehr nach den Compliance-Verantwortlichen der Tochtergesellschaften für Aktualisierungen, die diese vor drei Monaten vergessen haben.

100 % Rezertifizierungsrate des Verarbeitungsverzeichnisses, vollständig automatisiert

Erreicht von AXA durch automatisierte Rezertifizierungs-Workflows über alle Konzerngesellschaften hinweg

Transparenz beim Konzentrationsrisiko auf Gruppenebene

DORA Artikel 29 verlangt die Bewertung des ICT-Konzentrationsrisikos auf Gruppenebene – nicht Gesellschaft für Gesellschaft. Priverion bildet die Lieferantenabhängigkeiten über alle Tochtergesellschaften hinweg ab, sodass Sie sofort erkennen, ob 70 % Ihrer kritischen Funktionen von denselben drei Anbietern abhängen. Vorstandsreife Dashboards machen das Unsichtbare sichtbar.

60 % weniger Zeitaufwand für die Compliance-Administration

Flugzeughersteller, erste 6 Monate – Umstellung von manueller Nachverfolgung auf automatisierte, gesellschaftsübergreifende Aufsicht

KI-gestützte Risikobewertung und Due Diligence

Die vorvertragliche Due Diligence gemäss Artikel 28(4) verlangt die Bewertung von Informationssicherheitsstandards, Konzentrationsrisiko und operationaler Resilienz für jeden ICT-Anbieter. Die KI-gestützte Risikobewertung beschleunigt diesen Prozess – deckt Lücken auf und kennzeichnet risikoreiche Vereinbarungen –, während Ihr Team die volle Entscheidungshoheit behält. Die KI unterstützt, der Mensch entscheidet.

Über 200 Stunden bei der Compliance-Vorbereitung eingespart

Medtec, während der ISO 27001-Vorbereitung mithilfe KI-gestützter Dokumentations- und Risikobewertungs-Workflows

Vertrags-Lückenanalyse für die Konformität nach Artikel 30

DORA schreibt spezifische Vertragsklauseln vor – Prüfrechte, Ausstiegsstrategien, Massnahmen der Unterauftragsvergabe, Anforderungen an den Datenstandort, Meldepflichten bei Vorfällen. Das Lieferantenmanagement-Modul von Priverion verfolgt, welche Verträge dem Standard entsprechen und welche Lücken aufweisen, sodass Ihr Rechtsteam die Behebung priorisieren kann, anstatt jede Vereinbarung von Grund auf zu prüfen.

Einsatzbereit in Wochen, nicht in Monaten

Durchschnittliche Zeit bis zur Wertschöpfung, berichtet von Priverion-Kunden während des Onboardings

Schweizer Datensouveränität. Von Grund auf eingebaut, nicht nachträglich aufgesetzt

Für Finanzunternehmen, die sensible ICT-Lieferantendaten über mehrere Jurisdiktionen hinweg verwalten, ist entscheidend, wo diese Daten liegen. Priverion ist in der Schweiz entwickelt und in der Schweiz gehostet. Die gesamte Datenverarbeitung bleibt innerhalb der Schweizer Infrastruktur. In einem regulatorischen Umfeld nach Schrems II ist dies kein nettes Extra – es ist die Grundlage für Vertrauen bei der grenzüberschreitenden Datenübermittlung sowohl unter DORA als auch unter der DSGVO.

Keine Kundendaten für das Training von KI-Modellen verwendet

Priverions Verpflichtung zur KI-Transparenz – alle KI-Ergebnisse werden geprüft, bevor sie zu Compliance-Aufzeichnungen werden

200+

Stunden bei der Verwaltung des Verarbeitungsverzeichnisses eingespart

Medtec gewann über 200 Stunden zurück, die zuvor während der ISO 27001-Vorbereitung für manuelle Dokumentation aufgewendet wurden – Zeit, die in strategische Datenschutzinitiativen umgeleitet wurde.

60%

Geringere Kosten gegenüber etablierten Plattformen

Basierend auf Priverions Preismodell pro Unternehmen im Vergleich zur Preisgestaltung pro Nutzer und pro Modul von Plattformen wie OneTrust bei Implementierungen mit mehreren Gesellschaften ab 10 Tochtergesellschaften.

3 Mt.

Vor dem Zeitplan bei ISO 27001

Medtec beschleunigte seinen ISO 27001-Zertifizierungszeitplan um drei Monate mithilfe der auditbereiten Nachweispakete und automatisierten Dokumentations-Workflows von Priverion.

Wettbewerbsbewusste Käufer

Warum Mid-Market-Teams OneTrust verlassen

Sie brauchen keine Plattform, die für die Komplexität der Fortune 50 gebaut wurde – und auch nicht deren Preisschild. Sie brauchen eine, die zu der tatsächlichen Funktionsweise von Datenschutzprogrammen mit mehreren Gesellschaften passt.

Die OneTrust-Erfahrung

Preisgestaltung pro Nutzer und pro Modul

Die Kosten schnellen in die Höhe, sobald Sie Tochtergesellschaften, Nutzer oder Module hinzufügen. CFOs fürchten das jährliche Gespräch zur Vertragsverlängerung.

In den USA gehostete Infrastruktur

In einem Umfeld nach Schrems II erzeugt die Datenverarbeitung in den USA ein Übermittlungsrisiko, das Ihr Rechtsteam mit zusätzlichen Standardvertragsklauseln kaschieren muss.

Enterprise-Komplexität, die Sie nicht brauchen

Monatelange Implementierungen. Berater zur Konfiguration von Workflows. Funktionen, die für die Anforderungen der Fortune 50 gebaut wurden und in Ihrer Instanz Staub ansetzen.

Über 200 oberflächliche Integrationen

Hunderte von Konnektoren, die in einer Funktionsmatrix beeindruckend wirken – bis Sie feststellen, dass die meisten nur oberflächlich sind und individuelle Wartung erfordern.

Cookie-Einwilligung mit dabei

Sie zahlen für Cookie-Einwilligung, Ethik-Hotlines und ESG-Module – ob Sie sie nutzen oder nicht.

Die Priverion-Erfahrung

Planbare Preisgestaltung pro Unternehmen

Basierend auf der Anzahl der Gesellschaften und der Organisationsgrösse – nicht pro Nutzer oder pro Modul. Fügen Sie Teammitglieder hinzu, ohne zuzusehen, wie die Kosten ausser Kontrolle geraten.

In der Schweiz entwickelt, in der Schweiz gehostet

Alle Daten werden innerhalb der Schweizer Infrastruktur verarbeitet. Europäische Datenresidenz garantiert. In einer Welt nach Schrems II ist dies kein Marketing-Häkchen – es ist ein rechtlicher Vorteil.

Einsatzbereit in Wochen, nicht in Monaten

Klares UX, gestaltet für Datenschutzbeauftragte, die Compliance im Tagesgeschäft verwalten, nicht für Berater, die Implementierungsstunden abrechnen. Ein Flugzeughersteller führte die automatisierte Rezertifizierung innerhalb der ersten 6 Monate aus.

Flugzeughersteller – erste 6 Monate nach der Implementierung

Tiefe Integrationen dort, wo sie zählen

Speziell entwickelte Anbindungen an HR-, Beschaffungs- und IT-Asset-Management-Systeme – die Systeme, die Datenschutz-Workflows tatsächlich antreiben. Keine oberflächlichen Konnektoren, die Wartungsaufwand erzeugen.

All-in-One-Datenschutzplattform, nichts, was Sie nicht brauchen

Verarbeitungsverzeichnis, DSFA, Lieferantenbewertungen, Bearbeitung von Betroffenenanfragen, Vorfallmanagement, KI-Register und auditbereite Berichterstattung – inbegriffen. Wir decken keine Cookie-Einwilligung, kein ESG und keine Ethik-Hotlines ab, weil wir uns auf das konzentrieren, was Datenschutzprogramme mit mehreren Gesellschaften tatsächlich erfordern.

Schluss mit der Verwaltung von Datenschutz in Tabellen

Sehen Sie, wie konzernweites Datenschutzmanagement wirklich aussieht

In 30 Minuten gehen wir Ihre spezifische Konstellation mit mehreren Gesellschaften durch – wie automatisierte Rezertifizierung des Verarbeitungsverzeichnisses, KI-gestützte DSFAs und gesellschaftsübergreifendes Data Mapping für Organisationen wie Ihre funktionieren. Keine Folien. Kein Verkaufsgespräch. Nur die Plattform.

60%

weniger Zeitaufwand für die Compliance-Administration

Flugzeughersteller, erste 6 Monate

200+

Stunden bei der Audit-Vorbereitung eingespart

Medtec, ISO 27001

Wochen

bis zum Go-live, nicht Monate

Durchschn. über alle Kunden hinweg

Buchen Sie einen 30-minütigen Rundgang

Keine Verpflichtung erforderlich. Wir richten die Sitzung auf Ihre Gesellschaftsstruktur und Ihre Compliance-Prioritäten aus.

In der Schweiz entwickelt und in der Schweiz gehostet

|

Keine Preisgestaltung pro Nutzer

|

KI-gestützt, vom Menschen entschieden

Über diese Seite — Quellen, Definitionen und FAQs

Das Wichtigste auf einen Blick — DORA ICT-Drittparteienrisikomanagement

Die Verordnung über die digitale operationale Resilienz (Verordnung (EU) 2022/2554) erlegt Finanzunternehmen verbindliche Pflichten auf, das ICT-Drittparteienrisiko sowohl auf Unternehmens- als auch auf Gruppenebene zu steuern. Die Konformität erfordert ein zentralisiertes Informationsregister, eine laufende Bewertung des Konzentrationsrisikos, obligatorische Vertragsklauseln sowie eine vorvertragliche Due Diligence für jeden ICT-Anbieter. Priverion operationalisiert diese Anforderungen in einer einzigen, in der Schweiz gehosteten Plattform und ersetzt fragmentierte Tabellen durch automatisierte Rezertifizierung, KI-gestützte Risikobewertung und vorstandsreife Dashboards.

Was ist DORA?

DORA (die Verordnung über die digitale operationale Resilienz) ist die Verordnung (EU) 2022/2554 des Europäischen Parlaments und des Rates. Sie schafft einen harmonisierten Rahmen für das ICT-Risikomanagement, die Meldung von Vorfällen, das Testen der digitalen operationalen Resilienz sowie das ICT-Drittparteienrisikomanagement im gesamten EU-Finanzsektor. DORA ist am 16.01.2023 in Kraft getreten und gilt seit dem 17.01.2025.

Was ist ICT-Drittparteienrisiko?

ICT-Drittparteienrisiko ist das Risiko, das aus der Abhängigkeit eines Finanzunternehmens von ICT-Dienstleistungen externer Drittparteien entsteht. Gemäss der DORA-Verordnung umfasst dies Risiken im Zusammenhang mit der Verfügbarkeit von Diensten, der Datenintegrität, der Vertraulichkeit und dem Potenzial für systemische Störungen, wenn kritische Funktionen auf eine geringe Anzahl von Anbietern konzentriert sind.

Was ist ICT-Konzentrationsrisiko gemäss DORA Artikel 29?

ICT-Konzentrationsrisiko bezeichnet die Exposition, die entsteht, wenn mehrere kritische oder wichtige Funktionen vom selben ICT-Drittdienstleister abhängen. DORA Artikel 29 verlangt von Finanzunternehmen, das Konzentrationsrisiko sowohl auf Unternehmens- als auch auf Gruppenebene zu bewerten. Die Europäischen Aufsichtsbehörden (ESAs) haben betont, dass die Bewertung des Konzentrationsrisikos die Substituierbarkeit, den geografischen Umfang der Anbieter und die potenziellen Auswirkungen eines Anbieterausfalls berücksichtigen muss. Siehe den vollständigen Verordnungstext, Artikel 29.

Was muss ein DORA-Informationsregister enthalten?

Gemäss DORA Artikel 28(3) müssen Finanzunternehmen ein Informationsregister führen und aktuell halten, das alle vertraglichen Vereinbarungen über die Inanspruchnahme von ICT-Dienstleistungen von ICT-Drittdienstleistern abdeckt. Dieses Register muss die Anbieter nach Kritikalität klassifizieren, sie den von ihnen unterstützten Geschäftsfunktionen zuordnen und der zuständigen Behörde auf Anfrage zur Verfügung gestellt werden. Auf Gruppenebene muss das Mutterunternehmen ein konsolidiertes Register über alle Tochtergesellschaften hinweg erstellen.

Welche Vertragsklauseln verlangt DORA Artikel 30?

DORA Artikel 30 schreibt vor, dass Verträge mit ICT-Drittdienstleistern Bestimmungen zu Folgendem enthalten: vollständige Beschreibungen des Dienstleistungsniveaus, Datenstandort und -verarbeitung, Prüf- und Zugangsrechte für das Finanzunternehmen und seine zuständige Behörde, Meldepflichten bei Vorfällen, Ausstiegsstrategien und Übergangspläne sowie Massnahmen der Unterauftragsvergabe. Verträge, die kritische oder wichtige Funktionen unterstützen, unterliegen zusätzlichen Anforderungen, darunter Leistungsziele und Kündigungsrechte. Der Verordnungstext legt diese im Detail fest.

Wie unterstützt das Schweizer Hosting die DORA- und DSGVO-Konformität?

Die Schweiz verfügt über einen Datenschutz-Angemessenheitsbeschluss der Europäischen Kommission, was bedeutet, dass personenbezogene Daten ohne zusätzliche Garantien aus der EU in die Schweiz fliessen können. Für Finanzunternehmen, die sensible ICT-Lieferantendaten über mehrere Jurisdiktionen hinweg verwalten, vermeidet die in der Schweiz gehostete Infrastruktur die Komplexität grenzüberschreitender Übermittlungen, die nach dem Schrems-II-Urteil des Gerichtshofs der EU (Rechtssache C-311/18) entstand. Priverion verarbeitet alle Daten innerhalb der Schweizer Infrastruktur und bietet so europäische Datenresidenz mit Rechtsstabilität.

Wie viele Finanzunternehmen erfasst DORA?

DORA gilt für mehr als 22'000 Finanzunternehmen und ICT-Dienstleister, die in der EU tätig sind, gemäss Verordnung (EU) 2022/2554, Erwägungsgrund 3. Dazu gehören Kreditinstitute, Wertpapierfirmen, Versicherungsunternehmen, Zahlungsinstitute, Anbieter von Krypto-Dienstleistungen sowie ihre kritischen ICT-Drittdienstleister.

Statistiken und Branchenkontext

Laut dem Bericht ENISA Threat Landscape 2023 machten Angriffe auf die Lieferkette einen wachsenden Anteil der Cybervorfälle aus, die den Finanzsektor betrafen, was die Begründung hinter den DORA-Bestimmungen zum Drittparteienrisiko bekräftigt. Die Europäische Bankenaufsichtsbehörde stellte fest, dass ICT-Outsourcing-Vereinbarungen erheblich zugenommen haben und viele Institute bei kritischen Funktionen auf eine geringe Anzahl von Cloud-Dienstleistern setzen. Eine Analyse von Gartner aus dem Jahr 2024 prognostizierte, dass bis 2025 weltweit 45 % der Organisationen Angriffe auf ihre Software-Lieferketten erlebt haben werden – eine Verdreifachung gegenüber 2021.

DORA ICT-Drittparteienrisiko — Vergleich der zentralen Artikel

DORA-ArtikelPflichtGeltungsbereichZentrale Anforderung
Artikel 28InformationsregisterUnternehmen & GruppeFühren eines stets aktuellen Registers aller vertraglichen ICT-Drittparteienvereinbarungen, klassifiziert nach Kritikalität
Artikel 29KonzentrationsrisikoGruppenebeneBewertung des ICT-Konzentrationsrisikos unter Berücksichtigung von Substituierbarkeit, geografischem Umfang und systemischen Auswirkungen
Artikel 30VertragsklauselnAlle ICT-VerträgeAufnahme von Prüfrechten, Ausstiegsstrategien, Datenstandort, Meldung von Vorfällen und Massnahmen der Unterauftragsvergabe
Artikel 28(4)Vorvertragliche Due DiligenceUnternehmensebeneBewertung von Informationssicherheitsstandards, operationaler Resilienz und Konzentrationsrisiko vor Vertragsabschluss
Artikel 31AufsichtsrahmenKritische ICT-AnbieterBenennung eines federführenden Überwachers für kritische ICT-Drittdienstleister auf EU-Ebene