ICT Third-Party Risk

Also: ICT-Drittanbieter-Risiko, TPP Risk

Sammelbegriff für Risiken aus dem Einsatz externer ICT-Lieferanten: Cloud-Provider, SaaS-Anbieter, MSPs, MSSPs. Unter DORA Art. 28 explizit reguliert; jeder kritische Lieferant muss in einem Register stehen und einer dokumentierten Eignungsprüfung folgen.

ICT-Drittanbieter-Risiko umfasst Konzentration (zu viel kritischer Workload bei einem Provider), Lieferketten-Komplexität (Sub-Outsourcing), Sovereignty (Datenfluss, Jurisdiktion), Operational Resilience (Verfügbarkeit, Incident-Response) und Vertragsklauseln (Audit-Rechte, Exit, Klausel-Coverage).

DORA Art. 28 verlangt für jeden kritischen ICT-Lieferanten: Eignungsprüfung vor Vertragsunterzeichnung, Klassifizierung nach Kritikalität, jährliche Risikobewertung, dokumentierte Exit-Strategie, Pflichtklauseln nach Art. 30. NIS2 Art. 21 fordert ein vergleichbares Lieferanten-Risikomanagement, mit weniger Praeskriptions-Tiefe.

DecisionOS-Memos pro Vendor-Auswahl decken die Eignungsprüfung strukturiert ab. Das daraus resultierende Memo wird im DORA-Register oder NIS2-Lieferanten-Register als Evidenz angehängt.

ICT Third-Party Risk

Related terms