Lieferanten-Risikobewertung
Eine strukturierte Bewertung der Sicherheitslage und des Compliance-Status von Drittanbietern vor und während einer Geschäftsbeziehung. DORA Artikel 28 fordert spezifische Due-Diligence-Anforderungen für IKT-Dienstleister, die von Finanzunternehmen genutzt werden.
Die Lieferanten-Risikobewertung ist ein kritischer Bestandteil des Drittparteien-Risikomanagements. Sie umfasst die systematische Bewertung potenzieller und bestehender Anbieter über mehrere Dimensionen: Informationssicherheitskontrollen, regulatorische Compliance, finanzielle Stabilität, Business-Continuity-Fähigkeiten und Datenschutzpraktiken.
Gemäß DORA müssen Finanzunternehmen vorvertragliche Bewertungen von IKT-Anbietern durchführen, einschließlich der Bewertung ihrer Sicherheitsmaßnahmen, Incident-Response-Fähigkeiten und Business-Continuity-Pläne. Laufende Bewertungen müssen ebenfalls durchgeführt werden, wobei Häufigkeit und Tiefe proportional zur Kritikalität der erbrachten Dienste sind.
Moderne Plattformen zur Lieferanten-Risikobewertung automatisieren einen Großteil dieses Prozesses durch standardisierte Fragebögen, kontinuierliche Überwachung der Sicherheitslage von Anbietern und Risiko-Scoring.
Verwandte Begriffe
Drittparteien-Risikomanagement
Der Prozess der Identifizierung, Bewertung und Steuerung von Risiken aus der Auslagerung an Drittdienstleister. Gemäß DORA Artikel 28 müssen Finanzunternehmen ein Register aller IKT-Drittanbieter führen und kritische Anbieter gründlich prüfen.
Lieferkettensicherheit
Das Management von Cybersicherheitsrisiken entlang der gesamten Lieferkette, einschließlich aller Drittanbieter, Softwareanbieter und Servicepartner. Sowohl DORA als auch NIS2 fordern Maßnahmen zur Lieferkettensicherheit zum Schutz vor Kaskadenausfällen und gezielten Angriffen.
DORA (Digital Operational Resilience Act)
Eine EU-Verordnung, die einheitliche Anforderungen an die Sicherheit von Netzwerk- und Informationssystemen im Finanzsektor festlegt. DORA ist seit dem 17. Januar 2025 verpflichtend und gilt für Banken, Versicherungen, Wertpapierfirmen und deren kritische IKT-Dienstleister.
Sorgfaltspflicht
Eine umfassende Untersuchung oder Bewertung vor Eingehen einer Geschäftsbeziehung oder Transaktion. Im Compliance-Kontext bezieht sich Sorgfaltspflicht auf die gründliche Bewertung von Drittanbietern, Geschäftspartnern oder Übernahmezielen hinsichtlich regulatorischer und Sicherheitsrisiken.
Verwandte Artikel
Continuous Vendor Monitoring: Automated Third-Party Risk Management
In Q3 2025, BaFin issued its first Digital Operational Resilience Act (DORA)-related enforcement notice
Post-Acquisition Compliance Integration and Harmonization
When European financial institutions consider mergers and acquisitions, compliance integration and harmonization are often seen as secondary to financial synergies and operational efficiencies
Third-Party Due Diligence Checklist for Banks and Fintechs
In Q3 2025, BaFin issued its first DORA-related enforcement notice. The fine? A steep EUR 450,000
Vendor Cybersecurity Assessment: Tools and Best Practices
In the complex ecosystem of today's financial services, no organization operates in isolation
Compliance automatisieren mit Matproof
DORA, SOC 2, ISO 27001 — Audit-bereit in Wochen, nicht Monaten.
Demo anfragen