TPRM: 40 % der Störungen beginnen bei Dritten — DORA und NIS2 erfordern formelles Management

Drittparteien-Risikomanagement (TPRM) ist der systematische Prozess der Identifizierung, Bewertung, Überwachung und Minderung der Risiken, die von Lieferanten, Technologieanbietern und anderen externen Parteien ausgehen, die Zugang zu den kritischen Systemen, Daten oder Prozessen einer Organisation haben. Im EU-regulatorischen Kontext legt DORA (Digital Operational Resilience Act, Verordnung EU 2022/2554, anwendbar seit Januar 2025) spezifische TPRM-Verpflichtungen für Finanzunternehmen bezüglich ihrer kritischen IKT-Anbieter fest, einschließlich obligatorischer Vertragsklauseln, verstärkter Due-Diligence und Vorfallsbenachrichtigungsanforderungen. NIS2 (Richtlinie EU 2022/2555, in spanisches Recht umgesetzt) verlangt ähnlich von Unternehmen aus essenziellen und wichtigen Sektoren, die Cybersicherheitsrisiken ihrer digitalen Lieferketten zu bewerten und zu verwalten.

Unser Drittparteien-Risikomanagement-Team kombiniert Corporate-Due-Diligence-Expertise mit Kenntnissen in Cybersicherheit, digitaler Regulierung und Vertragsmanagement für kritische Technologieanbieter.

Warum Drittparteien-Abhängigkeit die am schnellsten wachsende Quelle operationeller Risiken ist

Die Abhängigkeit von Drittparteien ist ein strukturelles Merkmal moderner Unternehmen. Unternehmen lagern kritische Funktionen aus — Datenverarbeitung, Technologieinfrastruktur, Logistik, Gehaltsabrechnung — die vor zwanzig Jahren intern kontrollierte Fähigkeiten waren. Diese Auslagerung erzeugt operative und Kosteneffizienz, überträgt aber gleichzeitig erhebliche Risiken: Wenn der Lieferant versagt, übernimmt wird oder einen schwerwiegenden Sicherheitsvorfall erleidet, tragen dessen Kunden die Konsequenzen — oft ohne die Möglichkeit, kurzfristig zu reagieren.

Die 40 % schwerwiegender Geschäftsstörungen, die aus Drittparteien-Versagen stammen, sind eine Zahl, die Unternehmen sich nicht leisten können zu ignorieren. Ein typisches Szenario: Ein Unternehmen verlässt sich für sein ERP-System auf einen Cloud-Anbieter, der eine 24-stündige Ausfallzeit erleidet. Bei Überprüfung des Vertrags stellt man fest, dass das SLA lediglich 99,5 % monatliche Verfügbarkeit garantiert (entspricht 3,6 Stunden zulässiger Ausfallzeit pro Monat ohne Kompensation), keine Kontinuitätsklauseln vorhanden sind und der Anbieter keine Verpflichtung zur Vorfallsbenachrichtigung hat.

DORA für Finanzunternehmen und NIS2 für essenzielle und wichtige Unternehmen haben diese informellen Abhängigkeiten in regulatorische Pflichten umgewandelt. DORA (Verordnung EU 2022/2554) verpflichtet Kreditinstitute, Versicherungen, Zahlungsdienstleister und andere Finanzentitäten, ein vollständiges Register aller Vertragsvereinbarungen mit IKT-Anbietern zu führen, kritische oder wichtige IKT-Anbieter zu identifizieren und verstärkte Due-Diligence bei diesen Anbietern durchzuführen. NIS2 erweitert ähnliche Anforderungen auf Energieunternehmen, Transportinfrastruktur, Gesundheitswesen und andere kritische Sektoren.

Lieferantenkonzentrationsrisiko: die am häufigsten übersehene Schwachstelle

Konzentrationsrisiko entsteht, wenn ein Unternehmen von einem einzigen Lieferanten für einen kritischen Service abhängt, ohne lebensfähige Alternativen bereit zu haben. DORA verweist explizit auf das IKT-Anbieter-Konzentrationsrisiko und verlangt von Finanzunternehmen, es zu bewerten und zu berichten. Jenseits der regulatorischen Anforderung ist die wirtschaftliche Realität klar: Wenn ein Lieferant weiß, dass sein Kunde keine praktikable Alternative hat, verliert dieser Kunde seine Verhandlungsposition — bei Preisverhandlungen, bei Vertragsverlängerungen und in Krisenmomenten.

Die Strategien zur Minderung des Konzentrationsrisikos umfassen Lieferantendiversifizierung für kritische Funktionen, Aufrechterhaltung minimaler interner Kapazitäten als Fallback, Verhandlung von Exit-Klauseln, die den Übergang zu einem alternativen Anbieter ermöglichen, und proaktive Qualifizierung von Alternativlieferanten vor der Notwendigkeit eines Wechsels.

Unser TPRM-Programm: Vom Inventar zur kontinuierlichen Überwachung

Der erste Schritt ist immer Sichtbarkeit. Die meisten Organisationen haben kein vollständiges, aktuelles Inventar ihrer kritischen Lieferanten: Sie kennen ihre Hauptanbieter, aber es fehlt eine systematische Klassifizierung, welche von ihnen — wenn sie versagen, kompromittiert werden oder einfach ihre Servicebedingungen ändern würden — eine schwerwiegende Auswirkung auf Betrieb oder regulatorische Compliance hätten.

Unsere Fachleute implementieren das TPRM-Programm in drei klar definierten Phasen. Die erste Phase ist Sichtbarkeit: Wir erstellen das vollständige Inventar aller Drittparteien mit Zugang zu kritischen Systemen, Daten oder Prozessen und klassifizieren sie nach Kritikalitätsniveau (kritisch, wichtig, standard). Die zweite Phase ist Bewertung: Für kritische Lieferanten führen wir strukturierte Due-Diligence durch — strukturierte Sicherheitsfragebögen, Überprüfung von Zertifizierungen (ISO 27001, SOC 2, Esquema Nacional de Seguridad), Bewertung der Geschäftskontinuitätskapazität, Prüfung der finanziellen Stabilität und Überprüfung operativer Referenzen. Die dritte Phase ist Schutz: Wir überprüfen und stärken den vertraglichen Rahmen mit kritischen Lieferanten — Sicherheitsanforderungen, Audit-Rechte, Vorfallsbenachrichtigungspflichten (Frist von maximal 24 Stunden), SLAs mit realen Strafen, Datenlöschungsverpflichtungen bei Vertragsende und Exit- und Übergangsklauseln — und implementieren das kontinuierliche Überwachungssystem.

Exit-Strategien: Dokumentiert bevor sie gebraucht werden

Eine Exit-Strategie ist der Plan, der definiert, wie die Organisation eine Beziehung mit einem kritischen Lieferanten beenden und zu einer Alternative migrieren kann, mit minimaler Betriebsauswirkung. Sie muss dokumentiert sein, bevor ein Bedarf zur Aktivierung besteht — in einem Krisenmoment ist keine Zeit für Planung. DORA verlangt von Finanzunternehmen explizit dokumentierte Exit-Pläne für kritische IKT-Anbieter.

Typische Aktivierungstrigger für eine Exit-Strategie sind: wiederholte SLA-Verletzung, schwerwiegender Sicherheitsvorfall, der dem Lieferanten zugerechnet wird, Lieferanteninsolvenz, inakzeptable einseitige Änderung der Servicebedingungen oder Identifizierung einer erheblich überlegenen Alternative. Die Exit-Klausel im Vertrag muss das Recht auf vorzeitige Kündigung ohne Strafgebühren in diesen Fällen sichern, den Übergangszeitraum definieren, in dem der Lieferant den Service weiter erbringen muss, und Datenmigration sowie Vernichtung von Kundendaten nach Vertragsende regeln.

Was unser TPRM-Service umfasst

Der Service umfasst Inventar und Klassifizierung aller Drittparteien mit Zugang zu kritischen Systemen oder Daten nach Kritikalitätsniveau; strukturierte Due-Diligence bei kritischen Lieferanten inklusive Sicherheitsfragebögen, Zertifizierungsüberprüfung und Kontinuitätsbewertung; Überprüfung und Stärkung des vertraglichen Rahmens mit Sicherheits-, Audit-, Vorfallsbenachrichtigungs-, SLA- und Exit-Klauseln; kontinuierliches Überwachungssystem mit Risikoalerts (ungünstige Nachrichten, Sicherheitsvorfälle, regulatorische Sanktionen); jährliche Überprüfung der kritischen Lieferantenbewertungen mit aktualisierten Risikoregistern; Integration in das ERM-Risikoregister des Unternehmens; und für Finanzunternehmen die vollständige Einhaltung der spezifischen IKT-Anbieter-Management-Anforderungen von DORA, einschließlich des obligatorischen Vertragsklauselsets.

Echte Ergebnisse im Drittparteien-Risikomanagement

Unternehmen, die das TPRM-Programm mit unserem Team implementieren, identifizieren im Durchschnitt zwischen drei und acht kritische Lieferanten, deren Verträge keine Mindestschutzklauseln im Falle eines Versagens oder Sicherheitsvorfalls enthalten. Die Neuverhandlung dieser Verträge generiert konkrete Schutzmaßnahmen: SLAs mit realen wirtschaftlichen Strafen, Vorfallsbenachrichtigungsklauseln innerhalb von 24 Stunden und Audit-Rechte. Die Detektionszeit für ein Problem bei einem kritischen Lieferanten sinkt von Tagen oder Wochen auf Stunden dank des kontinuierlichen Überwachungssystems. Für Unternehmen, die DORA oder NIS2 unterliegen, eliminiert die Implementierung des TPRM-Programms das Risiko regulatorischer Sanktionen wegen Nichterfüllung der Lieferkettensicherheitsanforderungen.

DORA und NIS2: konkrete Anforderungen und Sanktionsrahmen

DORA (Verordnung EU 2022/2554) ist seit dem 17. Januar 2025 direkt anwendbar in allen EU-Mitgliedstaaten — ohne nationalen Umsetzungsakt, da es sich um eine Verordnung handelt. Sie gilt für Kreditinstitute, Zahlungsdienstleister, Versicherungsunternehmen, Kapitalanlagegesellschaften, Kryptowerte-Anbieter (CASPs) und weitere Finanzentitäten gemäß Artikel 2 DORA. Der IKT-Risikomanagement-Rahmen nach Kapitel II DORA verlangt explizit ein Drittparteien-Register, strukturierte Vertragsklauseln für kritische IKT-Anbieter und jährliche Überprüfung von Konzentrationsrisiken. Bei schwerwiegenden IKT-Vorfällen sind Finanzunternehmen zur Meldung an die zuständige spanische Aufsichtsbehörde (Banco de España für Banken, CNMV für Wertpapierfirmen) innerhalb strenger Fristen verpflichtet.

NIS2 (Richtlinie EU 2022/2555) wurde in Spanien durch entsprechende nationale Gesetzgebung umgesetzt und gilt für Unternehmen in Sektoren wie Energie, Transport, Gesundheitswesen, Trinkwasserversorgung, digitale Infrastruktur und öffentliche Verwaltung. Artikel 21 NIS2 verlangt von betroffenen Unternehmen, angemessene und verhältnismäßige Sicherheitsmaßnahmen zu ergreifen, die ausdrücklich die Sicherheit der Lieferkette und die Beziehungen mit Lieferanten und Dienstleistern umfassen. Sanktionen für Verstöße können bei essenziellen Einrichtungen bis zu 10 Mio. EUR oder 2 % des weltweiten Jahresumsatzes erreichen.

Drittparteien-Risiko in DACH-Konzernstrukturen mit spanischen Einheiten

Für Konzerne mit Muttergesellschaft in Deutschland, Österreich oder der Schweiz und spanischen Tochtergesellschaften entstehen typischerweise mehrschichtige Drittparteien-Risikobewertungspflichten: Die Muttergesellschaft unterliegt möglicherweise DORA oder NIS2 auf Konzernebene, während die spanische Einheit eigenständige nationale Meldepflichten gegenüber spanischen Aufsichtsbehörden hat. Technologieanbieter, die konzernweit genutzt werden — Cloud-Dienste, ERP-Plattformen, Zahlungsabwickler — müssen sowohl auf Konzernsebene als auch aus der Perspektive der jeweiligen nationalen Regulierung als kritische IKT-Anbieter klassifiziert und vertraglich abgesichert werden.

Wir begleiten Konzerne beim Aufbau eines konsistenten TPRM-Rahmens, der sowohl die konzernweiten Anforderungen als auch die spezifischen spanischen regulatorischen Verpflichtungen erfüllt — ohne unnötige Duplizierung von Bewertungsarbeit und mit klarer Zuordnung, welche Entitäten für welche regulatorischen Meldungen gegenüber dem Banco de España, der CNMV und der nationalen NIS2-Behörde verantwortlich sind.