Navigation
Drittparteienmanagement
DORA-Grundlagen
NIS2-Grundlagen
Praxis-Guides
Checklisten
Vergleiche
Glossar

DORA-Glossar

Die wichtigsten Fachbegriffe rund um DORA — von Art. 28 bis TPRA, verständlich erklärt.

A

Art. 28 — Register of Information

Verpflichtet Finanzunternehmen, ein vollständiges Verzeichnis aller ICT-Dienstleistungsvereinbarungen zu führen und auf Anfrage der Aufsichtsbehörde vorzulegen.

Art. 29 — Bewertung und Überwachung

Regelt die laufende Bewertung und Überwachung von ICT-Drittanbietern, einschließlich Risikobewertung vor Vertragsschluss und während der Vertragslaufzeit.

Art. 30 — Vertragliche Anforderungen

Definiert 10 Mindestanforderungen an Verträge mit ICT-Dienstleistern (Audit-Rechte, Exit-Klauseln, Sicherheitsmaßnahmen etc.).

AVV (Auftragsverarbeitungsvertrag)

Vertrag nach Art. 28 DSGVO, der die Verarbeitung personenbezogener Daten durch einen Auftragsverarbeiter regelt. Ergänzt den ICT-Vertrag, ersetzt aber nicht die DORA-Anforderungen.

C

CPS (Control Performance Score)

Kennzahl zur Bewertung, wie effektiv ein ICT-Dienstleister seine Risiken managt. Teil des quantitativen TPRA-Scorings.

CSP (Critical or Important Function Supporting Provider)

Dienstleister, der eine kritische oder wichtige Funktion unterstützt. Unterliegt verschärften Anforderungen nach DORA.

D

DORA (Digital Operational Resilience Act)

EU-Verordnung 2022/2554 zur Stärkung der digitalen operationellen Resilienz im Finanzsektor. Gilt seit 17. Januar 2025 unmittelbar in allen EU-Mitgliedstaaten.

E

EBA (European Banking Authority)

Europäische Bankenaufsichtsbehörde. Definiert u.a. das Format für das Register of Information (RoI), das Institute an die nationale Aufsicht melden müssen.

Exit-Strategie

Dokumentierter Plan für den geordneten Übergang von einem ICT-Dienstleister zu einem anderen — oder die Rückholung der Dienste ins eigene Haus. Pflichtinhalt jedes ICT-Vertrags nach Art. 30.

G

Organisation, die das LEI-System verwaltet. Der LEI-Code ist der eindeutige Identifikator für Rechtsträger im RoI.

I

ICT (Information and Communication Technology)

Oberbegriff für alle informations- und kommunikationstechnischen Systeme und Dienste, die ein Finanzunternehmen nutzt.

IRP (Inherent Risk Profile)

Grundrisiko eines ICT-Dienstleisters basierend auf Faktoren wie Datentyp, Kritikalität der unterstützten Funktion und Standort der Datenverarbeitung.

K

Konzentrationsrisiko

Risiko, das entsteht, wenn mehrere kritische Funktionen von demselben ICT-Dienstleister oder derselben Infrastruktur abhängen.

Kritikalitätsbewertung

Systematische Klassifizierung aller ICT-Systeme und -Dienste nach ihrer Bedeutung für die Geschäftskontinuität.

L

20-stelliger alphanumerischer Code zur eindeutigen Identifikation von Rechtsträgern. Pflichtfeld im Register of Information.

R

RoI (Register of Information)

Strukturiertes Verzeichnis aller ICT-Dienstleistungsvereinbarungen nach Art. 28 DORA. Muss im EBA-Format exportierbar sein.

RRS (Residual Risk Score)

Verbleibendes Risiko eines ICT-Dienstleisters nach Berücksichtigung seiner Kontrollmaßnahmen. Berechnet sich aus IRP und CPS.

S

Sub-Outsourcing

Weitervergabe von ICT-Dienstleistungen durch den direkten Dienstleister an Subunternehmer. DORA verlangt Transparenz über die gesamte Lieferkette.

Supply-Chain-Transparenz

Überblick über die vollständige Kette von ICT-Dienstleistern und deren Subunternehmern (N-Tier-Transparenz).

T

TLPT (Threat-Led Penetration Testing)

Erweiterte Penetrationstests, die reale Bedrohungsszenarien simulieren. Nur für größere Institute verpflichtend, die von der Aufsicht dazu bestimmt werden.

TPRA (Third-Party Risk Assessment)

Systematische Risikobewertung von ICT-Drittanbietern. DORA verlangt eine quantitative Bewertung — nicht nur qualitative Einschätzungen.