DORA2026-02-2412 min Lesezeit

Choosing a TLPT Provider Under DORA: Criteria and Red Flags

Auch verfügbar auf:English

Inhaltsverzeichnis

  1. 01Einleitung
  2. 02Das Kernproblem
  3. 03Warum dies jetzt dringend ist
  4. 04Die Lösungsframework
  5. 05häufige Fehler zu vermeiden
  6. 06Werkzeuge und Ansätze
  7. 07Getting Started: Ihre nächsten Schritte
  8. 08Häufig gestellte Fragen
  9. 09Schlüsselerkenntnisse

Wählen Sie einen TLPT-Anbieter unter DORA: Kriterien und Warnzeichen

Einleitung

Im dritten Quartal 2025 veröffentlichte die BaFin seine erste DORA-bezogene Bußgeldankündigung. Die Geldstrafe: 450.000 EUR. Die Verletzung: Unzureichende Dokumentation des Risikos von Drittanbietern im Informations- und Kommunikationstechnologie (IKT)-Bereich. Hier sehen Sie, was das Unternehmen falsch gemacht hat.

Diese Geschichte ist ein Alarmzeichen für Compliance-Fachleute, Chief Information Security Officers (CISO) und IT-Führungskräfte in europäischen Finanzdienstleistungsunternehmen. Sie demonstrieren, was passieren kann, wenn Sie beim Auswählen eines Penetrations-Testing-Provider (TLPT) unter der Digital Operational Resilience Act (DORA) die Dinge falsch angehen.

Dies betrifft Sie insbesondere, da DORA die Compliance- und Sicherheitsanforderungen für europäische Finanzdienstleister erhöht hat. Die Notwendigkeit, die korrekten Dienstanbieter auszuwählen, hat sich zu einer entscheidenden Frage für das Geschäftsmodell Ihrer Organisation entwickelt. Die Spielchen: Bußgelder, Audit-Misserfolge, betriebliche Störungen und Schädigung des Rufs.

Das Kernproblem

Doch das Auswählen eines geeigneten TLPT-Anbieters ist oft alles andere als einfach. Tatsächlich verursachen die vielen Organisationen, die es falsch machen, echte Kosten. Schätzen Sie einmal die Verluste in Euro, die verschwendete Zeit und die Risikoexposition, die entstehen, wenn Sie sich für den falschen Anbieter entscheiden. In diesem Zusammenhang geht es nicht nur darum, die richtigen Kriterien zu wählen, sondern auch die Warnzeichen zu erkennen, die darauf hindeuten, dass Sie möglicherweise auf einer gefährlichen Fährte sind.

Die meisten Organisationen neigen dazu, die Auswahl eines TLPT-Anbieters auf Oberflächlichkeiten zu beurteilen. Sie konzentrieren sich auf die Kosten, die Umsetzung oder die Bekanntheit des Anbieters und übersehen dabei die viel tieferliegenden Risiken. Sie wissen, dass DORA strenge Anforderungen an die Informationssicherheit und die IT-Resilienz stellt, doch sie unterbewertigen die Komplexität und die Bedeutung eines qualifizierten Providers.

In den meisten Fällen haben Unternehmen nicht verstanden, dass sie sich auf sehr spezifischen Regulierungsbedingungen einlassen, wenn sie einen TLPT-Anbieter unter DORA auswählen. Sie übersehen beispielsweise Artikel 28 Absatz 2 der DORA-Verordnung, der die Verantwortlichkeiten der Organisationen in Bezug auf die Zusammenarbeit mit externen Anbietern klärt. Sie ignorieren die Notwendigkeit, die technischen und organisatorischen Maßnahmen zu prüfen, die ein TLPT-Anbieter vorzuweisen hat, um die erforderlichen Standards zu erfüllen.

Ein konkreter Fall zeigt die Gravität des Problems: Eine Finanzdienstleistungsunternehmung wurde mit einer Bußgeldstrafe von 450.000 EUR belegt, weil sie ihre Drittanbieterrisiken in Bezug auf die IKT nicht adäquat dokumentiert hatte. Dies war nachweislich eine Verletzung der DORA-Bestimmungen, die die vollständige und aktualisierte Dokumentation der Risiken und der zugehörigen Risikosteuerungsmaßnahmen vorschreibt.

Die finanziellen Auswirkungen solcher Verstöße sind erheblich. Die BaFin hat in ihrer Ankündigung betont, dass Unternehmen, die gegen DORA verstößt haben, nicht nur Bußgelder bezahlen müssen, sondern auch potenzielle Verluste durch Vertrauensschwund in den Augen ihrer Kunden und des Marktes. Darüber hinaus können Audit-Misserfolge zu finanziellen Sanktionen führen und die Reputation eines Unternehmens schwerwiegende Schäden zufügen. Es ist daher unerlässlich, die Auswahl eines TLPT-Anbieters sorgfältig zu planen und durchzuführen.

Warum dies jetzt dringend ist

Die kürzlich getroffenen regulatorischen Änderungen oder die durchgeführten Strafmaßnahmen haben die Notwendigkeit eines gewissenhaften Vorgehens bei der Auswahl eines TLPT-Anbieters unterstrichen. Marktbedingungen wie der Kundenbedarf an Zertifizierungen haben die Dringlichkeit des Themas verschärft. Die Kluft zwischen dem, wo die meisten Organisationen stehen, und dem, wo sie sein müssen, wird immer größer.

Die BaFin und andere europäische Aufsichtsbehörden haben ihre Überwachungsbemühungen verstärkt, um sicherzustellen, dass Finanzdienstleister die Anforderungen der DORA erfüllen. Dies hat zur Folge, dass Organisationen, die noch nicht die entsprechenden Maßnahmen ergriffen haben, sich in einer prekären Situation befinden. Sie sind einer erhöhten Wahrscheinlichkeit von Bußgeldern und Audit-Misserfolgen ausgesetzt.

Die Kunden erwarten von ihren Finanzdienstleistern, dass diese alle erdenklichen Schritte unternehmen, um ihre Sicherheit und Resilienz gewährleisten. Einer der Schlüsselkomponenten dazu ist die Zusammenarbeit mit einem zuverlässigen TLPT-Anbieter. Organisationen, die dies übersehen, werden nicht nur regulatorische Probleme haben, sondern auch ein Vertrauensdefizit bei ihren Kunden feststellen.

Die Situation ist dringend, weil die meisten Organisationen hinter dem notwendigen Stand zurückliegen. Sie haben oft noch nicht die erforderlichen Investitionen in ihre IT-Infrastruktur getätigt oder die notwendigen Maßnahmen ergriffen, um ihre Drittanbieterrisiken zu bewältigen. Dies führt dazu, dass sie Schwierigkeiten haben, einen qualifizierten TLPT-Anbieter auszuwählen, der ihrem Bedarf gerecht wird.

Die Auswahl eines TLPT-Anbieters unter DORA sollte daher als eine der zentralen Aufgaben betrachtet werden. Sie ist entscheidend für die Compliance der Organisation, ihre Geschäftskontinuität und ihren Ruf. Es ist ein Prozess, der sorgfältige Planung und Durchführung erfordert und der von den Führungskräften der Organisation überwacht werden sollte.

In den nächsten Abschnitten werden wir in die Details gehen und genauer auf die Kriterien eingehen, die Sie bei der Auswahl Ihres TLPT-Anbieters berücksichtigen sollten, sowie auf die Warnzeichen, die darauf hindeuten, dass Sie möglicherweise auf einer gefährlichen Fährte sind. Wir werden auch die Bedeutung der europäischen Aufsichtsbehörden und die Notwendigkeit einer engen Zusammenarbeit mit ihnen diskutieren.

Die Lösungsframework

Im Rahmen der Umsetzung von DORA (Digital Operational Resilience Act) sind Sie als Compliance-Profis, CISOs oder IT-Führungskräfte in Finanzinstitutionen vor die Herausforderung gestellt, einen zuverlässigen TLPT (Third-Party ICT Risk Assessment) Anbieter auszuwählen. Hier bietet sich ein schrittweiser Ansatz an, der Ihnen dabei hilft, fundierte Entscheidungen zu treffen.

Schritt 1: Regelbedarfsanalyse

Zunächst müssen Sie sich mit den spezifischen Anforderungen von DORA auseinandersetzen. Artikel 14 Absatz 5 DORA verlangt, dass Sie eine umfassende Bewertung des IT-Risikospotentials des jeweiligen Dritten vornehmen. Legen Sie zu diesem Zweck die relevanten Regelwerke nahe, insbesondere die detaillierten Anforderungen der BaFin und die ENISA-Leitlinien.

Schritt 2: Risikobewertung der Dritten

Basierend auf der Analyse erstellen Sie ein Risikoprofil für jeden Dritten. Betrachten Sie dabei auch die möglichen Auswirkungen auf Ihre Geschäftskontinuität und IT-Sicherheit. Bewerten Sie außerdem, wie der Dritte mit potenziellen Risiken umgeht.

Schritt 3: Auswahlkriterien für TLPT Anbieter

Definieren Sie klare Auswahlkriterien für Ihren TLPT Anbieter. Hier einige Schlüsselpunkte, die Sie berücksichtigen sollten:

  1. Kompetenz und Erfahrung: Suchen Sie nach einem Anbieter, der spezialisiert ist und Erfahrung im Finanzsektor hat.
  2. Regelkonformität: Stellen Sie sicher, dass der Anbieter Compliance-Automatisierungslösung mit den gesetzlichen Anforderungen von DORA übereinstimmt.
  3. Transparenz in Prozessen: Der Anbieter sollte transparente und nachvollziehbare Methoden zum Bewerten von Drittseitenrisiken anwenden.
  4. Technische Infrastruktur: Prüfen Sie die technische Infrastruktur des Anbieters, insbesondere in Bezug auf Datenschutz und Informationssicherheit.
  5. Kundenbewertungen und Referenzen: Beachten Sie die Erfahrungen anderer Kunden und suchen Sie nach Referenzen in ähnlichen Branchen.

Schritt 4: Implementierung und Überwachung

Setzen Sie die Zusammenarbeit mit dem ausgewählten Anbieter um und überwachen Sie kontinuierlich die Compliance mit DORA. Hierbei sollten Sie sowohl die Ergebnisse der TLPT als auch die Anpassungsfähigkeit des Anbieters an neue Gesetzesänderungen bewerten.

Was "gut" ausmacht im Kontext des DORA-konformen TLPT-Anbieters, ist ein Anbieter, der nicht nur die minimalen Standards erfüllt, sondern auch proaktiv ist und Maßnahmen zur Risikominderung ergreift. Im Gegensatz dazu reicht es für "nur durchgehen"-Anbieter aus, wenn sie die gesetzlichen Anforderungen nur knapp oder ineffizient erfüllen.

häufige Fehler zu vermeiden

Es gibt mehrere häufige Fehler, die Organisationen beim Auswählen und Zusammenarbeiten mit einem TLPT Anbieter machen. Hier sind die Top 5 und was Sie stattdessen tun sollten:

  1. Unzureichende Due-Diligence: Viele Organisationen untersuchen den Anbieter nicht ausreichend oder konzentrieren sich zu sehr auf die Kosten. Stattdessen sollten Sie auf die Expertise, die Infrastruktur und die Kundenbewertungen des Anbieters achten.

  2. Fokus auf kurzfristige Lösungen: Es ist verlockend, schnell und günstig einen Anbieter zu haben, der die Anforderungen nur für den Moment erfüllt. Stattdessen denken Sie langfristig und suchen Sie einen Anbieter, der sich an kommende Gesetzesänderungen anpassen kann.

  3. Übersehen von Datenschutz und Informationssicherheit: Datenschutz und Informationssicherheit sind entscheidend, wenn es um Drittanbieter geht. Stattdessen sollten Sie sicherstellen, dass der Anbieter der Datenschutz-Grundverordnung (DSGVO) und der IT-Grundschutzanforderungen erfüllt.

  4. Fehlinterpretation von Gesetzen und Vorschriften: Manchmal versuchen Anbieter, die Gesetzesanforderungen zu verschleiern oder unklar zu machen. Stattdessen sollten Sie nach Klarheit und Transparenz im Angebot suchen.

  5. Fehlende Anpassungsfähigkeit: Die Finanzwelt und die IT-Sicherheitslandschaft sind ständig in Bewegung. Stattdessen wählen Sie einen Anbieter, der flexible und anpassungsfähige Lösungen anbietet, um auf neue Bedrohungen zu reagieren.

Werkzeuge und Ansätze

Es gibt zwei Hauptansätze beim Umgang mit der Compliance- und Risikobewertung von Drittanbietern: den manuellen Ansatz und die Verwendung von automatisierten Compliance-Plattformen.

Manueller Ansatz

Der manuelle Ansatz umfasst die Sammlung von Informationen, Bewertungen und Audits von Hand. Vorteile: Es ermöglicht eine hohe Maßanpassung und kann für kleinere Unternehmen oder wenn es um spezielle Anforderungen geht, sinnvoll sein. Nachteile: Es ist zeitaufwändig, fehleranfällig und schafft häufig Mehrdeutigkeiten in der Bewertung.

Automatisierte Compliance-Plattformen

Automatisierte Plattformen wie Matproof sind speziell für den EU-Finanzsektor konzipiert und bieten eine Reihe von Vorteilen. Was zu suchen:

  1. AI-getriebene Richtlinienerstellung: Eine Plattform, die in deutscher und englischer Sprache arbeitet und Ihnen bei der Richtlinienerstellung hilft, sollte eine Notwendigkeit sein.
  2. Automatisierte Beweismittelsammlung: Die Fähigkeit, von Cloud-Anbietern Beweise automatisch zu sammeln, verringert die und erhöht die Effizienz.
  3. Endpunkt-Compliance-Agent: Für die Überwachung von Geräten ist ein kompatibeler Endpunkt-Agent erforderlich, um die Compliance von Endgeräten sicherzustellen.
  4. 100% EU-Datenaufbewahrung: Daten sollten nur in der EU gespeichert sein, um den Datenschutzanforderungen gerecht zu werden.

Matproof ist ein Beispiel für eine solche Plattform, die all diese Anforderungen erfüllt und speziell für die Anforderungen des europäischen Finanzsektors entwickelt wurde. Mit Matproof können Sie die Compliance- und Risikobewertung von Drittanbietern effizienter und sicherer gestalten.

Zusammenfassend ist es wichtig, beim Auswählen eines TLPT Anbieters sorgfältig und mit Blick auf die Zukunft zu handeln. Achten Sie auf die oben genannten Kriterien, vermeiden Sie die gängigen Fehler und nutzen Sie die richtigen Tools, um die Compliance mit DORA zu gewährleisten.

Getting Started: Ihre nächsten Schritte

Als Finanzdienstleister in Europa steht DORA (Digital Operational Resilience Act) als nächstes auf der Agenda. Um Ihre Auswahl eines zuverlässigen Test- und Prüflabors (TLPT) unter DORA adäquat voranzubringen, bieten wir Ihnen hier einen konkreten 5-Schritt-Plan, den Sie bereits in dieser Woche umsetzen können:

  1. Begutachtigung der aktuellen Compliance-Struktur: Bewerten Sie ihre jetzigen Compliance-Strukturen und Prozesse, um mögliche Lücken oder Schwachstellen in Bezug auf die Anforderungen von DORA zu identifizieren. Dies sollte der erste Schritt sein, bevor Sie sich auf die Suche nach einem geeigneten TLPT-Provider begeben.

  2. Erstellung einer detaillierten Anforderungsliste: Aufbauend auf der Bewertung der Compliance-Struktur, erstellen Sie eine detaillierte Liste der Anforderungen, die Ihr TLPT-Provider erfüllen sollte. Berücksichtigen Sie dabei technische Kompetenzen, regulatorische Anforderungen und die spezifischen Herausforderungen, denen Ihre Organisation gegenübersteht.

  3. Aufstellen eines RFP (Request for Proposal): Erstellen Sie ein sorgfältig formuliertes RFP, das Ihre Bedürfnisse und Erwartungen an einen TLPT-Provider widerspiegelt. Stellen Sie sicher, dass es spezifische Fragen enthält, die die Fähigkeiten des Providers in den Bereichen Penetrationstest, Risikobewertung und regulatorische Compliance aufdecken.

  4. Durchführung eines gründlichen Due Diligence-Prozesses: Bevor Sie sich für einen Anbieter entscheiden, führen Sie ein umfassendes Due Diligence-Verfahren durch. Hierbei sollten Sie auf ihre finanzielle Stabilität, ihr technisches Know-how und ihre Erfahrung mit ähnlichen Projekten achten.

  5. Implementierung eines Prüf- und Bewertungssystems: Legen Sie ein fortlaufendes Prüf- und Bewertungssystem an, um die Leistung des gewählten TLPT-Providers kontinuierlich zu bewerten und zu überwachen. Dies hilft dabei, mögliche Probleme rechtzeitig zu identifizieren und zu lösen.

Als Ressourcenempfehlung empfehlen wir Ihnen, die offiziellen Veröffentlichungen der EU und BaFin zu DORA sorgfältig zu lesen. Hierbei ist insbesondere die BaFin-Leitlinie 4/2023 zur Digitalen Geschäfts- und IT-Resilienz von besonderem Interesse.

Ein schnelles Erfolgserlebnis, das Sie innerhalb der nächsten 24 Stunden erreichen können, besteht darin, eine erste Initialbewertung Ihrer aktuellen Compliance-Struktur durchzuführen und eine Vorlagesliste der Anforderungen an Ihren zukünftigen TLPT-Provider zu erstellen.

Häufig gestellte Fragen

F: Muss ein TLPT-Provider spezifische Zertifizierungen haben, um unter DORA akzeptiert zu werden?

A: Ja, es gibt bestimmte Zertifizierungen und Akkreditierungen, die von TLPT-Providern empfohlen oder erforderlich sind. Dies kann von der CREST-Zertifizierung in der EU bis hin zu spezifischer Zertifizierung nach ISO 27001 oder SOC 2 reichen. Die spezifischen Anforderungen variieren jedoch je nach Branche und regulatorischen Bedürfnissen. Sie sollten daher Artikel 7 DORA, der besagt, dass eine angemessene IT-Sicherheitsinfrastruktur haben müssen, berücksichtigen.

F: Was sind die Hauptmerkmale, die ich bei einer TLPT-Provider-Auswahl berücksichtigen sollte?

A: Sie sollten die technische Kompetenz, die Erfahrung mit ähnlichen Projekten, die regulatorische Compliance, die Verfügbarkeit von Ressourcen und die Fähigkeit zur Reaktion auf Sicherheitsvorfälle berücksichtigen. Dies kann Artikel 4 DORA widerspiegeln, der die Pflicht zur kontinuierlichen Überwachung und Bewertung von Risiken im Zusammenhang mit IT-Sicherheit und -Resilienz vorschreibt.

F: Wie kann ich sicherstellen, dass der gewählte TLPT-Provider meine Datenschutzanforderungen erfüllt?

A: Als Finanzdienstleister müssen Sie sicherstellen, dass Ihr TLPT-Provider die Datenschutzanforderungen gemäß der GDPR und anderen relevanten Datenschutzgesetzen erfüllt. Dies kann durch das Anfordern von Compliance-Berichten, die Beurteilung der Datenschutzpraktiken des Providers und die Überprüfung seiner Verfahren zur Behandlung personenbezogener Daten erreicht werden. Artikel 28 DORA fordert auf, die Verträge mit Dritten sorgfältig zu prüfen, was auch die Einhaltung von Datenschutzanforderungen einschließt.

F: Was bedeuten die neuen Anforderungen von DORA im Vergleich zu anderen regulatorischen Frameworks?

A: DORA legt besondere Schwerpunkte auf die IT-Resilienz und -Sicherheit vonen. Im Vergleich zu anderen Frameworks wie der GDPR oder MiFID II konzentriert sich DORA stärker auf die operative Resilienz und die Managementverantwortung für IT-Risiken. Dies spiegelt sich in Artikel 5 DORA wider, der auffordert, ein angemessenes Risikomanagement für IT-Risiken umzusetzen.

F: Wie kann ich die Leistung meines gewählten TLPT-Providers kontinuierlich bewerten und überwachen?

A: Ein fortlaufendes Bewertungs- und Überwachungssystem ist entscheidend, um die Leistung eines gewählten TLPT-Providers zu bewerten. Dies kann durch regelmäßige Prüfungen, Feedback-Runden und eine kontinuierliche Analyse der Ergebnisse der Penetrationstests und Risikobewertungen erreicht werden. Artikel 4 DORA legt nahe, dass eine angemessene Überwachung und Bewertung von IT-Risiken durchführen müssen.

Schlüsselerkenntnisse

In diesem dritten Teil unserer Artikelserie über die Auswahl eines TLPT-Providers unter DORA haben wir diskutiert, wie Sie einen zuverlässigen Provider auswählen, die wichtigsten Fragen zur Auswahl und die notwendigen Schritte, um Ihre Compliance sicherzustellen. Zentrale Punkte unserer Diskussion lauteten:

  • Die Bedeutung einer gründlichen Bewertung und Auswahl Ihres TLPT-Providers
  • Die Anforderungen an technische Kompetenz und regulatorische Compliance
  • Die Umsetzung eines Systems zur kontinuierlichen Bewertung und Überwachung der Leistung Ihres Providers

Mit Matproof können Sie diese Prozesse automatisieren. Unser Compliance-Automatisierungs-Plattform ist speziell für die Anforderungen vonen in der EU konzipiert und unterstützt Sie dabei, die Compliance mit DORA, SOC 2, ISO 27001, GDPR und NIS2 effizienter und sicherer zu gewährleisten. Sollten Sie Interesse haben, einen kostenlosen Assessment durchzuführen, wenden Sie sich an uns unter https://matproof.com/contact.

TLPT providerDORA TLPT vendorpenetration testing DORA providerTLPT RFP

Bereit, Compliance zu vereinfachen?

Werden Sie in Wochen audit-ready, nicht Monaten. Sehen Sie Matproof in Aktion.

Demo anfordern