TPRM: 40 % der Störungen beginnen bei Dritten — DORA und NIS2 erfordern formelles Management

Drittparteien-Risikomanagement (TPRM) ist der systematische Prozess der Identifizierung, Bewertung, Überwachung und Minderung der Risiken, die von Lieferanten, Technologieanbietern und anderen externen Parteien ausgehen, die Zugang zu den kritischen Systemen, Daten oder Prozessen einer Organisation haben. Im EU-regulatorischen Kontext legt DORA (Digital Operational Resilience Act, anwendbar ab Januar 2025) spezifische TPRM-Verpflichtungen für Finanzunternehmen bezüglich ihrer kritischen IKT-Anbieter fest, einschließlich obligatorischer Vertragsklauseln, verstärkter Due-Diligence und Vorfallsbenachrichtigungsanforderungen. NIS2 (in spanisches Recht umgesetzt) verlangt ähnlich von Unternehmen aus essenziellen und wichtigen Sektoren, die Cybersicherheitsrisiken ihrer digitalen Lieferketten zu bewerten und zu verwalten.

Unser Drittparteien-Risikomanagement-Team kombiniert Corporate-Due-Diligence-Expertise mit Kenntnissen in Cybersicherheit, digitaler Regulierung und Vertragsmanagement für kritische Technologieanbieter.

Warum Drittparteien-Abhängigkeit die am schnellsten wachsende Quelle operationeller Risiken ist

Die Abhängigkeit von Drittparteien ist ein strukturelles Merkmal moderner Unternehmen. Unternehmen lagern kritische Funktionen aus — Datenverarbeitung, Technologieinfrastruktur, Logistik, Gehaltsabrechnung — die vor zwanzig Jahren intern kontrollierte Fähigkeiten waren. Diese Auslagerung erzeugt Effizienz, überträgt aber auch Risiken: Wenn der Lieferant versagt, tragen dessen Kunden die Konsequenzen.

Die 40 % schwerwiegender Geschäftsstörungen, die aus Drittparteien-Versagen stammen, sind eine Zahl, die Unternehmen sich nicht leisten können zu ignorieren, insbesondere nach DORA für Finanzunternehmen und NIS2 für essentielle und wichtige Unternehmen. Beide Verordnungen erfordern formelle Dokumentation und Management von Lieferkettenrisiken, mit der Möglichkeit von Sanktionen, wenn die Anforderungen nicht erfüllt werden.

Unser TPRM-Programm: Vom Inventar zur kontinuierlichen Überwachung

Der erste Schritt ist immer Sichtbarkeit. Die meisten Organisationen haben kein vollständiges, aktuelles Inventar ihrer kritischen Lieferanten: Sie kennen ihre Hauptanbieter, aber es fehlt ihnen eine systematische Klassifizierung, welche, wenn sie versagen würden, eine schwerwiegende Auswirkung auf Betrieb oder regulatorische Compliance hätten.

Unsere Fachleute implementieren das TPRM-Programm in drei Phasen. Die erste ist Sichtbarkeit: Wir erstellen das vollständige Inventar der Drittparteien mit Zugang zu kritischen Systemen, Daten oder Prozessen und klassifizieren sie nach Kritikalitätsniveau. Die zweite ist Bewertung: für kritische Lieferanten führen wir strukturierte Due-Diligence durch. Die dritte ist Schutz: Wir überprüfen und stärken Verträge mit kritischen Lieferanten und implementieren das kontinuierliche Überwachungssystem.

Was unser TPRM-Service umfasst

Der Service umfasst Inventar und Klassifizierung aller Drittparteien mit Zugang zu kritischen Systemen oder Daten, strukturierte Due-Diligence bei kritischen Lieferanten, Überprüfung und Stärkung des vertraglichen Rahmens, kontinuierliches Überwachungssystem mit Risikoalerts, jährliche Überprüfung der kritischen Lieferantenbewertungen, Integration in das corporate ERM-Risikoregister und für Finanzunternehmen die Einhaltung der spezifischen IKT-Anbieter-Management-Anforderungen von DORA.

Echte Ergebnisse im Drittparteien-Risikomanagement

Unternehmen, die das TPRM-Programm mit unserem Team implementieren, identifizieren im Durchschnitt zwischen drei und acht kritische Lieferanten, deren Verträge keine Mindestschutzklauseln im Falle eines Versagens oder Sicherheitsvorfalls enthalten. Die Neuverhandlung dieser Verträge generiert konkrete Schutzmaßnahmen: SLAs mit realen Strafen, Vorfallsbenachrichtigungsklauseln innerhalb von 24 Stunden und Audit-Rechte.

Häufig gestellte Fragen zu DORA, NIS2 und Lieferantenrisiko

Der vertragliche Rahmen mit kritischen Lieferanten ist das am meisten unterschätzte Schutzinstrument. Verträge mit großen Technologieanbietern (Cloud, SaaS, Datenverarbeiter) sind häufig Adhesionsverträge, die der Anbieter ohne Verhandlung präsentiert. In vielen Fällen ist es jedoch möglich, zusätzliche Sicherheits-, Audit- und Kontinuitätsklauseln zu verhandeln — insbesondere wenn das Vertragsvolumen es rechtfertigt.