Navigation
Drittparteienmanagement
DORA-Grundlagen
NIS2-Grundlagen
Praxis-Guides
Checklisten
Vergleiche
Glossar

DORA-Glossar

Die wichtigsten Fachbegriffe rund um DORA — von Art. 28 bis TPRA, verständlich erklärt.

A

Art. 28 — Register of Information

Verpflichtet Finanzunternehmen, ein vollständiges Verzeichnis aller ICT-Dienstleistungsvereinbarungen zu führen und auf Anfrage der Aufsichtsbehörde vorzulegen.

Art. 29 — Bewertung und Überwachung

Regelt die laufende Bewertung und Überwachung von ICT-Drittanbietern, einschließlich Risikobewertung vor Vertragsschluss und während der Vertragslaufzeit.

Art. 30 — Vertragliche Anforderungen

Definiert 10 Mindestanforderungen an Verträge mit ICT-Dienstleistern (Audit-Rechte, Exit-Klauseln, Sicherheitsmaßnahmen etc.).

AVV (Auftragsverarbeitungsvertrag)

Vertrag nach Art. 28 DSGVO, der die Verarbeitung personenbezogener Daten durch einen Auftragsverarbeiter regelt. Ergänzt den ICT-Vertrag, ersetzt aber nicht die DORA-Anforderungen.

C

CPS (Control Performance Score)

Kennzahl zur Bewertung, wie effektiv ein ICT-Dienstleister seine Risiken managt. Teil des quantitativen TPRA-Scorings.

CSP (Critical or Important Function Supporting Provider)

Dienstleister, der eine kritische oder wichtige Funktion unterstützt. Unterliegt verschärften Anforderungen nach DORA.

D

DORA (Digital Operational Resilience Act)

EU-Verordnung 2022/2554 zur Stärkung der digitalen operationellen Resilienz im Finanzsektor. Gilt seit 17. Januar 2025 unmittelbar in allen EU-Mitgliedstaaten.

E

EBA (European Banking Authority)

Europäische Bankenaufsichtsbehörde. Unter DORA bildet die EBA zusammen mit ESMA (Wertpapiere) und EIOPA (Versicherungen) die drei europäischen Aufsichtsbehörden (ESAs), die DORA gemeinsam durchführen — einschließlich des gemeinsamen RTS/ITS-Entwurfs zum Register of Information (RoI), der über die Durchführungsverordnung (EU) 2024/2956 rechtsverbindlich wurde.

ESAs (European Supervisory Authorities)

Sammelbegriff für die drei europäischen Aufsichtsbehörden: EBA, ESMA und EIOPA. Sie geben DORA gemeinsam Verbindlichkeit durch Technical Standards (RTS/ITS) und beaufsichtigen direkt die “kritischen IKT-Drittdienstleister” (CTPPs). Die Institutsaufsicht selbst bleibt bei den nationalen Aufsichten (BaFin, FMA, FINMA etc.).

EIOPA (European Insurance and Occupational Pensions Authority)

Europäische Aufsichtsbehörde für das Versicherungswesen und die betriebliche Altersversorgung. Eine der drei ESAs unter DORA.

ESMA (European Securities and Markets Authority)

Europäische Wertpapier- und Marktaufsichtsbehörde. Eine der drei ESAs unter DORA.

Exit-Strategie

Dokumentierter Plan für den geordneten Übergang von einem ICT-Dienstleister zu einem anderen — oder die Rückholung der Dienste ins eigene Haus. Pflichtinhalt jedes ICT-Vertrags nach Art. 30.

G

Organisation, die das LEI-System verwaltet. Der LEI-Code ist der eindeutige Identifikator für Rechtsträger im RoI.

I

ICT (Information and Communication Technology)

Oberbegriff für alle informations- und kommunikationstechnischen Systeme und Dienste, die ein Finanzunternehmen nutzt.

IRP (Inherent Risk Profile)

Grundrisiko eines ICT-Dienstleisters basierend auf Faktoren wie Datentyp, Kritikalität der unterstützten Funktion und Standort der Datenverarbeitung.

K

Konzentrationsrisiko

Risiko, das entsteht, wenn mehrere kritische Funktionen von demselben ICT-Dienstleister oder derselben Infrastruktur abhängen.

Kritikalitätsbewertung

Systematische Klassifizierung aller ICT-Systeme und -Dienste nach ihrer Bedeutung für die Geschäftskontinuität.

L

20-stelliger alphanumerischer Code zur eindeutigen Identifikation von Rechtsträgern. Pflichtfeld im Register of Information.

R

RoI (Register of Information)

Strukturiertes Verzeichnis aller ICT-Dienstleistungsvereinbarungen nach Art. 28 DORA. Muss im offiziellen Format nach Durchführungsverordnung (EU) 2024/2956 (gemeinsamer ITS der drei ESAs) exportierbar sein.

RRS (Residual Risk Score)

Verbleibendes Risiko eines ICT-Dienstleisters nach Berücksichtigung seiner Kontrollmaßnahmen. Berechnet sich aus IRP und CPS.

S

Sub-Outsourcing

Weitervergabe von ICT-Dienstleistungen durch den direkten Dienstleister an Subunternehmer. DORA verlangt Transparenz über die gesamte Lieferkette.

Supply-Chain-Transparenz

Überblick über die vollständige Kette von ICT-Dienstleistern und deren Subunternehmern (N-Tier-Transparenz).

T

TLPT (Threat-Led Penetration Testing)

Erweiterte Penetrationstests, die reale Bedrohungsszenarien simulieren. Nur für größere Institute verpflichtend, die von der Aufsicht dazu bestimmt werden.

TPRA (Third-Party Risk Assessment)

Systematische Risikobewertung von ICT-Drittanbietern. DORA verlangt eine quantitative Bewertung — nicht nur qualitative Einschätzungen.