Jetzt CloudGate testen!
CloudGate
Leistungen
Regulatory Advisory
IT-Governance
Audit und Assurance Support
Agentic AI Governance
Themen
AI Act
Cyber Resilience Act
DORA
NIS-2
Data Act
BaFin-Mitteilung KI-Anwendungen
Lösungen
Muster-Verträge
IT-GRC


Leistungen
TPRM-Advisory
Sourcing-Strategie
Provider Management
IT-Ausschreibung
Transition Support
Verträge, Servicekataloge, SLAs
Themen
TPRM-Automation
Managed Security
Hybrid Infrastructure
Modern Workplace
Services
SLA-Rechner
Third Party Management


Leistungen
AI Literacy/KI-Kompetenz
Agentic AI Governance
Cloud Exit Management
Cloud Strategy
Cloud Security Implementation
Themen
Sovereignty
Marktübersicht EU Public Cloud
FinOps
AI Act
BaFin Mitteilung KI-Anwendungen
Digital Adoption
Services
FinOps Dashboard
AI & Cloud





Seminare

Seminar-Übersicht
GRC-Seminare
TPM-Seminare
AI-Seminare
Cloud-Seminare

Themen

DORA
NIS-2
AI Act

Wissenswertes

Anfrage
AGB
Glossar
microfin Academy


Karriere

Deine Karriere
Bewerbung und Onboarding
Einstieg und Aufstieg
#lieblingsarbeitgeber
Diversity und Familienfreundlichkeit

Offene Stellen

Consultants Outsourcing & Cloud
Senior IT-Consultants Outsourcing & Cloud
Consultants für IT-GRC
Senior Consultants IT-Architektur

Offene Stellen

Senior Consultants IT-Security
Senior Consultants Provider Mgmt
Senior Consultants Cloud & Digitale Transformation
Karriere bei microfin


Erfahrung

Cloud
Outsourcing
GRC
IT-Kostenoptimierung
Providermanagement

News

Publikationen
Veranstaltungen
Outsourcing Deals

Über uns

Team
Mitgliedschaften
Partnerschaften
Engagement
Über uns


  1. Home
  2. TPM
  3. Leistungen
  4. TPRM-Advisory

Third-Party Risk-Management

Mit dem microfin-TPRM-Referenzmodell Drittparteien-Risiken schlank steuern und Lieferketten beherrschen

Du bekommst einen strukturierten Rahmen, um alle Risiken deiner Drittparteien zuverlässig zu bewerten, zu überwachen und zu steuern. So erfüllst du Compliance-Anforderungen, reduzierst Risiken messbar und triffst Entscheidungen auf einer sicheren, auditfähigen Datenbasis.

Mehr erfahren   Kostenloses Erstgespräch

TPRM Advisory

Warum sind TPRM und Cyber-Security so wichtig?

Third‑Party‑Risk‑Management (TPRM) und Cyber-Security sind eng miteinander verzahnt. Ein Sicherheitsleck in der Lieferkette kann direkt das eigene Unternehmen gefährden.

DORA, NIS‑2-Umsetzungsgesetz (BSIG‑neu) und der Cyber Resilience Act (CRA) erhöhen die Prüftiefe und die Anforderungen an Informationsregister (Register of Information), Bewertungen, Monitoring, Evidenzen und Governance für dein Third‑Party‑Risk‑Management. 

Mehr erfahren

microfin TPRM‑Referenzmodell – Drittrisken effizient steuern

In kürzester Zeit up & running sowie auditierbar

Unser TPRM-Referenzmodell unterstützt euch dabei…

  • das Informationsregister aktuell zu halten,
  • (IT-)Drittparteien effizient zu steuern,
  • Transparenz über die Lieferketten zu gewährleisten,
  • Risiken und Kritikalitäten einheitlich zu bewerten,
  • Risiken kontinuierlich zu überwachen und aktiv zu mitigieren,
  • in kürzester Zeit “Audit-ready” zu sein


Wir verbinden Governance‑Design, Prozess‑Exzellenz und Tool‑Know‑how. 

Third Party Risk Management

Mit dem microfin-Referenzmodell seid ihr in kürzester Zeit Audit-ready!

Mehr erfahren   Kontakt aufnehmen

microfin TPRM‑Referenzmodell mit 6 Bausteinen

Third Party Register & Klassifizierung

Supplier & Sub-Supplier

Risiko- & Kontrollbewertungen

GRC-Minimum-Operating-Model

Vertrags-Compliance

Vertrags-Mindeststandards

Steuerung & Überwachung

Operational Exellence

Issue Management

Incident Mgmt. & Escalations

Evidenz & Audit-Readiness

Dokumentation & Prüffähigkeit

Third-Party-Register & -Klassifizierung

Behalte jederzeit den Überblick über alle IT-Drittparteien und Services in deiner Lieferkette.

Unser TPRM-Register schafft Transparenz und ermöglicht eine regulatorisch sichere Klassifizierung und Steuerung.

Gemeinsam sorgen wir dafür, dass

  • dein Third Party Register dauerhaft aktuell und revisionssicher bleibt,
  • wirkungsvolle Risikomanagement-Maßnahmen für deine Lieferketten-Beziehungen etabliert werden,
  • alle Services anhand klarer Kriterien als kritisch‑wichtig oder sonstige klassifiziert werden,
  • kritische Abhängigkeiten und potenzielle Single Points of Failure in der gesamten Lieferkette sichtbar werden,
  • regulatorische Anforderungen aus Auslagerungsaufsicht, DORA, NIS 2/BSIG, CRA und Security nachhaltig in der Steuerung von Suppliern und Sub-Suppliern verankert sind.


So erkennst du IT‑Drittparteien‑ und Cyber‑Risiken frühzeitig und steuerst sie aktiv.

Mehr erfahren

Risiko- & Kontrollbewertungen

Integriere regulatorische Anforderungen (Auslagerung, DORA, NIS‑2/BSIG, CRA) direkt in deine TPRM‑Methodik.

Mit uns integrierst du regulatorische Anforderungen nahtlos in deine TPRM‑Methodik – für einheitliche Bewertungen, klare Entscheidungen und messbare Risikoreduzierung.

Was du erreichst:

  • Einheitliche Bewertungslogik: Klar definierte Kriterien für Kritikalität, Inherent Risk und Residual Risk – konsistent über alle Third Parties und Services
  • Transparente Schwellen & Eskalationen: Steuerbare Konzentrationsrisiken (Anbieter, Geografie, Technologie etc.) durch klare Thresholds, Limits und Handlungsregeln
  • Governance, die trägt: Abgestimmtes KPI‑Set, Reporting‑Standard und Verantwortlichkeiten für konsistente, vergleichbare Ergebnisse
  • Due Diligence vor Vertragsabschluss: Contractual Risk Assessment mit Fokus auf Vertrags‑, Sicherheits‑ und Lieferkettenrisiken – faktenbasiert, nachvollziehbar
  • Kontrolliertes Onboarding: Vertragsrisiken früh erkennen und managen – mit klaren Go/No‑Go‑Kriterien und Auflagen
  • Zentrale Steuerung von Risiken & Findings: Einheitliches Risk/Finding‑Register und Maßnahmen‑Tracking über 1st/2nd/3rd Line of Defense


Du erhältst einen praxistauglichen, standardisierten Bewertungsrahmen mit Risiko‑/Kontrollkatalogen, einem dokumentiertem Due‑Diligence‑Prozess sowie einem zentralen Risk/Finding‑Register mit klaren Verantwortlichkeiten – für konsistente Bewertungen und messbar reduziertes Risiko.

Mehr erfahren

Vertrags-Compliance

Bringe Ordnung, Nachweisbarkeit und Prüfbarkeit in die vertragliche Steuerung deiner IT‑Drittparteien – Regulatorik‑konform und auditfest.

Was du erreichst:

  • Regulatorik‑konforme Vertragsstandards: Modulare Klauselbausteine (z. B. SLA, Security, Sub‑Supplier, Auskunfts‑/Prüfrechte, Zugriffs‑/Inspektions‑/Auditrechte, Exit & Exit‑Vorsorge) – abgestimmt mit deiner Rechtsberatung
  • IKT‑Vorfall‑Readiness: Praxisgerechte Verpflichtungen des Dienstleisters zur umfassenden Unterstützung bei IKT‑Vorfällen – klar geregelt, messbar, durchsetzbar
  • Audit- und Nachweisfähigkeit: stringente Vereinbarungen über Zugriffs-, Inspektions- und Auditrechte oder beauftragte Dritte zu beschreiben
  • Reibungslose Exits: Detailliertes Exit‑Management für geordnete Dienstübergänge und Business‑Continuity
  • Konsistente Templates: Mindeststandards und Vorlagen, die regulatorische und gesetzliche Anforderungen dauerhaft abdecken


Du erhältst durchgängig compliant Verträge, die dank modularer Bausteine und flexiblen Klauseln effizient an deine Situation angepasst sind.

Mehr erfahren

Steuerung & Überwachung

Richte eine schlanke, auditfeste Steuerung deiner IT‑Drittparteien ein – kontinuierlich, transparent, DORA-/NIS‑2‑konform.

Was du erreichst:

  • Continuous Monitoring, das wirkt: KPI/SLA‑Set für Incidents, Zertifikats‑ und Leistungsänderungen; automatisierte Alerts statt Blindflug
  • Assurance, die Vertrauen schafft: Self‑Assessments, Spot‑Checks, Cyber‑Ratings und KPI‑Tracking – evidenzbasiert und skalierbar
  • Schneller reagieren: Klare Maßnahmenketten für Prävention, Erkennung und Reaktion auf Sicherheitsvorfälle
  • Reporting, das Entscheidungen erleichtert: DORA-/NIS‑2‑konforme Reports, Dashboards und Heatmaps – vom Status bis zur Eskalation inklusive Maßnahmen‑Tracking
  • Management‑Enablement: Prägnante Briefings und Decision‑Templates für schnelle, nachvollziehbare Freigaben


Du erhältst ein praxistaugliches TPRM‑Operating‑Model mit definiertem Monitoring, KPIs/SLAs und Management‑Reporting – schlank, skalierbar und revisionssicher dokumentiert.

Mehr erfahren

Issue Management

Etabliere ein Issue Management mit klaren Regeln, messbaren Entscheidungen und nachweisbarer Umsetzung.

Was du erreichst:

  • Wirksame Risikobehandlung: Einheitliche Kriterien, dynamische Risiko‑Neubewertung und klare Schwellenwerte – entscheidungsreif statt diskutierbar
  • Strukturiertes Incident‑Handling: Maßnahmenketten zur Bewältigung von Sicherheitsvorfällen – von Sofortmaßnahmen bis zur nachhaltigen Behebung
  • Prüffähige Exit‑Strategien: Vorgehen für nicht akzeptable Risiken – inkl. Triggern, Verantwortlichkeiten und Übergabepfaden
  • Integrierte Abhängigkeiten: Incident/Problem‑Prozesse verzahnt mit Betrieb, Security und Regulierung (z. B. Security‑Freigaben vor Produktivsetzung)
  • Governance, die greift: Verbindliche Eskalations‑, Kontroll‑ und Entscheidungsmechanismen – nachvollziehbar geregelt und gelebter Standard


Du behältst jederzeit den Überblick mittels end‑to‑end Issue‑Management mit Playbooks, Eskalationsstufen, Kommunikations‑ und Freigabewegen – inklusive Nachweisen zu Behandlung, Root‑Cause‑Analyse und Maßnahmenverfolgung.

Mehr erfahren

Evidenz & Audit-Readiness

Stärke die Audit‑Readiness deines TPRM und reduziere Prüfaufwände spürbar.

Mit uns richtest du ein schlankes, auditfestes Evidence‑Repository ein – zentral, strukturiert, auffindbar. 

Was du erreichst

  • Zentrale Evidenzablage: Policies, Konzepte, Prozesse und Nachweise an einem Ort – logisch strukturiert, schnell auffindbar
  • Einheitliche Ordnung & Versionierung: Klar definierte Namens‑/Ablagestruktur, Templates und Versionsschema für konsistente Dokumente
  • Aktualität & Konsistenz: Verbindliche Review‑ und Freigabezyklen mit klaren Verantwortlichkeiten und Fälligkeiten
  • Auditfeste Regulatorik‑Nachweise: Saubere Abbildung von Auslagerungen mit vollständiger Einhaltung von DORA, NIS‑2/BSIG, CRA – inkl. Evidenzen und Referenzen


Du verfügst über ein prüffähiges, versioniertes Evidence‑Repository mit Metadaten, Verantwortlichkeiten, vollständiger Nachweisführung sowie Audit‑Trail und Report‑Exports – für reibungslose Audits und messbar mehr Compliance.

Mehr erfahren

Regulatorische Einordnung des Third Party Risk Management (TPRM)

im Rahmen der Regelwerke DORA, NIS‑2 (inkl. BSI-Gesetz) sowie Cyber Resilience Act (CRA)

Icon Paragraph §

DORA


DORA spricht explizit von Third Party Risk Management, meint aber TPM und TPRM

Mehr erfahren

Icon Checkliste

NIS-2/BSIG (neu)


NIS-2 verlangt TPRM, lässt aber die konkrete Ausgestaltung offen.

Mehr erfahren

Icon Schloss Datenschutz

Cyber Resilience Act (CRA)


CRA beeinflusst TPRM-Governance, beeinflusst diese aber nicht.

Mehr erfahren

Du fragst dich, wie du Regulatorik effizient umsetzen kannst und mögliche Spielräume nutzt, statt sie zu verschenken? Informationen zu unserem Beratungsangebot Regulatory Advisory findest du hier!

Dein Nutzen mit TPRM‑Advisory

Mache mit unserem TPRM‑Referenzmodell dein IT-Drittparteirisikomanagement wirksam, auditfähig und skalierbar – klar strukturiert, transparent und praxisnah:

  • Immer Audit-ready: Standardisierte Risiko-Screenings, ein aktuelles Third-Party-Register und revisionssichere Evidenzen erfüllen die Anforderungen aus DORA, NIS-2 und CRA. Audits werden schneller, planbarer und stressfrei.
  • Lieferkettentransparenz & Risikominimierung: Konsistente Klassifizierung, Due-Diligence und ereignisbasierte Re-Assessments erkennen Risiken früh, reduzieren IT-Drittparteiexponierung und schaffen Sicherheit entlang der gesamten Lieferkette.
  • Effizienz & Skalierbarkeit: Klare Prozesse und wiederverwendbare Artefakte sorgen für transparente Steuerung, senken Aufwand und ermöglichen die zuverlässige Skalierung über alle Sub-Dienstleister hinweg.
  • Digital Trust & Handlungsfähigkeit: Nachvollziehbare Governance, konsistente Nachweise und vertragliche Mindeststandards stärken Vertrauen bei Kunden, Partnern und Aufsicht – und erhöhen die IT-strategische Beweglichkeit deines Unternehmens.
     

Jetzt kostenloses Erstgespräch vereinbaren!

Kontakt aufnehmen

Auch interessant für dich

Managed Security

Managed Security

So macht ihr eure Security-Services fit für den Betrieb! Hier erfährst du alles über unser Angebot rund um Security-Services.

CloudGate

CloudGate - Compliance & Risks

Kennst du CloudGate, unser TPRM-Tool für Compliance und Risk Management? Hier erfährst du mehr und kannst es 30 Tage kostenlos testen.

Thorsten Reuter
Dein Experte für
TPRM-Advisory
mf Icon male

Thorsten Reuter
Enabler und Principal Consultant

Du hast Fragen zum Third Party Risk Management? Thorsten Reuter hat die Antworten und freut sich über deine Kontaktaufnahme.
Tel +49 6172 177 630

Kontakt    Profil ansehen

×

Digital Operational Resilience Act (DORA)

TPRM-Pflichten (Art. 28–30)

DORA verlangt gem. Art. 28 eine klare TPRM‑Strategie, ein vollständiges Register aller ICT‑Dienstleister sowie risikobasierte Due‑Diligence vor Vertragsabschluss.

Für kritische Funktionen sind vertragliche Mindestanforderungen und belastbare Exit‑Strategien sicherzustellen.

Ergänzend konkretisieren Art. 29 und Art. 30 die Assessment‑Phase, etwa durch die Bewertung von Konzentrationsrisiken und weitere Vertragsvorgaben.

Art. 28 DORA 
Risikoidentifikation und -bewertung

  • Strategie für Third-Party Risikomanagement
  • Register of Information zu sämtlichen ICT-Dienstleistern
  • Risikobasierte Due-Diligence-Prüfungen vor Vertragsabschluss
  • Vertrags- und Exit-Strategien für kritische Funktionen


Art. 29 und Art. 30

  • Ergänzende Vorgaben (z. B. Bewertung von Konzentrationsrisiken)
  • Vertragliche Mindestanforderungen
×

NIS-2/BISG (neu)

Prinzipienorientierte Vorgaben

NIS‑2/BSIG (neu) gibt TPRM nicht im Detail vor, fordert aber ein risikobasiertes Vorgehen über die gesamte Lieferkette. Dazu gehören geeignete technische und organisatorische Maßnahmen, definierte Sicherheitsanforderungen an Dienstleister und ein Incident‑Bezug, der externe Partner einschließt.

§ 30 BSIG (neu) verpflichtet zudem zu einem wirksamen, dokumentierten Informations‑ und Cybersicherheits‑Risikomanagement unter Einbezug von Drittparteirisiken.

NIS-2 / BSIG (neu) 

  • keine explizite Detaillierung TPRM auf Vertrags- und Netzwerk-Ebene
  • Einführung von Risikomanagement-Maßnahmen, die auch Lieferketten- und externe Beziehungsrisiken abdecken
  • Geeignete technische und organisatorische Maßnahmen
  • Sicherheitsanforderungen an Dienstleister
  • Incident-Bezug über die Lieferkette hinweg


§ 30 BSIG (neu) 

  • Pflicht zu einem wirksamen und dokumentierten Informations- und Cybersicherheits-Risikomanagement, das Risikoaspekte durch Dritte betrachtet
×

Cyber Resilience Act

Produkte sicher, TPRM bleibt

Der Cyber Resilience Act ist kein TPRM‑Regelwerk wie DORA, beeinflusst aber die Governance, ersetzt diese aber nicht:

  • CRA ist kein direktes TPRM-Regelwerk wie DORA
  • Ziel: Stärkung der Software- und Produkt-Sicherheit entlang der Lieferkette
  • Anforderung an Produktsicherheitsbezogene Controls, z. B. secure by design, Vulnerability-Handling, Updates, Sicherheitsdokumentation und Reporting
×

Single Point of Failure (SPoF)

Im Kontext von Third-Party Risk Management (TPRM) bezeichnet ein Single Point of Failure (SPoF) eine kritische Abhängigkeit von einer einzelnen Drittpartei (z. B. einem Cloud-Anbieter oder Software-Hersteller), deren Ausfall den Stillstand oder einen erheblichen Schaden für das gesamte Unternehmen nach sich ziehen würde.

Es fehlt in diesem Fall an Redundanz oder einer sofortigen Ausweichmöglichkeit.

Um SPoFs effektiv zu managen, müssen sie in den gesamten TPRM-Lifecycle integriert werden:

Third-Party Register & Klassifizierung

  • Erfassung aller IT-Drittparteien in einem zentralen Register
  • Nutzung von Konzentrationsrisiko-Dashboards, um zu erkennen, wo mehrere interne Dienste von derselben IT-Drittpartei abhängen

Klassifizierung & Kritikalitätsanalyse

  • Bewertung, ob ein IT-Dienstleister eine kritische oder wichtige Funktion unterstützt
  • Ein SPoF liegt oft dort vor, wo die "Substituierbarkeit" (Fähigkeit, den IT-Dienstleister schnell zu ersetzen) gering ist

Risiko- & Kontrollbewertungen

  • Prüfung der Business Continuity Pläne (BCP) und Desaster-Recovery-Fähigkeiten bei kritischen IT-Drittparteien 
  • Analysieren der Sub-Dienstleister (Fourth-Party Risk), um versteckte SPoFs in der Lieferkette aufzudecken

Vertrags-Compliance

  • Vereinbarung vertraglicher Mindeststandards für die Verfügbarkeit und Definition von Exit-Strategien.
  • Implementierung, wo technisch möglich, von Redundanzstrategien (z. B. Multi-Cloud-Ansätze oder Backup-Lieferanten).

Steuerung & Überwachung

  • Integration der IT-Drittdienstleister in den Notfallübungen des eigenen Unternehmens, um die Resilienz im Ernstfall real zu testen
  • Kontinuierlich Überwachung der Performance und finanzielle Stabilität der IT-Drittdienstleister, um einen drohenden Ausfall frühzeitig zu erkennen
×

Inherent Risk und Residual Risk

Im TPRM-Prozess sind diese beiden Begriffe entscheidend, um das tatsächliche Risiko eines IT-Drittdienstleisters objektiv bewerten zu können:

Inherent Risk (Inhärentes Risiko)

Das ist das Brutto-Risiko, das ein Dienstleister für dein Unternehmen darstellt, bevor irgendwelche Sicherheitsmaßnahmen oder Kontrollen berücksichtigt sind.

  • Fokus: Rein auf der Art der Dienstleistung (z. B. Zugriff auf Kundendaten, physischer Zugang zum Rechenzentrum)
  • Ermittlung: Erfolgt meist über einen kurzen Pre-Assessment-Fragebogen (Scoping). Wenn ein Anbieter Zugriff auf kritische Systeme, z.B. auf Kernbankensysteme, hat, ist das inhärente Risiko automatisch „hoch“


Residual Risk (Restrisiko)

Das ist das Netto-Risiko, das übrigbleibt, nachdem die Kontrollen des Dienstleisters (z. B. ISO 27001 Zertifikate, Verschlüsselung, BCP-Tests) bewertet sind.

  • Fokus: Wirksamkeit der Schutzmaßnahmen.
  • Ziel: Das Restrisiko muss innerhalb des vom eigenen Unternehmen definierten „Risk Appetite“ (Risikoappetit) liegen.

Integration in den TPRM-Prozess

Ein typisches Beispiel sieht in der Praxis so aus:

  • Inherent Risk Assessment: Du stellst fest: „Dieser Cloud-Anbieter speichert hochsensible Daten (SPOF-Gefahr!).“
    -> Rating: Hoch
  • Due Diligence: Du prüfst die Audits des Anbieters. Er hat redundante Rechenzentren und eine Exit-Strategie
  • Residual Risk Calculation: Durch die guten Sicherheitsmaßnahmen sinkt das Risiko 
    -> Rating: Mittel
  • Entscheidung: Wenn das Restrisiko „Mittel“ für dein Unternehmen akzeptabel ist, darf der Vertrag unterschrieben werden
×

Third-Party-Register & -Klassifizierung

Mit uns bekommst du ein aktuelles, prüffähiges Third‑Party‑Register – inkl. eindeutiger Service‑Klassifizierung und nachvollziehbarer Steuerungslogik über die gesamte Lieferkette.

Was du erreichst:

  • Aktuelles Register: Prozesse und Verantwortlichkeiten, die dein Third‑Party‑Register laufend aktuell halten
  • Wirksames Lieferketten‑Risikomanagement: Konkrete Maßnahmen und Schwellenwerte für Supplier und Sub‑Supplier
  • Klarer Klassifizierungsstandard: Nachvollziehbare Kriterien für Services (kritisch‑wichtig vs. sonstige) – messbar und konsistent
  • Transparenz Single Point of Failure (SPoF): Identifikation kritischer Abhängigkeiten und Single Points of Failure – inkl. Handlungsoptionen
  • Regulatorik verankert: Auslagerung, DORA, NIS‑2/BSIG, CRA und Security methodisch in der Sub‑Supplier‑Steuerung abgebildet

Wie wir vorgehen:

  • Inventory & Mapping: Erfassung aller Third Parties und Services inkl. Sub‑Supplier‑Ketten
  • Klassifizierung & Kriterien: Definition der Bewertungslogik, Schwellenwerte und Evidenzen
  • Governance & Betrieb: Rollen, Prozesse, Review‑Zyklen und Kontrollen für ein dauerhaft gepflegtes Register

Dein Mehrwert:

  • Frühe Risikoerkennung bei IT‑Drittparteien und Cyber‑Risiken – mit klaren Eskalationswegen 
  • Audit‑ und Reporting‑Readiness dank dokumentierter Zuordnungen und prüffähiger Nachweise 
  • Skalierbare Steuerung über die gesamte Lieferkette hinweg – weniger Blindspots, mehr Kontrolle

Du erhältst ein gepflegtes, revisionssicheres Third‑Party‑Register mit klarer Klassifizierung, dokumentierter Regulatorik‑Zuordnung und belastbarer Steuerungslogik – einsatzbereit für Reporting, Assessments und Audits.

Alle Infos zu CloudGate findest du hier: Third-Party-Register mit CloudGate

×

Risiko- & Kontrollbewertungen

Wie wir vorgehen:

  • Framework & Kataloge: Standardisierter Bewertungsrahmen mit Risiko‑ und Kontrollkatalogen, Scoring‑Modellen und Evidenzanforderungen
  • Prozess & Rollen: End‑to‑end Due‑Diligence‑Prozess, Eskalationslogik, Verantwortlichkeiten und Review‑Zyklen
  • Transparenz & Reporting: KPIs, Heatmaps und Scorecards für Entscheidungen – inklusive regulatorischer Zuordnung und Audit‑Trail


Dein Mehrwert:

  • Frühe Lückenerkennung gegenüber Regulatorik und Security‑Standards
  • Priorisierte Risikoreduktion durch klare Schwellen, Maßnahmen und Zuständigkeiten
  • Nachvollziehbare Entscheidungen dank konsistenter Scores, Evidenzen und standardisiertem Reporting
×

Vertrags-Compliance

Wie wir vorgehen:

  • Assessment & Abgleich: Abgleich deiner bestehenden Standards mit Risikoprofil und Regulatorik. Bei Bedarf stellen wir praxiserprobte Vertragsmuster, Servicebeschreibungen und SLAs bereit
  • Design & Standardisierung: Aufbau eines regulatorik‑konformen Vertrags‑Mindeststandards inkl. Templates und Servicebeschreibungen
  • Roll‑out & Enablement: Implementierung der Bausteine in bestehende Verträge und Onboarding‑Prozesse – inkl. SLA‑Katalog

Dein Mehrwert:

  • Konforme IT‑Drittparteienverträge: DORA‑/NIS‑2‑/BSIG‑/CRA‑Relevanzen werden adressiert und nachweisbar verankert
  • Weniger Nachbesserungen: Saubere Standards reduzieren Vertrags‑Reworks und Verhandlungsaufwände
  • Weniger Risiko: Minimierung von Haftungs‑, Audit‑ und Betriebsrisiken – mit messbarer Compliance
×

Steuerung & Überwachung

Wie wir vorgehen:

  • Set‑up: Definition der Monitoring‑Kriterien, KPIs/SLAs und Schwellenwerte – angepasst an dein Risikoprofil
  • Operationalisierung: Implementierung von Assurance‑Mechanismen und Tool‑gestütztem Monitoring entlang der Lieferkette
  • Transparenz & Governance: Etablierung eines Reporting‑Standards mit Verantwortlichkeiten, Eskalationswegen und Review‑Zyklen

Dein Mehrwert:

  • Messbare Steuerung der Third‑Party‑Leistungen und frühzeitige Erkennung von Abweichungen
  • Regulatorische Sicherheit durch revisionssichere Dokumentation und konforme Berichte
  • Effiziente Zusammenarbeit: klare KPIs, SLAs und transparente Entscheidungswege sorgen für mehr planbare Qualität statt ständiger Ad‑hoc‑Feuerwehr-Einsätze
×

Issue Management

Wie wir vorgehen:

  • Design: Definition von Policies, Rollen, Eskalationsstufen, Kommunikations‑ und Freigabewegen, KPIs/SLAs
  • Enablement: Playbooks, Templates und Tool‑Unterstützung für Incident‑, Problem‑ und Risk‑Workflows
  • Operationalisierung: Regelmäßige Reviews, Ursachenanalysen (Root Cause), Maßnahmenverfolgung (Corrective/Preventive Actions) und Evidenzen

Dein Mehrwert:

  • Schnellere Reaktion & weniger Ausfallzeiten durch klar definierte Playbooks und Eskalationswege
  • Regulatorische Sicherheit durch nachweisbare Behandlung, Ursachenanalyse, Maßnahmen‑Tracking sowie Melde‑ und Eskalationspflichten
  • Transparenz & Entscheidungsfähigkeit dank messbarer KPIs, Risiko‑Re‑Ratings und prüffähiger Dokumentation 
×

Evidenz & Audit-Readiness

Wie wir vorgehen:

  • Design des Repository‑Standards: Informationsarchitektur, Metadatenmodell, Rollen & Verantwortlichkeiten, Naming/Versioning
  • Operationalisierung: Templates, Checklisten und Workflows für Erstellung, Review, Freigabe und Archivierung – inkl. Audit‑Trail
  • Readiness & Support: Audit und Assurance Support von der Vorbereitung bis zur Begleitung im Audit – mit Report‑Exports und Prüfer‑Paketen

Dein Mehrwert:

  • Schneller durch Audits: Kürzere Durchlaufzeiten, weniger Nachfragen, klare Evidenzen
  • Dauerhaft prüfbereit: Jederzeit auskunftsfähig dank aktueller, versionierter und nachvollziehbarer Dokumentation
  • Effizienz im Alltag: Jeder findet sofort die richtigen Nachweise; weniger Such‑ und Koordinationsaufwand
×

DORA

Kapitel V, Abschnitt I, Artikel 28 bis 30 DORA

Die BaFin informiert über Kapitel V, Abschnitt I, Artikel 28 bis 30 DORA:

https://www.bafin.de/DE/Aufsicht/DORA/Management_IKT_Drittparteienrisikos/Management_IKT_Drittparteirisikos_artikel.html?nn=19669324

×

NIS-2/BISG (neu)

NIS-2 / BSIG (neu) Bundesgesetzblatt:

https://www.recht.bund.de/bgbl/1/2025/301/VO.html

×