Strategien für das IKT-Drittparteirisikomanagement und die Multi-Vendor-Nutzung

Die DORA-Verordnung stellt Organisationen vor zahlreiche Herausforderungen, insbesondere im Bereich des IKT-Drittparteirisikomanagements. Zwei zentrale strategische Anforderungen ergeben sich aus Art. 28 Abs. 2 und Art. 6 Abs. 9 DORA:

– Die Strategie für das IKT-Drittparteirisiko
– Eine Multi-Vendor-Strategie (bei Bedarf)

Die Finanzunternehmen sind aufgefordert, diese Strategiedokumente zu entwickeln und deren Umsetzung und Berücksichtigung in den Prozessen des Hauses sicherzustellen.

Inspirationsquellen: NIST Cybersecurity Framework und öffentliche Verwaltung

Ein Blick in verwandte Regelwerke kann helfen, Orientierung und Hilfestellungen bei der Erstellung dieser Dokumente zu finden. So basiert die DORA-Verordnung teilweise auf Prinzipien des NIST Cybersecurity Framework (CSF 2.0). Eine vertiefte Recherche in diesem Kontext brachte die NIST-Publikation zum „Cybersecurity Supply Chain Risk Management“ ans Licht. Die Quelle enthält eine Vorlage für eine „Cybersecurity Supply Chain Risk Management Strategy“, die als Blaupause für die Formulierung einer IKT-Drittparteirisikostrategie verwendet werden kann.

Eine weitere Blaupause für die Erstellung einer Multi-Vendor-Strategie findet sich im öffentlichen Sektor. Die „Strategie zur Stärkung der digitalen Souveränität“ zielt auf die Sicherung der Unabhängigkeit von einzelnen Anbietern und der Förderung digitaler Souveränität ab und bietet gute Anregungen für die Inhalte der in DORA angesprochenen Multi-Vendor-Strategie.

Auf Basis dieser Quellen habe ich ein erstes Template für eine IKT-Drittparteirisikostrategie und eine Multi-Vendor-Strategie erstellt, welches im Downloadbereich abgerufen werden kann.