Sammelbegriff fuer Risiken aus dem Einsatz externer ICT-Lieferanten: Cloud-Provider, SaaS-Anbieter, MSPs, MSSPs. Unter DORA Art. 28 explizit reguliert; jeder kritische Lieferant muss in einem Register stehen und einer dokumentierten Eignungspruefung folgen.

ICT-Drittanbieter-Risiko umfasst Konzentration (zu viel kritischer Workload bei einem Provider), Lieferketten-Komplexitaet (Sub-Outsourcing), Sovereignty (Datenfluss, Jurisdiktion), Operational Resilience (Verfuegbarkeit, Incident-Response) und Vertragsklauseln (Audit-Rechte, Exit, Klausel-Coverage).

DORA Art. 28 verlangt fuer jeden kritischen ICT-Lieferanten: Eignungspruefung vor Vertragsunterzeichnung, Klassifizierung nach Kritikalitaet, jaehrliche Risikobewertung, dokumentierte Exit-Strategie, Pflichtklauseln nach Art. 30. NIS2 Art. 21 fordert ein vergleichbares Lieferanten-Risikomanagement, mit weniger Praeskriptions-Tiefe.

DecisionOS-Memos pro Vendor-Auswahl decken die Eignungspruefung strukturiert ab. Das daraus resultierende Memo wird im DORA-Register oder NIS2-Lieferanten-Register als Evidenz angehaengt.

ICT Third-Party Risk

Related terms