Kurz vorweg: DORA (EU-Verordnung 2022/2554) ist seit 17.1.2025 in Kraft – Schweiz ist nicht direkt gebunden, aber jeder Schweizer Lieferant einer EU-Bank wird über DORA-Vertragsklauseln Teil der Compliance-Kette. Für Schweizer Banken/Versicherer gelten FINMA-RS 2018/3 (Outsourcing), FINMA-RS 2023/1 (Operationelle Risiken) und Bankkundengeheimnis. Die gute Nachricht: Wer FINMA-Auslagerungspflichten sauber erfüllt, ist DORA-fähig mit überschaubarem Delta. Wer als ICT-Lieferant beides bedient, baut ein gemeinsames Set aus Register, Standardvertrag, Exit-Plan und Vorfallsprozess.
DORA vs. FINMA: Pflichten im Vergleich
Auslagerungs-Register
DORA Art. 28 verlangt vollständiges Register aller ICT-Vendoren mit Funktion, Kritikalität, Sub-Outsourcing. FINMA-RS 2018/3 fordert Inventar wesentlicher Auslagerungen mit Risiko-Klassifikation.
Vertragspflichten
DORA Art. 30: 10+ Pflichtklauseln (Audit, Daten, SLA, Exit, Sub-Outsourcing, Insolvenz). FINMA: Schriftform, Weisungs-/Kontrollrechte, Recht der Aufsicht, Geheimnis-Klauseln.
Risikoanalyse vorab
DORA: TPRA (Third-Party Risk Assessment) verpflichtend vor Vertragsabschluss. FINMA: vorgängige Risikoanalyse, Genehmigung durch Verwaltungsrat bei wesentlichen Auslagerungen.
Incident-Notification
DORA Art. 19: schwere ICT-Vorfälle innerhalb 4h melden (initial), 72h (interim), 1 Monat (final). FINMA: «unverzüglich», kombiniert mit 24h-Pflicht ans BACS (ISG, seit 1.4.2025).
Penetrationstests
DORA TLPT (Threat-Led Penetration Tests) für signifikante Finanzinstitute alle 3 Jahre, ICT-Vendor muss mitwirken. FINMA: regelmässige Pentests bei wesentlichen Auslagerungen erwartet.
Exit-Strategie
DORA: dokumentierter Exit-Plan inkl. Datenrückführung, Migrations-SLA, Transitions-Service. FINMA: Sicherstellung der Geschäftstätigkeit bei Ausfall/Wechsel des Dienstleisters.
Sub-Outsourcing
DORA: Genehmigungspflicht für Material-Sub-Outsourcing, Pre-Notification. FINMA: Genehmigung des Auslagernden bei kritischen Sub-Auslagerungen, transparente Ketten.
Concentration Risk
DORA: Klumpenrisiko bei Hyperscalern (AWS, Azure, Google) explizit zu bewerten und zu dokumentieren. FINMA: Konzentrationsrisiko ist Teil der operationellen Risikoanalyse.
DORA-Vertrag: Pflichtklauseln nach Art. 30
Beschreibung der ICT-Dienste
Klare Definition: was wird geleistet, mit welchen Komponenten, in welchen Lokationen, mit welcher Verfügbarkeit. Generelle "SaaS-Vertragsanlage" reicht der EZB/EBA nicht – Konkretheit ist gefordert.
Lokationen & Datenverarbeitung
Vollständige Liste der Rechenzentrums-Standorte und der Datenverarbeitungs-Regionen, inkl. Sub-Vendoren. Bei Datenstandort-Restriktion (EU/EWR-only) explizit dokumentiert.
Daten-Verfügbarkeit & Schutz
SLA mit konkreten Werten (RTO, RPO, Uptime), Verschlüsselungs-Standard, Schlüsselverwaltung (Customer-managed Keys möglich?), Datenintegrität, Backup-Konzept.
Audit- und Inspektionsrechte
Recht auf Vor-Ort-Audit, Remote-Audit, Pooled Audit (mehrere Finanzinstitute teilen Audit), Recht der Aufsicht (EZB, BaFin, FINMA bei FINMA-Konstellation). Kein "Vertraulichkeits-Argument" gegen Auditor.
Service Level & Reporting
Messbare SLAs, monatliches Reporting, Eskalations-Workflow, Pönale bei Verfehlung. KPIs zu Verfügbarkeit, Reaktionszeit, Incidents, Patch-Stand.
Incident-Notification
4h-Initial-Notification an Auftraggeber bei schweren ICT-Vorfällen, 72h-Update, 1-Monat-Abschlussbericht. Definition "schwer" gemäss DORA Klassifikationsschema (CIR 2024/1772).
Sub-Outsourcing-Klausel
Liste der Sub-Vendoren, Vorab-Information bei Neuen/Wechsel, Möglichkeit zur Einsprache, Rückwirkung der DORA-Pflichten auf Sub-Vendoren (Back-to-Back).
Beendigung & Exit
Kündigungsrecht bei Vertragsverletzung, Bonität-/Sanktions-Trigger, Aufsichts-Anordnung. Transitions-Unterstützung min. 6–12 Monate, Datenrückgabe in offenem Format, Lösch-Bescheinigung.
Insolvenz- und Schutzklausel
Eskalations-Rechte bei drohender Zahlungsunfähigkeit des Vendor, Escrow für Quellcode bei kritischen Custom-Lösungen, Daten-Treuhand-Modelle.
TLPT-Mitwirkung
Pflicht zur Mitwirkung an Threat-Led Penetration Tests des Auftraggebers (alle 3 Jahre), Bereitstellung von Zugriffen, Test-Fenstern, technischen Daten.
12-Wochen-Roadmap für ICT-Lieferanten und Finanzinstitute
Woche 1–2 – Anwendbarkeits-Check
Klären: Bin ich Finanzinstitut (FINMA, EU-Aufsicht) oder ICT-Lieferant? Wer sind meine Finanz-Kunden? Welche DORA-Vertragsanhänge sind bereits eingegangen? Welche FINMA-Auslagerungen bestehen?
Woche 3 – Auslagerungs-Register aufsetzen
Inventar aller ICT-Vendoren bzw. ausgelagerten Dienste. Felder: Dienst, Vendor, Sub-Vendoren, Datenstandort, Kritikalität, SLA, Vertragsende, Exit-Pfad, letzte Risikoanalyse.
Woche 4 – Kritikalitäts-Klassifizierung
Pro Auslagerung: wesentlich / nicht wesentlich (FINMA) bzw. CIRT / non-CIRT (DORA). Begründung dokumentieren. Kritische Dienste = höhere Pflichten.
Woche 5–6 – Vertrags-Gap-Analyse
Bestehende Verträge gegen DORA Art. 30 und FINMA-RS 2018/3 prüfen. Pflichtklauseln-Checklist abhaken. Sub-Outsourcing-Klauseln, Audit-Rechte, Exit-Doku oft schwächste Stellen.
Woche 7 – Vertrags-Nachverhandlung
Standardklauseln (Annexe) mit Hyperscalern und SaaS-Vendoren etablieren. AWS, Azure und Google bieten DORA-Annexe an; SaaS-KMU brauchen oft individuelle Klausel-Pakete.
Woche 8 – Incident-Workflow
Meldekette aufbauen: Vendor → Service-Desk → Risiko/Compliance → Aufsicht. Templates für Initial/Interim/Final-Report. 4h-/24h-/72h-Fristen verankern (DORA + ISG).
Woche 9 – Exit- und Notfall-Konzept
Pro kritischen Vendor: Exit-Strategie schreiben. Daten-Format, Rückführung, Alternativ-Vendor, Transitions-SLA, Übungsplan. Konzentrationsrisiken bewerten und dokumentieren.
Woche 10 – Pen-Test & TLPT-Vorbereitung
Wer EU-Banken bedient: TLPT-Kapazität demonstrieren. Eigene Pen-Tests planen, Findings tracken. Resilience-Tests (Chaos Engineering) für kritische Dienste etablieren.
Woche 11 – Governance & Schulung
Verwaltungsrat-Genehmigung wesentlicher Auslagerungen einholen. Compliance-Beauftragten oder vCISO benennen. Schulung der Einkaufs-, Recht- und IT-Teams.
Woche 12 – Audit-Bereitschaft & Review
Internes Audit oder externer Test der Pflichterfüllung. Dokumentationspaket bereitstellen (Register, Verträge, Reports, Exit-Pläne, Incident-Logs). Quartalsreview-Rhythmus etablieren.
Typische Stolpersteine
- „Wir sind doch in der Schweiz, DORA gilt nicht": Wer eine EU-Bank beliefert, bekommt DORA-Klauseln per Vertragsdurchgriff – Anwendbarkeit zwingend prüfen.
- Register als Excel ohne Owner: ohne Verantwortlichen und Update-Rhythmus wird das Register schnell veraltet – Pflicht: Owner pro Eintrag, Quartals-Review.
- Hyperscaler-Klausel-Stack ignoriert: AWS, Azure, Google haben DORA-Annexe; ohne Aktivierung fehlt die vertragliche Grundlage.
- Sub-Outsourcing intransparent: Fehlt die Sub-Vendor-Liste, ist Auftraggeber nicht DORA-konform – Pflicht: Lieferkette-Transparenz beim Vendor einfordern.
- 4h-Frist ohne Tooling: Manuelle Mail-Eskalation funktioniert nicht – Pflicht: Incident-Tool oder klar geregelter 24/7-Kanal.
- Exit-Plan auf dem Papier, nie geübt: Im Krisenfall versagt das Konzept – Pflicht: Tabletop-Übung, Datenexport tatsächlich durchführen.
- Audit-Recht ohne Ausübung: Wird nie genutzt – im FINMA-Prüfungsfall fehlen die Befunde – Pflicht: Stichproben jährlich, mind. bei Top-3-Vendoren.
- TLPT nicht eingeplant: Lieferant wird vom EU-Bankkunden zum Test eingeladen und blockiert – Pflicht: Test-Bereitschaft vertraglich und technisch.
- Bankkundengeheimnis vergessen: Daten in Drittstaaten ohne ZDP/Standardvertragsklauseln verletzt Art. 47 BankG – Pflicht: revDSG + Bank-G im Datenkonzept.
- FINMA-Genehmigung nicht eingeholt: Wesentliche Auslagerung ohne VR-Beschluss – Pflicht: Governance vor Vertragsschluss.
Fazit: DORA und FINMA gemeinsam abdecken
Wer beide Welten bedient – Schweizer Finanzkunden unter FINMA-RS 2018/3 und EU-Finanzkunden unter DORA – baut ein integriertes Auslagerungs-Management auf einer einzigen Vorlage auf: ein Register, ein Standardvertrag mit DORA-Annex und FINMA-Modulen, ein Incident-Workflow für 4h-DORA-/24h-BACS-Fristen, ein Exit-Konzept pro Vendor. Das spart 40–60% Aufwand gegenüber parallelen Compliance-Spuren.
Für KMU-ICT-Lieferanten ist die Botschaft klar: Wer DORA-Klauseln akzeptiert, gewinnt Bank- und Versicherer-Mandate auch nach 2025. Wer ablehnt oder unsicher antwortet, verliert Aufträge an Mitbewerber, die ihre Compliance dokumentieren können. Die Investition in Register, Klausel-Set, Exit-Plan und Incident-SOP zahlt sich also doppelt aus – als Voraussetzung für Aufträge und als reduziertes operationelles Risiko im eigenen Haus.
DORA/FINMA-Compliance aufsetzen
Wir bauen Ihr Auslagerungs-Register, prüfen Verträge gegen DORA Art. 30 und FINMA-RS 2018/3 und liefern Exit-Pläne, SOP und Audit-Dossier schlüsselfertig.
Beratung anfragen