--- title: Supply Chain Security date: 2026-06-01T17:22:00+02:00 canonical_url: "https://www.fast-lta.de//de/glossar/supply-chain-security" section: Glossar --- IT-Lie­fer­ket­ten sind heu­te kom­plex: Wer Cloud-Back­up, Back­up-Soft­ware, Hard­ware-War­tung und Moni­to­ring an Dritt­an­bie­ter aus­la­gert, ist von deren Sicher­heit, Ver­füg­bar­keit und Com­pli­ance abhän­gig. Sup­p­ly Chain Secu­ri­ty bezeich­net die struk­tu­rier­te Aus­ein­an­der­set­zung mit die­sem Abhängigkeitsrisiko. NIS2 (§30 Abs. 2 Nr. 5 NIS2UmsuCG) ver­langt expli­zit Maß­nah­men zur Sicher­heit der Lie­fer­ket­te: Bewer­tung der Sicher­heits­prak­ti­ken von IKT-Dritt­an­bie­tern, ver­trag­li­che Min­dest­an­for­de­run­gen an die Cyber­si­cher­heit und eine risi­ko­ba­sier­te Prio­ri­sie­rung kri­ti­scher Lie­fe­ran­ten. DORA (Art. 28 – 30) geht noch wei­ter: Finanz­un­ter­neh­men müs­sen alle kri­ti­schen IKT-Dritt­an­bie­ter inven­ta­ri­sie­ren, bewer­ten und ver­trag­lich ver­pflich­ten — mit Klau­seln zu Audit-Rech­ten, Ver­füg­bar­keits-SLAs, Exit-Stra­te­gien und Datenlokalisierung. Ein struk­tu­rel­les Risi­ko: Laut Ana­ly­sen der EU-Auf­sichts­be­hör­den (EBA, ESMA, EIOPA) hal­ten die Top 10 IKT-Dritt­an­bie­ter im Finanz­sek­tor über 85 % der kri­ti­schen Ver­trä­ge. Drei Vier­tel die­ser Anbie­ter stam­men aus Dritt­staa­ten — über­wie­gend den USA. Die­se Kon­zen­tra­ti­on schafft sys­te­mi­sche Risi­ken: Ein Aus­fall bei einem der gro­ßen Cloud-Anbie­ter kann gleich­zei­tig Dut­zen­de Finanz­in­sti­tu­te treffen. Für Back­up und Sto­rage bedeu­tet das kon­kret: Wer kri­ti­sche Back­up-Daten bei einem exter­nen Cloud-Anbie­ter spei­chert, muss prü­fen, ob die­ser ein kri­ti­scher IKT-Dritt­an­bie­ter im Sin­ne von DORA ist, ob der Ver­trag DORA-kon­for­me Klau­seln ent­hält und ob Daten­lo­ka­li­sie­rung (phy­si­scher Ser­ver­stand­ort, Rechts­rah­men des Anbie­ters) sicher­ge­stellt ist. Die Über­gangs­frist für bestehen­de Ver­trä­ge läuft bis zum 31. Dezem­ber 2026. ### DORA DORA (Digital Operational Resilience Act, EU 2022/2554) ist eine EU-Verordnung, die seit Januar 2025 für alle regulierten Finanzmarktteilnehmer gilt und konkrete Anforderungen an IKT-Risikomanagement, Backup-Systeme (Art. 11 und 12), Drittanbieter-Management (Art. 28–30) sowie Incident-Meldung stellt. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/dora) ### DORA DORA (Digital Operational Resilience Act, EU 2022/2554) ist eine EU-Verordnung, die seit Januar 2025 für alle regulierten Finanzmarktteilnehmer gilt und konkrete Anforderungen an IKT-Risikomanagement, Backup-Systeme (Art. 11 und 12), Drittanbieter-Management (Art. 28–30) sowie Incident-Meldung stellt. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/dora) ### DORA DORA (Digital Operational Resilience Act, EU 2022/2554) ist eine EU-Verordnung, die seit Januar 2025 für alle regulierten Finanzmarktteilnehmer gilt und konkrete Anforderungen an IKT-Risikomanagement, Backup-Systeme (Art. 11 und 12), Drittanbieter-Management (Art. 28–30) sowie Incident-Meldung stellt. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/dora) ## Fragen und Antworten #### Wer gilt als kritischer IKT-Drittanbieter nach DORA? Kritisch ist ein IKT-Drittanbieter, wenn sein Ausfall kritische oder wichtige Funktionen des Finanzunternehmens beeinträchtigen würde. Für Backup und Storage: Ein Anbieter, der die primäre Backup-Infrastruktur betreibt, ist in der Regel kritisch. Cloud-Backup-Anbieter, Managed Backup Services, Backup-Software-Hersteller sollten auf Kritikalität geprüft werden. Die Bestimmung folgt einer Risikoanalyse. #### Welche vertraglichen Anforderungen stellt DORA an IKT-Drittanbieter? Verträge mit kritischen IKT-Drittanbietern müssen mindestens enthalten: Beschreibung der zu erbringenden Dienstleistungen, Datenlokalisierung (wo werden Daten verarbeitet und gespeichert), Verfügbarkeits-SLAs, Audit-Rechte (das Finanzunternehmen muss den Anbieter prüfen dürfen) und einen Exit-Plan (wie werden Daten bei Vertragsende übertragen und beim Anbieter gelöscht).