Altverträge auf DORA trimmen: Vorgehen, Werkzeuge & Prüfverfahren

Letzte Aktualisierung – May 21, 2025
Altverträge auf DORA trimmen: Vorgehen, Werkzeuge & Prüfverfahren
Home / Blog / Dora base

Altverträge auf DORA trimmen: Vorgehen, Werkzeuge & Prüfverfahren

Die DORA-Verordnung (EU 2022/2554) betrifft nicht nur neue Verträge – sondern alle bestehenden Vereinbarungen mit IT-Dienstleistern, Cloud-Anbietern und Softwarepartnern. Viele dieser Altverträge sind nicht auf DORA-Konformität geprüft, bergen erhebliche Risiken und fehlen bei Audits in der Dokumentation.

Dieser Beitrag zeigt ein pragmatisches Vorgehen, wie Einkauf und Compliance den Altbestand effizient analysieren, priorisieren und mit wenig Aufwand anpassen können.

1. Warum Altverträge kritisch sind

  • Viele Verträge stammen aus der Zeit vor DORA oder wurden nach rein kommerziellen Kriterien verhandelt

  • Typische Lücken:

    • Keine Meldepflichten für IKT-Vorfälle

    • Fehlende Auditrechte

    • Keine Exit-Strategien oder BCP-Regelungen

    • Unklare Subdienstleisterregelungen

  • Konsequenz: Auditrisiken, mögliche Verstöße gegen Artikel 28–30 DORA, fehlende Nachweise bei Aufsichtsanfragen

2. Schnellbewertung: ABC-Analyse zur Priorisierung

Ein bewährtes Mittel zur pragmatischen Einordnung ist die ABC-Klassifikation nach Risiko- und Budgetauswirkung:

Klasse Kriterien Beispiel Maßnahmen
A Kritisch für Betrieb, hohe IT-Abhängigkeit, hohe Kosten Cloud-Hosting, Rechenzentrum, SOC Sofort prüfen & neu verhandeln
B Mittelwichtig, strategisch relevant, aber begrenzte Reichweite SaaS-Plattformen, Monitoring-Tools Vertragsergänzung oder Addendum
C Geringes Risiko, geringe Kosten, ohne personenbezogene Daten Hardwareleasing, Standardtools Prüfung bei nächster Verlängerung

Tipp: Integrieren Sie ABC-Klassifizierung in Ihre Vertragsdatenbank (z. B. Excel, Power BI, ServiceNow, Contrakt-Tool).

3. Vertragsprüfung: Ersteinwertung vs. Wiederholung

Ersteinwertung (Initialaufnahme):

  • Alle aktiven Verträge mit IT-/Cloud-/SaaS-Anbietern identifizieren

  • Felder anlegen:

    • Vertragspartner / Vertragstyp / Laufzeit / Budget

    • DORA-relevante Klauseln vorhanden? (Ja / Nein / Unklar)

    • Risiko-Einstufung A/B/C

Tools: CMDB, Vertragsdatenbank, Excel + Pivot, GRC-Tools (z. B. Alyne, OneTrust, SAP GRC)

Wiederkehrende Prüfung (jährlich):

  • Neue regulatorische Vorgaben prüfen (z. B. RTS, BSI, EBA)

  • Prüfen, ob Vertragsbestandteile angepasst werden müssen

  • Feedback von Audits einarbeiten (z. B. fehlende Exit-Klausel ergänzen)

4. Umsetzung: Maßnahmen pro Vertragstyp

Vertragstyp Typische Lücke Maßnahme
Altverträge ohne IT-Sicherheitsanhang Keine Meldepflicht, keine Resilienztests DORA-Addendum anfordern
Softwareverträge mit Hosting im Drittland Kein Auditrecht, keine Exit-Regel Prüfung nach DSGVO/DORA, Nachverhandlung oder Exit
Laufende SaaS-Subscriptions Keine Klassifikation als kritisch oder nicht Risikoanalyse nach DORA-Definition, Anpassung im Vertrag

Praxis-Tipp: Viele Anbieter zeigen sich bei Verlängerungen (Renewals) oder Budgetfreigaben besonders gesprächsbereit.

5. Dokumentation & Kommunikation

  • Alle Anpassungen nachvollziehbar dokumentieren (Audit-Trail)

  • Kommunikation intern abstimmen (Einkauf, IT, Legal, Compliance)

  • Anbieter transparent über regulatorische Anforderungen informieren

Beispiel: Standardtext im Anschreiben

„Im Rahmen unserer regulatorischen Verpflichtungen gem. DORA (EU 2022/2554) sind wir verpflichtet, bestehende Verträge hinsichtlich digitaler Resilienz zu überprüfen. Wir bitten Sie daher um Mitwirkung bei der Anpassung folgender Vertragsbestandteile…“

6. Checkliste: DORA-Fitness bestehender Verträge

  • Vertragspartner identifiziert

  • Vertrag in Risikoklasse A/B/C eingestuft

  • Prüfung auf folgende Klauseln:

    • Meldung von Sicherheitsvorfällen (Art. 19 DORA)

    • Prüfungsrechte & Audits (Art. 30)

    • Exit-Szenarien & Datenrückgabe

    • Subdienstleisterregelung

    • RTO/RPO & BCP-Maßnahmen

  • Addendum oder Neuverhandlung initiiert

  • Dokumentation revisionssicher abgelegt

  • Wiederholungsprüfung geplant

Fazit: Altverträge sind kein Risiko – wenn man sie systematisch angeht

Viele Unternehmen schrecken vor der Masse an Altverträgen zurück. Doch mit einer pragmatischen Segmentierung, einem strukturierten Prüfprozess und einem schlanken Maßnahmenplan wird aus der Mammutaufgabe ein steuerbarer DORA-Meilenstein.

Wer heute klug priorisiert, spart morgen Audit-Kosten – und schützt das Unternehmen vor unliebsamen Überraschungen.

Weitere Blog Posts

Weitere Services

IT-Einkaufsstrategie

Entwickeln Sie eine ganzheitliche IT-Beschaffungsstrategie, die Kosten senkt, Risiken minimiert und den strategischen Wert Ihrer IT-Investitionen maximiert. Von der Spend-Analyse bis zur Lieferantenkonsolidierung.

Entdecken

IT-Vertragsanalyse & Health Check

Professionelle Vertragsanalyse und strukturierter Health Check für IT-Verträge. Identifikation von Risiken, Einsparpotenzialen und Handlungsempfehlungen zur Vertragsoptimierung.

Entdecken

Lieferantenauswahl & Ausschreibungen

Die Wahl des richtigen IT-Dienstleisters ist entscheidend für Projekterfolg, Qualität und Preis. Mein strukturierter Ausschreibungsprozess hilft Ihnen, den besten Anbieter für Ihre Anforderungen zu finden – effizient, nachvollziehbar und verhandlungssicher.

Entdecken

Weitere Projekte

Book hardcover

Book hardcover

Three automated reports are created for Boston EMS to indicate the details about incidents in Boston.

Entdecken