DORA im Einkauf: Stakeholder und Prozess-Checkliste bei IT-Beschaffungen

Letzte Aktualisierung – May 21, 2025
DORA im Einkauf: Stakeholder und Prozess-Checkliste bei IT-Beschaffungen
Home / Blog / Dora stakeholder checkliste

DORA im Einkauf: Stakeholder und Prozess-Checkliste bei IT-Beschaffungen

Die DORA-Verordnung (EU) 2022/2554 hat tiefgreifende Auswirkungen auf IT-Beschaffungen im regulierten Finanzsektor. Neben technischen und rechtlichen Anforderungen bedeutet das vor allem eines: mehr Abstimmung. Wer einen Anbieter auswählt oder einen Vertrag abschließt, muss intern breit abgestimmt sein.

Stakeholder-Checkliste nach Beschaffungsart

Rolle / Funktion IT-Hardware IT-Services (z. B. Cloud, SOC) Software (On-Prem / SaaS)
Einkauf
IT-Abteilung
Informationssicherheit / CISO ⚠️ (nur bei Netzwerken oder krit. Hardware)
Compliance / GRC
Legal / Vertragsrecht ⚠️ (nur bei krit. Lieferanten)
Fachbereich / Bedarfsträger
Datenschutz (DSB) ⚠️ (bei Datenverarbeitung) ✅ (z. B. bei SaaS)
Geschäftsführung / Vorstand ⚠️ (bei kritischen IKT-Diensten) ⚠️ (bei geschäftskritischen Systemen)

Legende:

  • ✅ = Standardbeteiligung

  • ⚠️ = Beteiligung bei kritischer Relevanz oder Datenverarbeitung

  • ❌ = in der Regel nicht erforderlich

Prozess-Empfehlung für DORA-konforme IT-Beschaffung

1. Bedarf & Klassifikation

  • Fachbereich stellt Bedarf fest

  • IT bewertet technische Anforderungen

  • CISO / Compliance prüfen Kritikalität

2. Einbindung der Stakeholder

  • Einkauf erstellt Stakeholder-Matrix

  • Frühzeitige Einladung zu Abstimmungsrunden

  • Datenschutz und Legal nur bei Bedarf (z. B. Cloud, SaaS, Verarbeitung personenbezogener Daten)

3. Ausschreibung / Auswahl

  • Einholen von Fragebögen zur Resilienz, BCP, Zertifikaten

  • Vergleich von Anbietern nach DORA-Kriterien

  • Gemeinsame Bewertung durch Einkauf + Compliance + IT

4. Vertragsprüfung

  • Einbindung Legal / Datenschutz bei regulatorischen Klauseln

  • Prüfung auf:

    • Meldepflichten

    • Auditrechte

    • Exit-Strategien

    • Subdienstleister

5. Freigabe & Dokumentation

  • Risikobewertung dokumentieren

  • Abstimmung mit Compliance

  • Sign-Off durch Einkauf / IT / ggf. Vorstand

6. Betrieb & Monitoring

  • Übergabe an IT / Betrieb / CMDB

  • Lieferanten in Risiko-Monitoring einbinden

  • Reporting & jährliche Reviews sicherstellen

Fazit: Prozessklarheit schützt vor Reibungsverlusten

Gerade in DORA-relevanten Beschaffungsvorgängen ist die koordinierte Beteiligung der relevanten Stakeholder entscheidend. Die frühzeitige Einbindung von IT, CISO, Legal und Compliance reduziert Nachverhandlungen, verbessert die Auditfähigkeit – und schützt das Unternehmen vor regulatorischen Risiken.

Ein transparenter, abgestimmter Beschaffungsprozess ist heute kein Luxus mehr – sondern eine regulatorische Notwendigkeit.

Weitere Blog Posts

Weitere Services

IT-Einkaufsstrategie

Entwickeln Sie eine ganzheitliche IT-Beschaffungsstrategie, die Kosten senkt, Risiken minimiert und den strategischen Wert Ihrer IT-Investitionen maximiert. Von der Spend-Analyse bis zur Lieferantenkonsolidierung.

Entdecken

IT-Vertragsanalyse & Health Check

Professionelle Vertragsanalyse und strukturierter Health Check für IT-Verträge. Identifikation von Risiken, Einsparpotenzialen und Handlungsempfehlungen zur Vertragsoptimierung.

Entdecken

Lieferantenauswahl & Ausschreibungen

Die Wahl des richtigen IT-Dienstleisters ist entscheidend für Projekterfolg, Qualität und Preis. Mein strukturierter Ausschreibungsprozess hilft Ihnen, den besten Anbieter für Ihre Anforderungen zu finden – effizient, nachvollziehbar und verhandlungssicher.

Entdecken

Weitere Projekte

Book hardcover

Book hardcover

Three automated reports are created for Boston EMS to indicate the details about incidents in Boston.

Entdecken