DORA im Einkauf: Stakeholder und Prozess-Checkliste bei IT-Beschaffungen

Last Update – May 21, 2025
DORA im Einkauf: Stakeholder und Prozess-Checkliste bei IT-Beschaffungen
Home / Blog / Dora stakeholder checkliste

DORA im Einkauf: Stakeholder und Prozess-Checkliste bei IT-Beschaffungen

Die DORA-Verordnung (EU) 2022/2554 hat tiefgreifende Auswirkungen auf IT-Beschaffungen im regulierten Finanzsektor. Neben technischen und rechtlichen Anforderungen bedeutet das vor allem eines: mehr Abstimmung. Wer einen Anbieter auswählt oder einen Vertrag abschließt, muss intern breit abgestimmt sein.

Stakeholder-Checkliste nach Beschaffungsart

Rolle / Funktion IT-Hardware IT-Services (z. B. Cloud, SOC) Software (On-Prem / SaaS)
Einkauf
IT-Abteilung
Informationssicherheit / CISO ⚠️ (nur bei Netzwerken oder krit. Hardware)
Compliance / GRC
Legal / Vertragsrecht ⚠️ (nur bei krit. Lieferanten)
Fachbereich / Bedarfsträger
Datenschutz (DSB) ⚠️ (bei Datenverarbeitung) ✅ (z. B. bei SaaS)
Geschäftsführung / Vorstand ⚠️ (bei kritischen IKT-Diensten) ⚠️ (bei geschäftskritischen Systemen)

Legende:

  • ✅ = Standardbeteiligung

  • ⚠️ = Beteiligung bei kritischer Relevanz oder Datenverarbeitung

  • ❌ = in der Regel nicht erforderlich

Prozess-Empfehlung für DORA-konforme IT-Beschaffung

1. Bedarf & Klassifikation

  • Fachbereich stellt Bedarf fest

  • IT bewertet technische Anforderungen

  • CISO / Compliance prüfen Kritikalität

2. Einbindung der Stakeholder

  • Einkauf erstellt Stakeholder-Matrix

  • Frühzeitige Einladung zu Abstimmungsrunden

  • Datenschutz und Legal nur bei Bedarf (z. B. Cloud, SaaS, Verarbeitung personenbezogener Daten)

3. Ausschreibung / Auswahl

  • Einholen von Fragebögen zur Resilienz, BCP, Zertifikaten

  • Vergleich von Anbietern nach DORA-Kriterien

  • Gemeinsame Bewertung durch Einkauf + Compliance + IT

4. Vertragsprüfung

  • Einbindung Legal / Datenschutz bei regulatorischen Klauseln

  • Prüfung auf:

    • Meldepflichten

    • Auditrechte

    • Exit-Strategien

    • Subdienstleister

5. Freigabe & Dokumentation

  • Risikobewertung dokumentieren

  • Abstimmung mit Compliance

  • Sign-Off durch Einkauf / IT / ggf. Vorstand

6. Betrieb & Monitoring

  • Übergabe an IT / Betrieb / CMDB

  • Lieferanten in Risiko-Monitoring einbinden

  • Reporting & jährliche Reviews sicherstellen

Fazit: Prozessklarheit schützt vor Reibungsverlusten

Gerade in DORA-relevanten Beschaffungsvorgängen ist die koordinierte Beteiligung der relevanten Stakeholder entscheidend. Die frühzeitige Einbindung von IT, CISO, Legal und Compliance reduziert Nachverhandlungen, verbessert die Auditfähigkeit – und schützt das Unternehmen vor regulatorischen Risiken.

Ein transparenter, abgestimmter Beschaffungsprozess ist heute kein Luxus mehr – sondern eine regulatorische Notwendigkeit.

Related Blog Posts

Related Services

IT Contract Analysis & Health Check

Professional analysis of IT contracts to identify hidden risks, reduce costs, and increase compliance. Includes structured contract reviews, benchmarks, and prioritized improvement plans.

Discover

License Management & Compliance

Licenses are a major cost driver – and a legal risk. My service helps you uncover optimization potential, avoid fines in audits, and reduce overspending through a structured approach to license management.

Discover

Software Asset Management (SAM)

Optimize your software usage, reduce compliance risks, and cut costs through professional Software Asset Management. Ideal for organizations managing complex software environments.

Discover

Related Projects

Book hardcover

Book hardcover

Three automated reports are created for Boston EMS to indicate the details about incidents in Boston.

Discover