Zum Inhalt springen
DORA Art. 28 · DORA Art. 29/30 · MaRisk AT 9 · EBA GL/2019/02 · DSGVO Art. 28

Auslagerungen nach DORA steuern — auf Basis Ihrer bestehenden Prozess- und Risikodaten

Avalon TPRM bringt externe Dienstleister in dasselbe Bild wie Ihre Prozesse, Assets und Risiken. Die Kritikalität jeder Auslagerung ergibt sich automatisch aus den Prozessen, die der Dienstleister stützt — Sie pflegen sie einmal, statt in jedem Werkzeug erneut. Geführte Klassifizierung Typ A–D mit Rechtsreferenz an jedem Feld, Second-Line-Votierung und ein messbares Konzentrationsrisiko nach DORA.

Demo vereinbarenAlle Module ansehen
Im Kern

Drei Gründe für Avalon TPRM

01

Keine Doppelpflege: Die Kritikalität jeder Auslagerung ergibt sich automatisch aus den Prozessen, die der Dienstleister stützt — nicht aus erneuter Erfassung.

02

Geführte Klassifizierung Typ A–D mit gesetzlicher Grundlage an jedem Feld — kein regulatorisches Vorwissen nötig.

03

Second-Line-Votierung über sechs Fachdomänen mit Befangenheitsregel und revisionssicherem Audit-Trail.

Kritikalitätspfad

Ein kritischer Prozess macht eine Auslagerung automatisch zur Typ A

Aus vielen Auslagerungen wird je Dienstleister ein abgeleiteter Status — und daraus ein prüffähiges Register. Die Kritikalität wird aus den gestützten Prozessen abgeleitet, nicht erneut erfasst.

Belegt: DORA Art. 28–30 (Auslagerungsanforderungen), Art. 29 (Konzentrationsrisiko), Art. 30 (Vertragsinhalte), Art. 28(8) (Ausstiegsstrategie), MaRisk AT 9.1–9.6. Avalon unterstützt die Erfüllung; die regulatorische Verantwortung verbleibt beim Kunden.

Funktionsumfang

Was das TPRM-Modul im Detail leistet

  • CIF-Ableitung aus Prozessen — ohne Doppelpflege

    Gilt ein verknüpfter Prozess als kritische oder wichtige Funktion (CIF), stuft Avalon die Auslagerung automatisch als kritikalitäts-relevant ein; im Grenzfall fordert das System eine bewusste manuelle Entscheidung. Die Kritikalität leitet sich aus Schutzbedarf, Wiederanlaufzeit und finanzieller Schwere ab und steht direkt für das DORA-Informationsregister bereit — ohne Doppelpflege.

  • Geführte Klassifizierung Typ A–D mit Rechtsreferenz

    Ein Quick-Check-Entscheidungsbaum führt jede Auslagerung in genau eine von vier Klassen: Typ A (wesentliche Auslagerung, MaRisk AT 9.2 / DORA Art. 28(1)(a) / EBA GL §32-36), Typ B (nicht-wesentlich), Typ C (IKT-Fremdbezug erhöht) und Typ D (niedrig). Jedes Eingabefeld trägt seine gesetzliche Grundlage und einen Hilfe-Tooltip — die Klassifikation bestimmt anschließend, welche Assessments, Vertragsklauseln, Review-Zyklen und Freigabestufen gelten.

  • Second-Line-Votierung über sechs Fachdomänen

    Je nach Klassifizierung lädt das System die erforderlichen Second-Line-Reviewer ein: Informationssicherheit, Datenschutz, Compliance, IKT, Interne Revision und BCM. Jeder votiert in seiner Domäne — Zustimmung, Zustimmung mit Auflagen (wird zum ControlFinding), Ablehnung mit Begründungspflicht oder Delegation. Eine Befangenheitsregel verhindert, dass ein Sachverhaltsverantwortlicher seinen eigenen Vorgang reviewt; Timeouts eskalieren an den Koordinator.

  • Geführter Lebenszyklus Entwurf → In Prüfung → Aktiv → Beendet

    Jede Auslagerung durchläuft einen kontrollierten Lebenszyklus: Entwurf (Basisdaten, Avalon-Verknüpfungen), Prüfung (Risikoanalyse, Vertragsprüfung, Votierung), Aktiv (periodische Reviews, automatische Prüfungen) und Beendet (Exit-Plan mit Transition-Timeline, Datenrückgabe und Alternative). Statusübergänge laufen über Freigaberequests; bei Wesentlichkeit oder CIF ist eine Geschäftsleitungs-Freigabe erforderlich.

  • Regulierungsabhängige Vertragsprüfung nach DORA Art. 30

    Die Pflichtklausel-Checkliste stellt sich automatisch nach der Klassifizierung zusammen. Für DORA-Auslagerungen prüft Avalon u. a. uneingeschränktes Audit-Recht, quantitative SLAs, getestetes BCP des Providers, Weiterverlagerungsklauseln, Standortangaben und Exit-Unterstützung — geprüft gegen DORA Art. 30(2)/(3), MaRisk AT 9.3 und DSGVO Art. 28(3). Lücken erzeugen Findings, die die Freigabe blockieren können.

  • Konzentrationsrisiko nach DORA Art. 29

    Avalon misst das Konzentrationsrisiko je Dienstleister aus mehreren regulatorisch hergeleiteten Faktoren nach DORA Art. 29 und Del. VO (EU) 2024/1502 — u. a. Abhängigkeit kritischer Funktionen, Kosten-, Prozess- und Standort-Konzentration, Substituierbarkeit und Weiterverlagerungs-Tiefe. Eine Ausfallsimulation zeigt, welche Prozesse und Wiederanlaufziele der Ausfall eines Dienstleisters gefährden würde.

  • Drei-Linien-Modell über spezialisierte Fachrollen

    Drei-Linien-Modell über spezialisierte Fachrollen: operativ (Sachverhaltsverantwortliche, Providersteuerer, Evaluatoren), Second Line (sechs Fachgutachten ISM/Datenschutz/Compliance/IKT/Revision/BCM), Steuerung (Koordinator, Admin) und Lesezugriff. Ein Nutzer kann mehrere Rollen gleichzeitig tragen; Berechtigungen werden ausschließlich manuell vergeben.

  • KPI-Monitoring mit Ampel und automatischer Eskalation

    Pro Arrangement werden Dienstleistungs-KPIs erfasst — SLA-Verfügbarkeit, Reaktions- und Lösungszeit, Incident-Häufigkeit, Berichtsqualität — mit automatischer Ampel (Grün/Gelb/Rot) je Kennzahl. Bei einer Verletzung legt Avalon automatisch einen Vorgang an; konfigurierbare Eskalationsregeln greifen. Auch auslaufende Verträge, überfällige Risikobewertungen und geänderte verknüpfte Prozesse melden sich rechtzeitig von selbst — Sie werden erinnert, bevor eine Frist reißt.

Regulatorik im Detail

Welche Rahmenwerke das TPRM-Modul abbildet

  • DORA Art. 28
  • DORA Art. 29/30
  • MaRisk AT 9
  • EBA GL/2019/02
  • DSGVO Art. 28
DORA (EU) 2022/2554 — Art. 28
Avalon adressiert Art. 28 über die automatische Kritikalitätsableitung kritischer/wichtiger Funktionen (CIF), die geführte Klassifizierung Typ A–D und das DORA-Informationsregister: Stützt eine Auslagerung eine kritische oder wichtige Funktion, gilt sie automatisch als kritikalitäts-relevant.
DORA Art. 29 / Del-VO (EU) 2024/1502 — Konzentrationsrisiko
Das Konzentrationsrisiko wird je Dienstleister aus mehreren regulatorisch hergeleiteten Faktoren ermittelt (u. a. Abhängigkeit kritischer Funktionen, Kosten-, Prozess- und Standort-Konzentration, Substituierbarkeit, Weiterverlagerungs-Tiefe), als Ampel ausgewiesen und durch eine Ausfallsimulation untermauert.
DORA Art. 30 — Vertragsanforderungen
Die Vertragsprüfung stellt die Pflichtklauseln regulierungsabhängig zusammen und prüft DORA-Auslagerungen gegen Art. 30(2)/(3): uneingeschränktes Audit-Recht, quantitative SLAs, getestetes Provider-BCP, Weiterverlagerung, Standortangaben, Exit-Unterstützung. Lücken erzeugen freigabe-blockierende Findings.
DORA Art. 28(8) / RTS 2024/1773 — Exit-Strategien
Für kritische ICT-Auslagerungen führt Avalon einen strukturierten Exit-Plan mit Transition-Timeline, Trigger-Katalog, Datenrückgabe/-löschung und Alternativlösung — manuell vollständig bedienbar; zusätzlich beschleunigt die KI-gestützte Vorbefüllung die Erstellung (siehe KI-Block).
MaRisk AT 9 / AT 4.4.2
Die Quick-Check-Logik bildet die MaRisk-AT-9.2-Wesentlichkeitsprüfung ab (Typ A vs. B), berücksichtigt §25b KWG und MaRisk AT 9.6 (Anzeigewesen) und reiht TPRM in die konsolidierte AT-4.4.2-Steuerung Ihrer bestehenden Prozess- und Risikolandschaft ein.
EBA GL/2019/02 · BaFin MaGo §12 · DSGVO Art. 28
Laufendes Monitoring und Risikoanalyse bei Änderungen folgen EBA GL/2019/02; für Versicherer greifen die MaGo-§12-Überwachungspflichten; die Datenschutz-Votierung prüft Auftragsverarbeitung und Drittlandtransfer nach DSGVO Art. 28/44-49.

Avalon unterstützt die Umsetzung dieser Rahmenwerke. Die Konformität bleibt in der Verantwortung Ihrer Organisation.

KI-Plattform

KI als Co-Pilot bei Vertrag und Exit-Strategie — Kontrolle by Design

  • Human-in-the-Loop: jede KI-Ausgabe ist ein Vorschlag, der explizit übernommen, bearbeitet oder abgelehnt werden muss; ein Halluzinations-Guard verhindert erfundene Werte.
  • Produktiv: Exit-Strategie-Vorbefüllung, Vertragsklausel-Prüfung und Provider-Recherche sind im Einsatz – der Lebenszyklus ist zugleich jederzeit vollständig manuell bedienbar.
  • Audit-Trail & klare Grenze: jeder KI-Lauf landet im Audit-Trail; plattformweit setzt die KI finale Entscheidungen, Workflow-Status und Klassifizierungen nie selbst — technisch erzwungen.
Wie KI mit Kontrolle bei Avalon funktioniert

Häufige Fragen zum TPRM-Modul

Welche DORA-Anforderungen deckt das TPRM-Modul ab?
Insbesondere DORA Art. 28 (Vertragsmanagement), Risikobewertung von Auslagerungen und das Register kritischer Drittparteien-Verträge.
Wie wird die Kritikalität von Dienstleistern bewertet?
Über mehrdimensionale Bewertungslogik – Substituierbarkeit, Datenzugriff, Konzentrationsrisiko – mit transparentem Score und Begründung pro Dimension.
Können Verträge in Avalon hinterlegt werden?
Ja, inkl. Metadaten, Laufzeiten, kritischen Klauseln und Verknüpfung zu betroffenen Prozessen und Assets. Erinnerungen für Reviews sind automatisiert.
Wie funktioniert Monitoring nach Vertragsabschluss?
Über regelmäßige Reviews, KPI-Tracking und Eventualfall-Workflows – alles in der gleichen Plattform wie Risiken, Compliance und ISMS.
Module

Welches Modul passt zu Ihrem nächsten Schritt?

Wir zeigen Ihnen Avalon entlang Ihrer aktuellen Fragestellung – konkret, in Ihrem Kontext, ohne Standard-Sales-Demo.

  • On-Premise
  • Human-in-the-Loop
  • EU-AI-Act-konform by Design
Kostenlosen Demo-Termin vereinbarenAngebot anfragen

On-Premise · Ihre Daten verlassen das Haus nicht