DORA Art. 28: Infrastruktur-Risiko Ihrer IKT-Drittanbieter — sichtbar in 90 Sekunden.
DORA Art. 28 verpflichtet Finanzunternehmen, alle IKT-Drittanbieter auf Infrastruktur-Risiken zu bewerten und die Ergebnisse aufsichtsfähig zu dokumentieren. CERTavia liefert den kryptografisch verifizierbaren Nachweis — ohne dass der Vendor mitwirken muss.
Vier Pflichten. Eine technische Antwort.
Art. 28 DORA ist kein allgemeiner Hinweis auf Sorgfaltspflichten — er definiert konkrete Anforderungen an die Bewertung und Dokumentation von IKT-Drittanbieterrisiken, die gegenüber Aufsichtsbehörden nachweisbar erfüllt sein müssen.
Erfassung aller IKT-Drittanbieter
Finanzunternehmen müssen ein vollständiges Register ihrer IKT-Drittanbieter führen — einschließlich Cloud-Dienste, Softwareanbieter und kritische Infrastrukturpartner. Jeder Anbieter in der Lieferkette ist relevant.
Risikobewertung der Infrastruktur
Für jeden IKT-Drittanbieter ist eine Bewertung der Infrastruktur-Sicherheit erforderlich — nicht nur auf Basis von Selbstauskünften oder Zertifikaten, sondern durch nachvollziehbare technische Prüfung.
Dokumentation für Aufsichtsbehörden
Die Ergebnisse der Risikobewertung müssen in einer Form vorliegen, die gegenüber Aufsichtsbehörden (BaFin, EBA) präsentierbar ist. Generische Fragebögen oder nicht verifizierbare Aussagen des Vendors reichen nicht aus.
Jährliche Überprüfung
Art. 28 DORA verlangt eine regelmäßige, mindestens jährliche Wiederholung der Drittanbieter-Bewertung sowie eine anlassbezogene Prüfung nach sicherheitsrelevanten Ereignissen beim Vendor.
Ohne Vendor-Zustimmung — einseitige Due Diligence
CERTavia analysiert ausschließlich öffentlich zugängliche Infrastruktur-Parameter. Keine Zugangsdaten, keine Kooperation des Vendors, keine Abhängigkeit vom Wohlwollen des Drittanbieters. Sie behalten die Kontrolle über Ihre Bewertung.
Was CERTavia prüft
Der SOVP-Scan wertet öffentliche Infrastruktur-Parameter aus: DNS-Konfiguration und DNSSEC-Signaturen, TLS-Zertifikatskette und Ablaufdatum, CAA-Records und Zertifizierungsstellen-Verankerung, HTTP-Sicherheitsheader (HSTS, CSP, X-Frame-Options) sowie weitere öffentlich zugängliche Signale der Infrastruktur-Hygiene. Kein Login, kein Scan des internen Netzwerks, keine Last auf den Systemen des Vendors.
Was Sie erhalten
Nach dem Scan erhalten Sie einen CES-Score (Composite Evidence Score) mit einem klaren CERTIFIED oder FAILED-Verdict, einen vollständigen PDF-Report mit Einzelbewertung aller geprüften Parameter, eine Sovereign Vault URL — kryptografisch signiert und unabhängig verifizierbar — sowie einen unveränderlichen Zeitstempel, der den Infrastruktur-Zustand zum Prüfzeitpunkt belegt.
Drei DORA-Art.-28-Szenarien, eine Lösung
Ob routinemäßige Jahresprüfung, Vendor-Onboarding oder reaktive Kontrolle nach einem Vorfall — CERTavia liefert denselben kryptografisch verifizierbaren Nachweis.
Jährliche Drittanbieter-Bewertung
Art. 28 DORA schreibt die regelmäßige Überprüfung aller IKT-Drittanbieter vor. CERTavia ermöglicht die skalierbare Jahresprüfung Ihres gesamten Vendor-Portfolios — ohne Fragebogen-Aufwand auf Vendor-Seite, ohne Abstimmungsschleifen, mit sofort auditfähigem Ergebnis für jede Domain in Ihrer Lieferkette.
Onboarding neuer IKT-Lieferanten
Bevor ein neuer IKT-Drittanbieter in Ihre Lieferkette aufgenommen wird, verlangt DORA eine Risikobewertung. Mit CERTavia erhalten Sie in 90 Sekunden ein objektives Infrastruktur-Bild des potenziellen Vendors — unabhängig von Selbstauskünften oder vorgelegten Zertifikaten, die den tatsächlichen Infrastruktur-Zustand nicht abbilden.
Reaktive Prüfung nach Sicherheitsvorfall
Wird ein IKT-Drittanbieter Opfer eines Cyberangriffs oder Datenlecks, sind Finanzunternehmen nach DORA verpflichtet, die eigene Risikoposition neu zu bewerten. CERTavia liefert innerhalb von Minuten eine aktuelle, kryptografisch gesicherte Bestandsaufnahme der Vendor-Infrastruktur — als Grundlage für interne Meldeprozesse und aufsichtliche Kommunikation.
Fragen zum DORA-Drittanbieter-Nachweis
Darf ich die Infrastruktur eines Drittanbieters ohne dessen Wissen scannen?
Ja. CERTavia analysiert ausschließlich öffentlich zugängliche Infrastruktur-Parameter: DNS-Konfiguration, TLS-Zertifikate, DNSSEC-Signaturen und öffentliche HTTP-Header. Das ist rechtlich vergleichbar mit einem Traceroute oder einem SSL-Check — es werden keine Zugangsdaten benötigt, kein spezieller Zugriff angefragt und kein System des Vendors belastet. Der Vendor wird weder kontaktiert noch benachrichtigt.
Ist der CERTavia-Nachweis für DORA-Aufsichtsbehörden verwertbar?
Der Sovereign Vault liefert einen kryptografisch signierten, unabhängig verifizierbaren Beleg des Infrastruktur-Zustands zum Scan-Zeitpunkt. CERTavia ist ein technisches Evidenz-Werkzeug — kein regulatorisches Gutachten. Compliance-Teams sollten den Nachweis mit ihrer internen Risikobewertung kombinieren und im Rahmen ihres DORA-Berichtswesens einsetzen.
Wie unterscheidet sich Vendor-Scan von einem regulären Scan?
Die zugrundeliegende SOVP-Technologie ist identisch. Der Unterschied liegt im Auftraggeber: Beim Vendor-Scan beauftragt das Finanzinstitut den Scan für eine fremde Domain und erhält Bericht sowie Sovereign Vault URL — der Vendor wird nicht in den Prozess einbezogen und erhält keine Benachrichtigung. Beim regulären Scan beauftragt der Domaininhaber die Prüfung seiner eigenen Infrastruktur.
DORA Art. 28 — Drittanbieter-Evidenz auf Knopfdruck.
Beauftragen Sie den Vendor-Scan und erhalten Sie innerhalb von 90 Sekunden einen kryptografisch signierten Infrastruktur-Nachweis für Ihren IKT-Drittanbieter.
Diese Seite dient der technischen Orientierung und stellt keine Rechtsberatung dar. Die Einschätzung konkreter regulatorischer Pflichten im Einzelfall obliegt qualifizierten Rechts- und Compliance-Beratern. CERTavia liefert technische Infrastruktur-Validierung auf Basis des Sovereign Validation Protocol (SOVP, Patent Pending Nr. 64/005,737).