DORA, KRITIS, NIS2 – Verantwortungen und Optimierungspotenziale aus Sicht eines Einkäufers

1. Aufgabe aus Sicht des Auftraggebers

Ausgangslage
Unternehmen stehen heute vor der Herausforderung, die regulatorischen Anforderungen des Digital Operational Resilience Act (DORA für Finanzdienstleister), die KRITIS-Vorgaben (für Betreiber kritischer Infrastrukturen) sowie die anstehenden NIS2-Umsetzung (für wesentliche und wichtige Einrichtungen) und bald gemäß Cyber Resilience Act (CRA) zu erfüllen.

Risiken bei fehlender Compliance
Als Auftraggeber müssen sie sicherstellen, dass ihre IKT-Dienstleistungen nicht nur wirtschaftlich, sondern auch regulatorisch belastbar sind. Mangelnde Compliance kann zu erheblichen Bußgeldern, Reputationsverlust und Betriebsunterbrechungen führen.

Ziel: Cybersicherheit & Resilienz
Ziel ist die Gewährleistung von Cybersicherheit und die Stärkung der Resilienz, d.h. Vorfälle möglichst zu vermeiden und im Störfall den Betrieb zu sichern oder schnell wiederherzustellen.
Die vertragliche Umsetzung der regulatorischen Vorschriften bzw. der gesetzlichen Pflichten gegenüber den Dienstleistern liegt in der Verantwortung des Einkauf.

2. Verantwortung Einkauf

Führende Rolle bei der Umsetzung
Der Einkauf übernimmt die Rolle des vertraglichen Entscheidungsträgers, der im Unternehmen die Fachbereiche sowie die IT-Profis auf der Auftraggeberseite und die externen IKT-Dienstleister auf der Auftragnehmerseite steuert, um den vertraglichen Rahmen zu schaffen, der präzise den geltenden Vorgaben entspricht.

Aufgabenumfang
Dem Einkauf liegen idealerweise alle relevanten Verträge vor – von Hardwarebeschaffung und -wartung über Implementierungs- und Betriebsverträge für Softwarelösungen bis hin zur Nutzung von SaaS-Plattformen und weiteren IKT-Services. Sämtliche dieser Verträge müssen einem systematischen Review unterzogen werden, bei dem die Inhalte anhand der aktuell geforderten Mindestanforderungen überprüft werden. Zudem gilt es, die regulatorischen Mindeststandards konsequent in die Beschaffung zu integrieren – beginnend bei Ausschreibungen bis hin zur Vertragsgestaltung. Dabei ist sicherzustellen, dass die zwingenden Vertragsbestandteile verbindlich verankert werden, darunter insbesondere:

• Service Level Agreements (SLA): klare Definition von Verfügbarkeit, Reaktions- und Wiederherstellungszeiten sowie Eskalationsmechanismen
  

• Technische und organisatorische Maßnahmen (TOMs): Regelungen zu Datenschutz, Informationssicherheit und Notfallmanagement
  

• Audit- und Prüfrechte: Einsichts-, Prüf- und Nachweispflichten gegenüber dem Dienstleister
  

• Sub-Outsourcing-Kontrolle: Zustimmungspflichten, Transparenzanforderungen und Informationsrechte bei Einsatz von Unterauftragnehmern
  

• Kündigungs- und Exit-Regelungen: klare Bestimmungen zu Laufzeiten, Kündigungsfristen, Exit-Szenarien und Datenrückführung
  

• Standort- und Datenlokalisierung: Festlegung, in welchen Regionen Daten gespeichert und verarbeitet werden dürfen
  

• Geheimhaltung und Vertraulichkeit: Schutz sensibler Unternehmens- und Kundendaten
  

• Haftungs- und Sanktionsregelungen: Vorgaben zu Vertragsstrafen, Schadensersatz und Haftungsobergrenzen
  

• Meldepflichten bei Sicherheitsvorfällen: verpflichtende und zeitnahe Information über Störungen, Datenpannen und Cyberangriffe
  

3. Kernaufgaben Einkauf

• Vollständigkeit sicherstellen: Relevante Kenntnisse aus regulatorischen Vorgaben und Gesetzen erfassen; ein Kataster anlegen und fortlaufend pflegen; bei Änderungen automatische Push-Informationen an die Nutzer bereitstellen
  

• Effiziente Bearbeitung der Verträge: Organisieren bzw. Erstellen von handlungssicheren Checklisten*, die eine Prüfung und Vervollständigung der jeweiligen Vertragskategorien sichert.
  *handlungssichere Checklisten: sicherstellen, dass das Einkaufsteam die jeweiligen Vertragskategorien vollständig und korrekt prüft und ergänzt, ein Gruppenzugriff möglich ist und Plausibilitätskontrollen implementiert sind
  

• Vertragsinventur: Vollständige Übersicht aller IKT-Verträge erstellen und in einem qualifizierten DMS ablegen.
  

• Compliance-Integration in die Vorvertragsphasen: Aufnahme (je nach Verpflichtungen für das Unternehmen) von DORA-, KRITIS- und NIS2- und weiteren Anforderungen in Ausschreibungen inklusive der Anforderungs-spezifikationen bzw. Lastenhefte und allgemeinen Einkaufsbedingungen bzw. zu verwendenden Vertragsklauseln.
  

• Koordination: Einholen fachlicher Bewertungen zu Kritikalität, SLAs, TOMs und benötigten Sicherheits- und Ausbildungszertifikaten aus den zuständigen Fach- und IT-Bereichen.
  

• Dokumentation: Pflege eines aktuellen IKT-Registers aller IKT Dienstleister mit SLA-, TOM- und Standortangaben usw.
  

4. Aufwand & Ressourcenbedarf - Beispiel 500 Verträge
Bei 500 aktiven IKT-Dienstleisterverträgen ergibt sich ein erheblicher organisatorischer Aufwand, vor allem bei

• Vorprüfen: ca. 1h bis 4h pro Vertrag, da der Einkauf oft Zusatzinformationen aus dem Unternehmen aufnehmen muss
  

• SLA- & TOM-Erfassung: Pro Vertrag durchschnittlich 1h bis 4h, da Abstimmung mit Fachbereichen und IT erforderlich
  

• Vervollständigung der Unterlagen: In einigen Fällen kann es auftreten, dass Unterschriften fehlen bzw. sogar ganze Dokumente. Hier muss dediziert nachgearbeitet werden.
  

• Zertifikatsprüfung: Jährliche Abfrage und Auswertung (ISO 27001, branchenspezifische Sicherheitsstandards für KRITIS-Betreiber etc.).
  

• Vertragsanpassungen: Bei 20–30 % der Fälle sind Nachverhandlungen mit IKT-Dienstleistern erforderlich. Besonders bei großen internationalen Anbietern (z. B. aus den USA, räumen keine Auditrechte ein) weichen die bestehenden Vertragsstandards deutlich von den geforderten Mindestanforderungen ab und erfordern zusätzliche Anpassungen bzw. die Übernahem der Risiken durch den Fachbereich.
  

• Dokumentation: Revisionssichere und für die Prüfung geeignete Ablage Erfahrungsgemäß kommt hier auf den Einkauf eine Mehrbelastung von Monaten bis zu mehreren Personenjahren zu.
  Klar wird: Ohne Struktur, Bündelung und Standardisierung entsteht eine kaum beherrschbare Arbeitslast. Die Aufgabe ist idealerweise als Projekt aufzusetzen.
  

5. Arbeitsteilung im Unternehmen
Eine klare Rollen- und Aufgabenverteilung ist entscheidend. Diese muss von der Unternehmensleitung präzisiert, implementiert und dokumentiert werden. Die Unternehmensleitung trägt die Gesamtverantwortung und hat für ausreichende Ressourcen und klare Governance-Strukturen zu sorgen.

• Unternehmensleitung / Management: Gesamtverantwortung, Ressourcenfreigabe, Governance-Vorgaben
  

• Einkauf: Vertragsinventur, Prozesskoordination, Integration regulatorischer Anforderungen in Beschaffung & Vertragsgestaltung
  

• Fachabteilungen: Bewertung der Kritikalität, Definition von SLAs und KPIs, fachliche Anforderungen, Budgetfreigaben
  

• IT-Sicherheit: Festlegung und Prüfung der TOMs, Zertifikatsprüfung, Sicherheitsfreigaben
  

• Datenschutz: Prüfung der Auftragsverarbeitungsverträge (AVV), Einhaltung DSGVO, Datenschutz-Folgenabschätzungen
  

• Risikomanagement / BCM: Gesamtbewertung der Dienstleisterrisiken, Szenariobetrachtungen, Business-Continuity-Anforderungen
  

• Rechtsabteilung / Compliance: Rechtliche Prüfung der Vertragsklauseln, Durchsetzbarkeit, regulatorische Konformität
  

• Interne Revision / Audit: Kontrolle der Prozesse, Wirksamkeitsprüfung, Reporting an Management/Aufsicht
  

6. Optimierungspotenziale & Best Practices

• Rahmen-Addendum mit Anlagen vorbereiten: Generische regulatorische Klauseln in einem zentralen Addendum, spezifische SLAs/TOMs/Kündigungsfristen als anpassbare Anlagen pro Vertrag
  

• Kategorisierung statt Einzeldokumentation: Ähnliche Leistungen bündeln und mit Standard-SLAs versehen
  

• ISO 27001/Zertifikate als Filter nutzen: Liefert ein Dienstleister ein Zertifikat nach ISO 27001 und weitere reduziert dies den Prüfaufwand und erhöht das Sicherheitsniveau
  

• Zentrales Vertragsregister aufbauen: Mit allen relevanten Compliance-Attributen (Kritikalität, SLA-Standards, Zertifikate, Standorte, Subunternehmer)
  

• Jährliche Compliance-Routine: Feste Abfragezyklen bei allen Dienstleistern zu Änderungen, Zertifikaten und Sicherheitsvorfällen
  

• Koordinierte Audits: Einkauf plant Audits gemeinsam mit IT-Security und Fachbereichen, um Doppelarbeit zu vermeiden
  

• Erweiterte Anforderungen aufnehmen: Aspekte zur Nachhaltigkeit einfordern, z. B. Rechenzentrum wird mit Ökostrom betrieben
  

• Standardisierte Vertragsbibliothek: Entwicklung einer unternehmensweiten Klauselbibliothek (z. B. zu SLA, TOMs, Sub-Outsourcing, Auditrechten). Dadurch sinkt der Verhandlungsaufwand und die Konsistenz über alle Verträge hinweg wird gesichert.
  

• Risikobasierte Priorisierung: Verträge nach Kritikalität (hoch/mittel/niedrig) und Dienstleistertyp priorisieren. Ressourcen gezielt dort einsetzen, wo regulatorisches Risiko und Geschäftsauswirkung am größten sind.
  

• Schulung & Awareness im Einkauf: Aufbau regulatorischer Grundkompetenz im Einkaufsteam (je nach Unternehmen DORA, NIS2, KRITIS, CRA) – z. B. durch interne Schulungen oder E-Learning.
  

7. Tipps
Zum Abschluss eine Auswahl kleiner, aber nützlicher Hinweise, die bei der Umsetzung der Projektarbeit geprüft, abgewogen und – bei Bedarf – ergänzt werden sollten (es gibt natürlich noch viele weitere):

• HRB-Nummer: Nutzen Sie bei Verträgen und der Dokumentation immer die HRB-Nummer. Das Risiko, bei einem Unternehmensverbund die falsche Gesellschaft zu adressieren, kann vermieden werden.
  

• Projektmodus: Setzen Sie die Aufgabe als Projekt auf mit Budget, Zeitplan, :Qualität und Ergebnisdefinition.
  

• Achtung bei Downloads von der Webseite des IKT-Dienstleisters: Dokumentieren Sie Downloads wesentlicher Dokumente wie AGBs oder ähnlicher Inhalte revisionssicher, indem Sie die jeweilige Webseite abspeichern (z. B. im Firefox problemlos möglich) – ähnlich wie es bei Abschlussarbeiten an Universitäten empfohlen wird.
  

• Professionelle Tools nutzen: Setzen Sie statt einer unübersichtlichen „Excel-Tapete“ auf eine geeignete Softwarelösung. Diese sollte Funktionen für Dokumenten-, Vertrags- und Aufgabenmanagement sowie für Prüfungen bereitstellen. Versuchen Sie nicht, mit ungeeignetem Werkzeug zu arbeiten – einen Nagel schlägt man schließlich auch nicht mit einer Zange in die Wand.
  

• Zertifikate richtig verwerten: Lassen Sie sich nicht nur z.B. ein ISO 27001-Zertifikat zuschicken und im Ordner ablegen. Prüfen Sie, auf welche Gesellschaft es genau ausgestellt ist, welchen Scope (Geltungsbereich) es abdeckt und ob es aktuell ist (Ablaufdatum, Überwachungsaudit). So vermeiden Sie, dass Sie ein Zertifikat im Vertrag stehen haben, dass nicht den relevanten Service oder Standort abdeckt.
  

• Es geht immer weiter!: Planen Sie frühzeitig im Hinblick auf die Umsetzung des Cyber Resilience Acts. Die vollständige Anwendung – also die verbindliche Durchsetzung der Cybersecurity-Anforderungen – startet am 11. Dezember 2027. Weitere regulatorische Vorgaben werden mit hoher Wahrscheinlichkeit folgen. Für viele Unternehmen empfiehlt es sich daher, historisch gewachsene Bearbeitungsroutinen durch einen zukunftsorientierten, integrierten Gesamtprozess zu ersetzen.
  

• Motivation: Last but not least: Kreative Einkäufer, die mit modernen Methoden wie Bonus-Malus-Regelungen, Should-Cost-Analysen, dem gezielten Einsatz von Digital Negotiation oder Predictive Analytics einen echten Mehrwert schaffen, sind oft wenig begeistert davon, alte Verträge aufzuarbeiten oder umfangreiche Checklisten akribisch zu pflegen. Sorgen Sie daher für Motivation – etwa durch klare Zielprämien, attraktive Anerkennungssysteme oder andere Anreize, die den Beitrag des Einkaufsteams sichtbar honorieren.
  

Fazit:
Die Umsetzung von DORA, KRITIS und NIS2 erfordert vom Einkauf eine zentrale Steuerungsrolle. Ohne zusätzliche personelle und organisatorische Ressourcen ist der hohe Prüf- und Anpassungsaufwand kaum zu bewältigen. Nur durch strukturierte Prozesse, klare Arbeitsteilung und standardisierte Vertragsbausteine lassen sich Compliance-Risiken beherrschen, Ressourcen gezielt einsetzen und die Resilienz des Unternehmens nachhaltig stärken.