+49 6430 9227117
Portal-LoginPortal
Ratgeber

DORA & NIS2: Was sie für die Hardware-Wartung bedeuten

DORA und NIS2 haben die Anforderungen an IT-Resilienz verschärft — und betreffen auch die Hardware-Wartung direkter, als viele denken. Dieser Leitfaden ordnet ein, was die Regelwerke für den Wartungsbetrieb bedeuten und wie man audit-tauglich aufgestellt ist.

Was DORA und NIS2 fordern (kurz)

DORA (Digital Operational Resilience Act) zielt auf den Finanzsektor und fordert nachweisbare operative Resilienz inklusive des IT-Drittparteienrisikos. NIS2 erweitert die Cybersicherheitspflichten auf viele weitere Sektoren (KRITIS und darüber hinaus). Beide verlangen dokumentierte Prozesse, definierte Reaktionszeiten und ein belegbares Management von Dienstleistern.

Für die Hardware bedeutet das: Wartung muss nachweisbar geregelt sein — mit Verträgen, SLAs und Eskalationswegen, die ein Auditor prüfen kann.

Warum Wartung ein Compliance-Thema ist

Ausfallende Hardware ohne gesicherte Wartung ist ein operatives Risiko — genau das, was DORA und NIS2 adressieren. Entscheidend ist nicht, ob der Hersteller oder ein Drittanbieter wartet, sondern dass die Wartung dokumentiert, mit definierten SLAs hinterlegt und nachweisbar ist.

Die Regelwerke fordern Risikomanagement und Nachweise, keinen bestimmten Vertragspartner.

Dokumentation & SLA-Nachweise

Auditoren wollen sehen: Welche Systeme sind unter Wartung? Welche Reaktions- und Wiederherstellungszeiten gelten? Wie ist die Ersatzteil-Versorgung gesichert? Wie laufen Eskalation und Incident-Dokumentation? Ein guter Wartungsvertrag liefert diese Nachweise standardmäßig mit.

Wichtig ist die lückenlose Abdeckung des kritischen Bestands — inklusive Hardware, die über EOSL hinaus betrieben wird.

Third-Party-Maintenance & Compliance

Third-Party-Maintenance ist compliance-konform, solange der Vertrag die geforderten Elemente abbildet: definierte SLAs, Original-Ersatzteile, dokumentierte Prozesse und auf Wunsch Chain-of-Custody-Nachweise. Audit-taugliche TPM-Verträge werden von Prüfern in der Regel ohne Diskussion akzeptiert.

Der Vorteil: Auch EOSL-Hardware, für die der OEM keine Wartung mehr anbietet, lässt sich so regelkonform und nachweisbar im Betrieb halten.

Audit-Vorbereitung: die Kurz-Checkliste

Erstens: Bestandsliste der kritischen Systeme mit Wartungsstatus. Zweitens: Verträge mit definierten SLAs griffbereit. Drittens: Nachweis der Ersatzteil-Versorgung. Viertens: dokumentierte Eskalations- und Incident-Prozesse. Fünftens: Abdeckungsnachweis auch für EOSL-Systeme.

Wer diese fünf Punkte sauber dokumentiert hat, geht entspannt ins Audit.

Häufige Fragen

Ist Third-Party-Maintenance DORA-/NIS2-konform?
Ja. Beide Regelwerke fordern dokumentierte Wartung mit definierten SLAs und Drittparteien-Risikomanagement — keinen OEM-Vertrag. Audit-taugliche TPM-Verträge erfüllen diese Anforderungen.
Welche Nachweise braucht das Audit?
Bestandsliste mit Wartungsstatus, Verträge mit SLAs, Nachweis der Ersatzteil-Versorgung, dokumentierte Eskalations- und Incident-Prozesse — und Abdeckung auch der EOSL-Systeme.
Gilt das auch für Hardware nach EOSL?
Gerade dann. EOSL-Hardware ohne gesicherte Wartung ist ein operatives Risiko. Ein dokumentierter TPM-Vertrag schließt diese Lücke regelkonform.
Was ist mit BAIT, MaRisk, ISO 27001 und TISAX?
Dieselbe Logik: Diese Frameworks fordern dokumentierte, SLA-gestützte Wartung. TechCare-Verträge sind audit-tauglich aufgebaut und decken diese Anforderungen ab.

Passende nächste Schritte

Compliance-Anforderungen besprechen

Schick uns deine Bestandsliste oder dein OEM-Angebot — wir liefern ein verbindliches Festpreis-Angebot mit klarem Vergleich. Unverbindlich, kein Vertriebsdruck.

Compliance-Anforderungen besprechen OEM vs. TPM im Detail
Verwandte Themen
Vendor-Detail
Hersteller-Matrix
28 Hersteller mit eigenen Detail-Pages — finden Sie Ihre konkreten Produktlinien und SLA-Optionen.
Hersteller öffnen →
Spezialfall
Wartungsverlängerungen
Hardware nach Werksgarantie weiterbetreiben — 30–70 % günstiger als OEM-Verlängerung.
Detail ansehen →
Praxis
Echte Referenzen
Drei Templates aus DACH 2024–25 — wie die Migration in Realität lief.
Cases ansehen →