DORA, SOC 2 & ISAE 3402: Compliance für Schweizer IT-Provider
Die regulatorischen Anforderungen an Schweizer Unternehmen und ihre IT-Dienstleister steigen rasant. Seit Januar 2025 ist DORA in Kraft, SOC 2 und ISAE 3402 werden zunehmend zum Standard. Im UMB IT Expert Talk erklären Compliance-Expertinnen von UMB und Prüfer von Mazars, warum Compliance kein Kostenpunkt ist, sondern ein Wettbewerbsvorteil – und wo Unternehmen die grössten Stolperfallen vermeiden können.
Das ist eine automatische Transkription unseres Podcasts. Sie finden ganz unten den Link zum Podcast.
DORA, SOC 2, ISAE 3402: Drei Begriffe, ein Ziel
Wer im Schweizer Finanzsektor, im Gesundheitswesen oder in anderen regulierten Branchen tätig ist, kommt an diesen drei Begriffen nicht mehr vorbei.
DORA (Digital Operational Resilience Act) ist eine europäische Verordnung, die seit Januar 2025 gilt. Sie reguliert IKT-Dienstleister hinsichtlich Drittparteienrisiken und verlangt ein systematisches Management der gesamten Lieferkette. Anders als die bisherigen Schweizer FINMA-Vorgaben, die sich auf wesentliche Auslagerungen beschränken, umfasst DORA explizit auch Subdienstleister und Viertparteien.
SOC 2 (Service Organization Controls 2) prüft, wie Unternehmen mit Risiken umgehen. Der Standard folgt den Trusted Service Criteria und fokussiert auf IT-Risiken, Verfügbarkeit, Vertraulichkeit und Datenintegrität. SOC 2 ist besonders in sensiblen Branchen relevant, die ein nachweisbar wirksames Risikomanagement voraussetzen.
ISAE 3402 ist ein internationaler Prüfstandard für Dienstleister, die Services für andere erbringen. Der resultierende Prüfbericht beantwortet die zentrale Frage: Ist das interne Kontrollsystem des Providers solide aufgebaut und funktioniert es auch im Alltag? Ein ISAE-3402-Type-II-Bericht deckt dabei einen längeren Prüfzeitraum ab und zeigt, dass Kontrollen nicht nur definiert, sondern auch wirksam umgesetzt werden.
Während eine ISO-27001-Zertifizierung nachweist, dass ein Unternehmen einen Plan hat, prüfen SOC 2 und ISAE 3402, ob dieser Plan tatsächlich funktioniert. Diese Wirksamkeitsprüfung macht den entscheidenden Unterschied.
Warum DORA auch Schweizer IT-Provider betrifft
Viele Schweizer Unternehmen gehen davon aus, dass DORA als EU-Verordnung für sie nicht relevant ist. Das ist ein Trugschluss. Sobald ein IT-Provider Kunden bedient, die sich DORA unterstellen müssen – etwa Banken oder Versicherungen mit EU-Geschäft – wird er Teil der regulierten Lieferkette.
In der Praxis bedeutet das: Vertragliche Zusicherungen allein reichen vielen Kunden nicht mehr aus. Sie verlangen eine unabhängige Auditierung, die standardisiert nachweist, dass der Provider die Anforderungen erfüllt. Für IT-Dienstleister bringt das einen klaren Vorteil: Statt auf individuelle Kundenanfragen einzeln zu reagieren, schafft eine einheitliche Auditierung einen Standard, der für alle Kunden gleichermassen gilt.
Die Zahlen unterstreichen die Dringlichkeit: Laut FINMA-Reporting sind rund 47 Prozent aller gemeldeten Incidents auf Schwächen bei Drittparteien zurückzuführen. Genau dieses Risiko adressiert DORA – und genau deshalb schauen Auditoren zunehmend genau hin, wie IT-Provider ihre Lieferkette managen.
Was Compliance im Alltag wirklich bedeutet
Damit ein Audit für Kunden Mehrwert hat, reicht es nicht, Prozesse zu dokumentieren. Sie müssen im Alltag gelebt und nachweisbar umgesetzt werden. Das umfasst klare Verantwortlichkeiten, durchgängige Dokumentation und Kontrollen, die regelmässig durchgeführt und überprüft werden.
Auditoren prüfen nicht nur, ob Prozesse existieren, sondern ob sie über einen längeren Zeitraum stabil funktionieren – anhand von Logs, Stichproben und Nachweisen. Unternehmen, die Compliance als einmaliges Projekt angehen, unterschätzen diesen Aufwand systematisch. Wer hingegen Compliance als kontinuierlichen Prozess versteht, geht deutlich entspannter in ein Audit: Man zeigt einfach, wie man sowieso schon arbeitet.
Der kulturelle Aspekt ist dabei entscheidend. Compliance beginnt bei der Unternehmenskultur. Selbst in regulatorisch unterstellten Branchen ist eine gelebte Compliance-Kultur nicht selbstverständlich. Unternehmen, die Compliance strategisch als Wettbewerbsvorteil begreifen und nicht nur als Pflichtübung, unterscheiden sich fundamental von denen, die Checklisten abhaken.
Compliance ist kein Projekt mit Enddatum – es ist ein kontinuierlicher Prozess, der bei der Unternehmenskultur beginnt. Wer Compliance lebt statt nur abhakt, schafft Vertrauen, reduziert Risiken und gewinnt Zeit für das Wesentliche.
Selber aufbauen oder über einen zertifizierten Provider abdecken?
Unternehmen, die Compliance eigenständig aufbauen wollen, unterschätzen den Aufwand häufig. Es braucht nicht nur Technologie, sondern internes Know-how in IT-Security, Risk und Compliance, klar definierte Prozesse und Kontrollen sowie oft auch externe Beratung. Bis ein Unternehmen auditfähig ist, vergehen schnell mehrere Monate bis Jahre. Die Kosten können sich je nach Komplexität im fünf- bis sechsstelligen Bereich bewegen.
Wer mit einem zertifizierten IT-Provider arbeitet, bekommt viele dieser Bausteine als integrierte Leistung. Das spart nicht nur Aufbauzeit, sondern entlastet auch den eigenen Auditprozess erheblich: Standardisierte Prüfberichte nach ISAE 3402 oder SOC 2 geben dem Kunden das Vertrauen, dass die ausgelagerten Services unabhängig geprüft sind. In der Praxis bedeutet das eine Entlastung von 30 bis 50 Prozent bei eigenen Audits.
Wichtig dabei: Der Kunde gibt damit nicht die Verantwortung ab. Er bleibt für seine Gesamt-Compliance verantwortlich und muss verstehen, wie die ausgelagerten Leistungen eingebunden sind. Aber er muss das Fundament nicht selbst bauen, sondern kann auf etwas aufsetzen, das bereits geprüft und bewährt ist.
Die grössten Stolperfallen bei der Umsetzung
Die Herausforderungen beginnen bereits beim Verständnis. Die regulatorische Landschaft ist komplex: FINMA-Vorgaben, DORA, NIS 2, Cyber Resilience Act, Datenschutzgesetz – welche Regularien gelten, hängt von Branche, Grösse und Marktgebiet ab. Das Proportionalitätsprinzip bedeutet, dass eine Kleinstbank mit fünf Mitarbeitenden und eine Grossbank grundsätzlich dieselben Anforderungen erfüllen müssen – aber in unterschiedlicher Ausprägung.
Für Unternehmen mit EU-Berührungspunkten wird es zusätzlich komplex, weil lokale und übergeordnete Regularien zusammenspielen müssen. Die Frage, welche Prüfberichte welche Anforderungen abdecken und wie sie sich gegenseitig ergänzen, gleicht einem Puzzlespiel.
Auf operativer Ebene fehlen oft die internen Ressourcen, um Compliance-Prozesse aufzubauen und aufrechtzuerhalten. Besonders Unternehmen, die neu reguliert werden – etwa Vermögensverwalter nach der FINMA-Neuregulierung – stehen vor der Herausforderung, plötzlich Compliance-Strukturen schaffen zu müssen, für die es intern weder Erfahrung noch Kapazität gibt.
Compliance und Innovation: Kein Widerspruch
Für IT-Provider ist Innovation essenziell – ob AI, neue Software oder Cloud-Technologien. Compliance darf Innovation nicht blockieren, muss aber den Rahmen setzen, in dem Innovation verantwortungsvoll stattfindet. Das erfordert eine Compliance, die sich bewusst in einer positiven Grauzone bewegt: Risiken eingehen, die adäquat abgedeckt werden können, ohne rote Linien zu überschreiten.
Übersteuerung ist dabei die grössere Gefahr als eine angemessene Risikobereitschaft. Eine übersteuerte interne Compliance-Bürokratie bremst ein Unternehmen schneller aus als ein kontrolliertes Risiko. Der Schlüssel liegt im Risikomanagement: Risiken bewusst eingehen, transparent dokumentieren und eine gewisse Toleranz zulassen – solange die Kernkontrollen funktionieren.
Was auf Unternehmen zukommt: AI Governance und Cyber Resilience Act
In den nächsten zwei bis drei Jahren werden insbesondere zwei Themen die Compliance-Landschaft prägen.
AI Governance wird für Unternehmen, die mit KI arbeiten, zunehmend relevant. In der EU wird AI regulatorisch restriktiv behandelt. Die Schweiz verfolgt einen bewusst anderen Ansatz: Statt zu restriktiv zu regulieren, soll Innovation gefördert und der Standortvorteil genutzt werden. Unternehmen sollten dennoch frühzeitig ein AI-Governance-Framework aufbauen, da Anforderungen an Datenschutz und Datenverarbeitung durch AI-Adoption massiv steigen.
Der Cyber Resilience Act wird ab 2027 alle Unternehmen betreffen, die Produkte herstellen oder importieren, die sich mit einem Netzwerk oder dem Internet verbinden können. Für Schweizer Unternehmen mit EU-Geschäft wird das zu einer erheblichen Veränderung führen.
Übergeordnet gewinnt das Konzept der operationellen Resilienz an Bedeutung: die Fähigkeit, sich schnell von unerwarteten Vorfällen zu erholen und den Betrieb aufrechtzuerhalten. Das ist keine einmalige Massnahme, sondern eine Fähigkeit, die jedes Unternehmen kontinuierlich aufbauen und pflegen muss.
Drei Faktoren, die Compliance zum Wettbewerbsvorteil machen
Für IT-Provider, die Compliance konsequent leben, ergeben sich drei konkrete Vorteile.
Erstens der Marktzugang: Je mehr Zertifizierungen und Auditierungen ein Provider vorweisen kann, desto leichter gewinnt er Zugang zu grösseren und regulierten Kunden. In Ausschreibungen ist eine nachweisbare Compliance heute zunehmend ein Muss-Kriterium.
Zweitens die Effizienz: Einheitliche, auditierte Prozesse für wesentliche Geschäftsfelder machen den Betrieb schlanker. Statt auf individuelle Compliance-Anfragen einzeln zu reagieren, gibt es einen Standard, der für alle gilt.
Drittens die Kundenentlastung: Kunden, deren IT-Provider bereits auditiert ist, sparen signifikant bei eigenen Audits. Das macht die Zusammenarbeit einfacher und stärkt die Kundenbindung.
Den ganzen Podcast hören:UMB IT Expert Talk – Compliance im Fokus: DORA, SOC 2 & ISAE 3402
Mehr erfahren:Datensicherheit und Datenschutz bei UMB | UMB Cyber Security | Security Services
