Neue Pflichten für Finanzunternehmen und IKT-Dienstleister aus der „DORA“

19. März 2025 | Allgemein

Einführung und Überblick

Die EU-Verordnung Nr. 2022/2554, bekannt als DORA (Digital Operational Resilience Act), trat am 17. Januar 2025 in Kraft und zielt darauf ab, die Sicherheit und operationale Resilienz des Finanzsektors zu stärken. DORA stellt einheitliche und konsistente Anforderungen an das IKT-Risikomanagement, das Meldewesen für IKT-Vorfälle, das Testen der digitalen Resilienz und den Informationsaustausch. Besonders betroffen sind auch kleine und mittlere IT-Dienstleister, die direkt oder indirekt dem Finanzsektor zuliefern. Die Verordnung definiert klare Vorgaben für die Vertragsgestaltung zwischen Finanzunternehmen und IKT-Drittdienstleistern, einschließlich der Anforderungen an die Verfügbarkeit, Integrität und Vertraulichkeit von Daten. Zudem müssen IKT-Drittdienstleister bei IKT-Vorfällen Unterstützung leisten und mit den zuständigen Behörden kooperieren. Die Verordnung sieht ferner spezifische Regelungen für kritische IKT-Drittdienstleister vor, einschließlich Überwachungs- und Prüfrechten sowie Notfallplänen. Insgesamt greift DORA tief in die Vertragsfreiheit ein, um ein hohes Maß an Cybersicherheit und Resilienz im Finanzsektor zu gewährleisten. IT-Dienstleister sollten daher ihre Verträge entsprechend anpassen und die weitere Entwicklung der regulatorischen Standards im Auge behalten.

Nachstehend erstellen wir Ihnen eine Checkliste mit Empfehlungen für die Vertragsgestaltung (nicht abschließend).

Checkliste für IKT-Dienstleister mit Finanzunternehmen

  • Vertragsgestaltung
    • Erstellung eines schriftlichen, dauerhaft zugänglichen Dokuments, das die Rechte und Pflichten des Finanzunternehmens und des IKT-Drittdienstleisters eindeutig zuweist.
    • Dokumentation wesentlicher Änderungen im Vertragsinhalt in einem schriftlichen Dokument mit Datum und Unterschrift.
  • Beschreibung der IKT-Dienstleistungen
    • Klare und vollständige Beschreibung aller Funktionen und IKT-Dienstleistungen.
    • Angabe der Standorte, an denen die Dienstleistungen erbracht und Daten verarbeitet werden.
    • Integration von Vertragsklauseln zur Verfügbarkeit, Authentizität, Integrität und Vertraulichkeit in Bezug auf den Datenschutz.
    • Sicherstellung des Zugangs zu personenbezogenen und nicht personenbezogenen Daten bei Vertragsbeendigung.
    • Beschreibung der Dienstleistungsgüte, einschließlich Aktualisierungen und Überarbeitungen.
    • Unterstützung des Finanzunternehmens bei IKT-Vorfällen ohne zusätzliche Kosten.
    • Zusammenarbeit mit den zuständigen Behörden9
    • Festlegung von Kündigungsrechten und Mindestkündigungsfristen.
    • Teilnahme an Schulungen des Finanzunternehmens zur Sensibilisierung für IKT-Sicherheit.
  • Zusätzliche Anforderungen bei kritischen und wichtigen Dienstleistungen
    • Vollständige Beschreibungen der Dienstleistungsgüte mit präzisen quantitativen und qualitativen Leistungszielen.
    • Angabe von Kündigungsfristen und Berichtspflichten des IKT-Drittdienstleisters.
    • Implementierung und Testen von Notfallplänen sowie Maßnahmen für IKT-Sicherheit.
    • Mitwirkung bei Penetrationstests des Finanzunternehmens.
    • Fortlaufende Überwachung der Leistung des IKT-Drittdienstleisters und uneingeschränkte Zugangs-, Inspektions- und Auditrechte.

Unser Beratungsangebot als Kanzlei

Als spezialisierte Kanzlei im IT- und IT-Sicherheitsrecht können wir sowohl Finanzunternehmen als auch IT-Dienstleister bei der Umsetzung der Anforderungen der DORA-Verordnung (Digital Operational Resilience Act) umfassend unterstützen. Hier sind einige spezifische Bereiche unserer Tätigkeiten:

Unterstützung für Finanzunternehmen

  1. Vertragsgestaltung und -prüfung
    • Erstellung und Überprüfung von Verträgen: Ich kann sicherstellen, dass alle Verträge mit IT-Dienstleistern den Anforderungen der DORA entsprechen. Dies umfasst die Einhaltung der Mindeststandards und speziellen Anforderungen gemäß Art. 30 DORA1.
    • Vertragsklauseln: Beratung bei der Formulierung von Vertragsklauseln, die die Verfügbarkeit, Authentizität, Integrität und Vertraulichkeit von Daten sicherstellen2.
  2. Risikomanagement
    • IKT-Risikomanagement: Unterstützung bei der Implementierung eines robusten IKT-Risikomanagements, das den Anforderungen der DORA entspricht3.
    • Notfallpläne und Penetrationstests: Beratung bei der Erstellung und Durchführung von Notfallplänen und Penetrationstests (TLPT), um die digitale operationale Resilienz zu testen4.
  3. Compliance und Schulungen
    • Schulungsprogramme: Entwicklung und Durchführung von Schulungsprogrammen zur Sensibilisierung für IKT-Sicherheit und digitale operationale Resilienz5.
    • Compliance-Beratung: Laufende Beratung zur Einhaltung der DORA-Anforderungen und Unterstützung bei der Vorbereitung auf Audits und Inspektionen durch Aufsichtsbehörden6.

Unterstützung für IT-Dienstleister

  1. Vertragsgestaltung und -anpassung
    • Vertragszusätze: Erstellung von Vertragszusätzen, die die spezifischen Anforderungen der DORA umsetzen, insbesondere für kritische und wichtige IKT-Dienstleistungen7.
    • Dokumentation und Änderungen: Sicherstellung, dass alle wesentlichen Änderungen in den Verträgen schriftlich dokumentiert und von beiden Parteien unterzeichnet werden8.
  2. Leistungsüberwachung und Berichtspflichten
    • Überwachung und Audits: Unterstützung bei der Implementierung von Systemen zur fortlaufenden Überwachung der Leistung und bei der Vorbereitung auf Audits durch Finanzunternehmen und Aufsichtsbehörden6.
    • Berichtspflichten: Beratung bei der Erfüllung der Berichtspflichten gegenüber Finanzunternehmen, einschließlich der Meldung aller relevanten Entwicklungen9.
  3. Sicherheitsmanagement und Notfallpläne
    • IKT-Sicherheitsmaßnahmen: Unterstützung bei der Implementierung und Dokumentation von Maßnahmen, Tools und Richtlinien für die IKT-Sicherheit4.
    • Notfallpläne: Beratung bei der Erstellung und regelmäßigen Überprüfung von Notfallplänen, um sicherzustellen, dass diese den Anforderungen der DORA entsprechen4.

Durch unsere umfassende Unterstützung können sowohl Finanzunternehmen als auch IT-Dienstleister sicherstellen, dass sie den Anforderungen der DORA-Verordnung gerecht werden und ihre digitale operationale Resilienz stärken.

Ihr Ansprechpartner bei MKI Rechtsanwälte: RA Stephan F. Melchior