Mit dem Digital Operational Resilience Act (DORA) hat die Europäische Union eine wegweisende Verordnung eingeführt, die darauf abzielt, die digitale Widerstandsfähigkeit im Finanzsektor EU-weit zu standardisieren und zu stärken. Ab dem 17. Mai 2025 müssen betroffene Unternehmen den neuen Anforderungen gerecht werden. Die DORA soll den Herausforderungen der fortschreitenden Digitalisierung und der zunehmenden Vernetzung in der Finanzbranche begegnen, die der Einsatz von Informations- und Kommunikationstechnologien (IKT) in den letzten Jahren massiv vorangetrieben hat. DORA zielt darauf ab, Risiken wie Cyberbedrohungen und Betriebsstörungen wirksam zu bekämpfen, indem Finanzunternehmen und spezialisierte IKT-Dienstleister verpflichtet werden, umfassende Maßnahmen zur Verbesserung ihrer digitalen Resilienz umzusetzen. Zu den relevanten Akteuren gehören Banken, Wertpapierfirmen, Zahlungsinstitute, Anbieter von Kryptowährungen sowie Emittenten wertreferenzierter Token. Diese Unternehmen müssen ihre internen Abläufe analysieren und an die neuen regulatorischen Vorgaben anpassen, was unter anderem die Einführung von Notfallplänen, robusten Sicherheitsmaßnahmen und regelmäßigen Risikoanalysen umfasst. Die Umsetzung der DORA erfordert erhebliche Investitionen in die IT-Infrastruktur und das Risikomanagement, bietet jedoch zugleich die Chance, die Sicherheit und Widerstandsfähigkeit des Finanzsektors langfristig zu stärken. Zu einem guten IKT-Risikomanagement gehört auch, dass die Unternehmen ihre Verträge mit IKT-Drittdienstleistern so gestalten, dass den Risiken angemessen begegnet werden kann. Doch welche Folgen hat dies für zukünftige und bereits bestehende Verträge zwischen Finanzunternehmen und IKT-Drittdienstleistern?
Besserer Umgang mit dem IKT-Drittparteienrisiko durch vertragliche Mindestinhalte
Die DORA gibt Finanzunternehmen als Teil des IKT-Risikomanagementrahmens auf, das IKT-Drittparteienrisiko zu managen. Hierzu gehört, dass Finanzunternehmen, die vertragliche Vereinbarungen über die Nutzung von IKT-Dienstleistungen für die Ausübung ihrer Geschäftstätigkeit getroffen haben, jederzeit in vollem Umfang für die Einhaltung und Erfüllung aller Verpflichtungen nach der DORA und nach dem anwendbaren Finanzdienstleistungsrecht verantwortlich bleiben. Finanzunternehmen dürfen vertragliche Vereinbarungen nur mit IKT-Drittdienstleistern schließen, die angemessene Standards für Informationssicherheit einhalten. Hierzu sieht die Verordnung Anforderungen an die wesentlichen Vertragsbestimmungen, also bestimmte Mindestinhalte vor, die eine vertragliche Vereinbarung mit einem IKT-Dienstleister umfassen müssen. Nur um ein Beispiel zu nennen sei hier die Pflicht genannt, eine klare und vollständige Beschreibung aller Funktionen und IKT-Dienstleistungen, die der IKT-Drittdienstleister bereitzustellen hat vorzunehmen, wobei anzugeben ist, ob die Vergabe von Unteraufträgen für IKT-Dienstleistungen, die kritische oder wichtige Funktionen oder wesentliche Teile davon unterstützen, zulässig ist. Soweit dies der Fall ist kommt die Pflicht zur Angabe hinzu, welche Bedingungen für diese Unterauftragsvergabe gelten. Die DORA kodifiziert an dieser Stelle also noch einmal die ohnehin für IT-Verträge wesentliche Bedeutung einer vollständigen und treffenden Leistungsbeschreibung. Neben vielen der für IT-Verträge typischen Anforderungen muss beispielsweise auch eine Verpflichtung des IKT-Drittdienstleisters vereinbart werden, vollumfänglich mit den für das Finanzunternehmen zuständigen Behörden und Abwicklungsbehörden zusammenzuarbeiten.
Erweiterter Anwendungsbereich der DORA und seine Auswirkungen auf Vertragsgestaltungen
Eine wichtige Neuerung der DORA, die über die bisherigen von der BaFin in ihrem Rundschreiben aufgestellten Anforderungen hinausgeht, ist zum einen, dass der Anwendungsbereich der DORA weiter gefasst ist als die bisherige Regulierung. Während sich die in den bisherigen Rundschreiben geforderten Mindestinhalte an die Vertragsgestaltung primär auf Auslagerungsverhältnisse beziehen, erfasst die DORA in ihrem Anwendungsbereich alle Verträge mit IKT-Drittdienstleistern. Ein IKT-Drittdienstleister ist dabei ein Unternehmen, das IKT-Dienstleistungen bereitstellt. IKT-Dienstleistungen sind insoweit digitale Dienste und Datendienste, die über IKT-Systeme einem oder mehreren internen oder externen Nutzern dauerhaft bereitgestellt werden, einschließlich Hardware als Dienstleistung sowie Hardwaredienstleistungen, wozu auch technische Unterstützung durch den Hardwareanbieter mittels Software- oder Firmware-Aktualisierungen gehört, mit Ausnahme herkömmlicher analoger Telefondienste. Somit muss nicht zwingend ein Auslagerungsverhältnis vorliegen, um die Anforderungen der DORA an die Vertragsgestaltung auszulösen. Die DORA stellt ihre Anforderungen an die wesentlichen Vertragsbestimmungen grundsätzlich an alle Verträge mit IKT-Drittdienstleistern. Dennoch zieht sich der Verhältnismäßigkeitsgrundsatz durch die gesamte DORA, und es werden strengere Anforderungen an vertragliche Vereinbarungen über die Nutzung von IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen gestellt. Bei diesen muss sich das Finanzinstitut unter anderem das Recht zur fortlaufenden Überwachung der Leistungserbringung vertraglich einräumen lassen, was auch uneingeschränkte Zugangs-, Inspektions- und Auditrechte des Finanzunternehmens oder eines beauftragten Dritten sowie der zuständigen Behörde umfasst. Sofern eine kritische oder wichtige Funktion betroffen ist, kann daher eine entsprechende Vereinbarung notwendig sein. Dieses Beispiel zeigt, dass es nach Inkrafttreten der DORA auch für bestehende Verträge notwendig wird, diese auf ihre Vereinbarkeit mit den neuen Vorgaben hin zu untersuchen und gegebenenfalls nachzuverhandeln.
Rechtsanwalt Anton Schröder
Zuständiger Anwalt für Fragen zu DORA und IT-Recht in unserer Kanzlei ist Rechtsanwalt Anton Schröder.
Neueste Kommentare