DORA für IKT-Dienstleister

‍Was ist DORA und wen betrifft sie?

DORA ist eine EU-Verordnung, die darauf abzielt, die digitale Widerstandsfähigkeit des Finanzsektors zu stärken. Ziel ist es, Risiken im Zusammenhang mit Cyberangriffen, Systemausfällen und anderen IT-Vorfällen zu minimieren. Neben Finanzunternehmen selbst erfasst DORA auch alle IT-Dienstleister, die für Unternehmen des Finanzsektors digitale Dienste oder Datendienste erbringen („IKT-Drittdienstleister“). Diese müssen gewisse Anforderungen erfüllen, was das Finanzunternehmen sicherstellen muss.

Die DORA unterscheidet dabei zwischen „normalen“ IKT-Drittdienstleistern und solchen, die „kritische und wichtige Funktionen“ für das Finanzunternehmen bereitstellen.

Dies sind laut der Verordnung solche Funktionen, deren Ausfall die finanzielle Leistungsfähigkeit eines Finanzunternehmens oder die Solidität oder Fortführung seiner Geschäftstätigkeiten und Dienstleistungen erheblich beeinträchtigen würde oder deren unterbrochene, fehlerhafte oder unterbliebene Leistung die fortdauernde Einhaltung der Zulassungsbedingungen und -verpflichtungen eines Finanzunternehmens oder seiner sonstigen Verpflichtungen nach dem anwendbaren Finanzdienstleistungsrecht erheblich beeinträchtigen würde.

Für kritische IKT-Drittdienstleister gelten deutlich höhere Anforderungen aus der DORA.

TIPP: Viele Kunden versuchen es sich einfach zu machen, und legen Anforderungen vor, die sowohl auf normale, als auch auf kritische IKT-Drittdienstleister passen. Für normale Dienstleister führt dies aber zu Rechtsunsicherheit und ggf. zu überbordenden Verpflichtungen. Die DORA verpflichtet das Finanzunternehmen jedoch, für jeden IKT-Drittdienstleister vorab eine individuelle Einordnung vorzunehmen und diesen entsprechend einzustufen. Fordern Sie deshalb im Zweifel den Kunden vorab dazu auf, eine solche konkrete Einordnung vorzunehmen, damit die Anforderungen an Sie auch klar werden.

‍

Welche Anforderungen ergeben sich für Sie als IT-Dienstleister?

Finanzunternehmen müssen sicherstellen, dass ihre Verträge mit DORA-relevanten Dienstleistern bestimmte Regelungen enthalten. Diese ergeben sich insbesondere aus Artikel 30 DORA und umfassen grundsätzlich Informationspflichten sowie Verpflichtungen zu Unterstützungsleistungen und Kooperation mit Behörden, Teilnahme an Schulungen des Kunden sowie Zugangsrechte und Kündigungsregelungen.

Kritische IKT Dienstleister müssen sich darüber hinaus verpflichten, Notfallpläne und ein Business Continuity Management zu implementieren, den Kunden und zuständigen Behörden Auditrechte sowie Rechte zur Durchführung von Penetration Tests zu gewähren.

TIPP: Wenn Kunden mit Vorschlägen zur Vertragsanpassung auf Sie zukommen, so sind diese meist sehr umfangreich und gehen oft sogar noch über die Anforderungen der DORA hinaus. Häufig wird z.B. versucht, auf diesem Wege zugleich auch Verpflichtungen zu ESG etc. zu erwirken. Hierdurch entstehen Ihnen umfangreiche Prüfungsaufwände und Kosten sowie meist aufwändige Vertragsverhandlungen für jeden einzelnen Kunden. Versuchen Sie deshalb, das Thema selbst in die Hand zu nehmen, und Ihre Verträge und Prozesse selbst so schlank wie möglich DORA-konform zu machen.

Hierzu bietet es sich an, ein DORA-Addendum zu erstellen, das an vielen Stellen auf bereits vorhandene Regelungen verweisen kann, um Anforderungen der DORA zu erfüllen:

• Leistungsbeschreibungen (Art 30 Abs. 2 lit a. DORA)
• Service Level Agreements (Art 30 Abs. 2 lit e. DORA)
• Technische und organisatorische Maßnahmen (Art 30 Abs. 2 lit c. DORA)
• etc.

Zusätzlich zu den vertraglichen Regelungen müssen Sie ggf. Ihre Prozesse anpassen, auch diese sollte geprüft und dann so schlank wie möglich jedoch so umfangreich wie nötig umgesetzt werden.

Für kritische IKT Dienstleister bietet es sich an, falls noch nicht vorhanden, eine Zertifizierung für ein ISMS, z.B. die ISO27001 umzusetzen, die dann bereits einen wichtigen Baustein für die Erfüllung der DORA-Anforderungen darstellt.

Zudem sollte versucht werden, Audits auf ein Mindestmaß zu reduzieren und möglichst mit weiteren Audits (z.B. DSGVO) zu bündeln, um auch hier die Aufwände zu minimieren.  

‍

Fazit

DORA bringt neue Anforderungen mit sich, die IT-Dienstleister mit Kunden aus der Finanzbranche nicht ignorieren können. Stichtag für das Inkrafttreten ist der 17.01.2025. Auch wenn Sie das Thema als (nicht-kritischer) Dienstleister bis jetzt noch nicht ernsthaft angegangen sind, sollten Sie dies selbst in die Hand nehmen, um wirtschaftlich möglichst effizient zu agieren und gleichzeitig als seriöser Partner im Finanzsektor aufzutreten. Auch wenn dies bisher noch nicht passiert ist, werden Ihre Kunden früher oder später mit den Anforderungen der DORA auf Sie zukommen, die sich im Laufe der Zeit auch weiter präzisieren werden, so dass dieses Thema stets aktuell bleiben wird.