DORA-Anforderungen für IKT-Dienstleistungsverträge
DORA-Anforderungen für IKT-Dienstleistungsverträge
Der Digital Operational Resilience Act (DORA) tritt am 17. Januar 2025 in Kraft und bringt erhebliche rechtliche Implikationen für Finanzinstitute, aber auch für deren IT-Dienstleister. DORA enthält konkrete inhaltliche Anforderungen an Verträge zwischen Finanzinstituten und IKT-Drittanbietern. Teilweise werden diese durch delegierte Rechtsakte konkretisiert.
Der Begriff der IKT-Dienstleistungen ist dabei weit gefasst. Erfasst werden dabei u.a. Cloud-Computing-Dienste, Datenanalysedienste und Rechenzentrumsdienstleistungen oder die Bereitstellung von Hardware, einschließlich der Aktualisierung von Soft- oder Firmware. Der weite Anwendungsbereich und der Umstand, dass inzwischen nahezu alle Dienstleistungen digital unterstützt erbracht werden, führt allerdings bei vielen Dienstleistungen zur Frage, ob sie unter die Regelungen von DORA fallen sollen. Dies ist im Einzelfall zu prüfen.
Art. 30 DORA formuliert detaillierte Anforderungen an Verträge für IKT-Dienstleistungen. Bestehende Verträge müssen überprüft und gegebenenfalls angepasst werden, um den neuen Anforderungen von DORA zu entsprechen. Dies betrifft insbesondere Klauseln zur Risikobewertung und -minderung. Dabei nimmt DORA nicht nur Finanzinstitute, sondern auch ihre so genannten IKT-Drittdienstleister unmittelbar in die Pflicht.
Zunächst legt DORA fest, dass Verträge über IKT-Dienstleistungen schriftlich geschlossen werden müssen. Dies bedeutet, dass der Vertrag in einem Dokument in Papierform oder in einem anderen herunterladbaren, dauerhaften und zugänglichen Format vorliegen muss. Eine eigenhändige Unterschrift der Parteien dürfte damit nicht erforderlich sein.
Inhaltlich müssen Verträge über IKT-Dienstleistungen spezifische Klauseln enthalten, die die Resilienz der IKT-Dienstleistungen sicherstellen. Die Funktionen und IKT-Dienstleistungen müssen klar und vollständig aus dem Vertrag hervorgehen. Für die Dienstleistungsgüte sollten konkrete, messbare Service Level vereinbart werden. Um dem Resilienzgedanken Rechnung zu tragen, müssen Vereinbarungen zur Datensicherheit und zum Datenschutz getroffen werden. Die Anforderungen der DSGVO bestehen neben DORA fort. Die notwendigen Vertragsinhalte umfassen aber auch Regelungen dazu, wie mit Sicherheitsvorfällen umgegangen werden soll und wie die IKT-Dienstleistungen durch den Auftraggeber sowie die zuständigen Aufsichtsbehörden überprüft werden können. Außerdem ist aufzunehmen, in welchen Regionen oder Ländern der IKT-Drittdienstleister seine Leistungen erbringt. Der Einsatz von Dienstleistern in Drittländern (d.h. außerhalb des EWR) wird durch DORA stark eingeschränkt. Schließlich sind Kündigungsrechte zu vereinbaren, die „den Erwartungen der zuständigen Behörden und der Abwicklungsbehörden“ besprechen. Diese Erwartungen wurden allerdings von den Behörden bisher nicht veröffentlicht.
Für Verträge, die sogenannte kritische oder wichtige Funktionen unterstützen, gelten ergänzende Anforderungen. Diese Verträge müssen detaillierte Bestimmungen zur Sicherstellung der kontinuierlichen Verfügbarkeit und Integrität der Dienstleistungen enthalten. So ist der IKT-Drittdienstleister beispielsweise verpflichtet, eigene Notfallpläne zu implementieren und an den bedrohungsorientierten Penetrationstests (TLPT – Threat-Led Penetration Testing) ihrer Auftraggeber teilzunehmen.
Der IKT-Drittdienstleister ist ferner verpflichtet, die an ihn gestellten Anforderungen an eigene Subunternehmer weiterzugeben und die Erfüllung dieser Pflicht gegenüber dem Finanzunternehmen nachzuweisen. Verträge über IKT-Dienstleistungen müssen außerdem Mechanismen zur regelmäßigen Berichterstattung und Transparenz über die erbrachten Dienstleistungen und deren Resilienz enthalten.
Obwohl DORA ab dem 17. Januar 2025 Anwendung findet, liegen noch nicht alle Vorschriften, die gelten sollen, in den finalen Fassungen vor. Die bisherigen Entwürfe liefern allerdings eine gute Orientierung über die Erwartungen der Aufsichtsbehörden an Finanzunternehmen und IKT-Dienstleister.
Auf Basis der Aufsichtsmitteilungen der BaFin haben wir eine Checkliste entwickelt, anhand derer wir bestehende Verträge über IKT-Dienstleistungen auf DORA-Konformität überprüfen.
Gerne erstellen wir einen (standardisierten) Nachtrag mit den notwendigen Inhalten zur DORA-Compliance. Auf Wunsch passen wir Ihre IKT-Verträge auch individuell unter Berücksichtigung von
- DORA-Compliance,
- AGB-Konformität,
- sowie aktuellen Standards für IT-Verträge