IT-Dienstleister: Achtung auf DORA

Mit der EU-Verordnung über die digitale operationale Resilienz im Finanzsektor (Digital Operation Resilience Act – DORA, Verordnung (EU) 2022/2554), in Kraft seit dem 17. Januar 2025, werden übergreifende, einheitliche und verbesserte Standards für das Risikomanagement und die Cybersicherheit von EU-Finanzunternehmen im Bereich der Informationstechnologie (IKT) geschaffen. Dora betrifft nicht nur Finanzunternehmen, sondern begründet auch für deren IT-Dienstleistungsunternehmen, abgestuft nach deren Bedeutung für den Vertragspartner, eine Reihe von wesentlichen Anpassungspflichten. Dazu zählt u.a. die spezifische Ergänzung bestehender IT-Dienstleisterverträge im Einklang mit Dora-Anforderungen, um Sanktionen und anderenfalls drohende vorzeitige Vertragskündigungen zu vermeiden. Sofern die Umsetzung noch nicht erfolgt ist, sollten betroffene IT-Dienstleister im eigenen Interesse Maßnahmen ergreifen, um die Vertragsbeziehung mit ihren Auftraggebern aus der Finanzindustrie „Dora-fest“ zu machen.

 

I. Anwendung auf IKT-Dienstleister

 

Gemäß Art. 2 Abs. 1 gilt Dora zunächst für ein breites Spektrum von innerhalb der EU-tätigen Finanzunternehmen. Neben Kreditinstituten und Versicherungen zählen dazu u.a. Zahlungsdienste, Wertpapierfirmen, Crypto-Dienstleister oder Dienstleister für die Bereitstellung von Finanzdaten.

 

Auch IKT-Drittdienstleister (vgl. Art. 2 Abs. 1 u) DORA) werden direkt oder indirekt vom Geltungsbereich der Verordnung erfasst. Nach den Definitionen in Art. 3 Nr. 19 und Nr. 21 DORA sind dies Dienstleister, welche ihre Dienste für ihre Nutzer für gewisse Dauer erbringen, wozu u.a. Outsourcing-Dienstleister, Cloud-Computing Dienstleister oder Anbieter von technischem Support für Software- oder Hardware-Anwendungen gehören. Umgekehrt gilt Dora z.B. nicht für Verkäufer von Software-Produkten, falls damit nicht weitere dauerhafte IT-Leistungen (Support, etc.) einhergehen. Dora differenziert weiter zwischen kritischen IKT-Drittdienstleistern (Art. 3 Nr. 23 DORA) und sonstigen IKT-Drittdienstleistern.

 

Die Einstufung von Dienstleistern als kritische IKT-Drittdienstleistern erfolgt durch die Europäischen Aufsichtsbehörden (ESA) und richtet sich danach, ob deren Dienste aus Sicht der Behörde systemische Auswirkungen auf Stabilität, Kontinuität oder Qualität der Leistungserbringung der Finanzunternehmen haben können (vgl. Art. 31 Abs. 1 Dora). Solche als kritisch eingestuften IKT-Drittdienstleister unterliegen einer direkten und umfangreichen Überwachung der zuständigen Behörden innerhalb der EU (vgl. Art. 31, 33 Dora). Diese und ebenso sonstige IKT-Dienstleister unterliegen gemäß DORA im Übrigen einer indirekten Überwachung und Risikobewertung durch ihre Vertragspartner aus der Finanzindustrie.

 

Zu beachten ist, dass auch IKT-Drittdienstleister mit Sitz außerhalb der EU (vgl. die Definition in Art. 3 Nr. 24 DORA) bei der Erbringung von IKT-Dienstleistungen für EU-Finanzunternehmen, auch im Rahmen bestehender Verträge, in gleicher Weise einer direkten Überwachung durch zuständige Behörden bzw. einer indirekten Überwachung und Risikobewertung durch ihre Vertragspartner unterliegen können.

 

II. Zentralbereiche der DORA-Verordnung

 

Inhaltlich verteilen sich die regulatorischen Anforderungen von Dora auf fünf Zentralbereiche. Zum einen auf ein verbessertes IKT-Risikomanagement mitsamt einer Reihe von Anforderungen und Maßnahmen für die verbesserte Governance, Kontrolle, und Organisation mitsamt interner Dokumentation und Überprüfung von IKT-Risiken (vgl. Art. 5 f. Dora).

 

Ein zusätzlicher zentraler Bereich der Dora-Verordnung besteht in harmonisierten Anforderungen für Tests der digitalen operationalen Resilienz von Finanzunternehmen (Art. 24 f. Dora). Dazu gehören angemessene Tests mitsamt Schwachstellenbewertungen, Netzwerksicherheitsbewertungen, Leistungstests oder Penetrationstests (Art. 25 Abs. 1 DORA) bis zu erweiterten Tests (Art. 26 DORA) anhand der TLPT (Thread-Led Penetration Testing)-Regeln.

 

Zentral für sämtliche IKT-Drittdienstleister sind neue DORA-Anforderungen zum Risikomanagement von Finanzunternehmen gegenüber ihren IKT-Drittdienstleistern (Art. 28 f. DORA). Finanzunternehmen müssen insoweit im Rahmen dieser Verpflichtungen u.a. ein konsolidiertes Informationsregister führen, in dem sämtliche vertraglichen Vereinbarungen mitsamt jeglicher Änderungen aufgeführt sind. Im Rahmen der notwendigen umfassenden Überwachung von IKT-Drittdienstleistern müssen auch bestehende Verträge angepasst (vgl. Art. 30 Dora) und in Bezug auf Konzentrationsrisiken aufgrund der Beauftragung bestimmter IKT-Drittdienstleister mitsamt Unterbeauftragungen bewertet werden. Der fünfte zentrale Bereich der DORA-Verordnung besteht in Regelungen zur Behandlung, Klassifizierung und Meldung von IKT-bezogenen Vorfällen und Cyberbedrohungen (Art. 17 f. DORA).

 

Die Anwendung der DORA-Verordnung erfolgt nicht isoliert. In vielen Fällen werden sich Überschneidungen mit anderen Verordnungen und Gesetzen, zum Beispiel dem KWG, der DSGVO oder der NIS-2-Verordnung, ergeben. Hinzu kommen technische Regulierungsstandards (Regulatory Technical Standard-RTS) der zuständigen Behörden, wie etwa der RTS TPPol (Verordnung (EU) 2024/1773) oder der RTS-SUB, welche teilweise noch nicht, oder nur nicht in sämtlichen Sprachen der EU, vorliegen. Weitere Orientierung bei der Anwendung können Leitlinien oder Hinweise der zuständigen Behörden, in Deutschland zum Beispiel der BaFin (https://www.bafin.de/DE/Aufsicht/DORA/DORA_node.html) bieten.

 

III. Auswirkungen auf neue und bestehende IT-Verträge

 

Sowohl bestehende wie auch neue IT-Verträge sind ab 17. Januar 2025 an den Maßstäben von DORA zu messen, sofern diese IKT- Dienstleistungen gemäß Art. 3 Nr. 21 DORA zum Gegenstand haben. Als Teil ihrer Risikomanagement-Verpflichtungen müssen Finanzunternehmen das IKT-Drittparteienrisiko, Art. 3 Nr. 18 DORA, aus solchen Verträgen nach Verhältnismäßigkeitsmaßstäben bewerten, und dabei insbesondere IKT-bezogene Abhängigkeiten sowie Risiken des Vertrages aufgrund der Kritikalität oder Relevanz der IT-Dienstleistungen sowie den potentiellen Auswirkungen auf Kontinuität und Verfügbarkeit ihrer Finanzdienstleistungen bewerten, Art. 28 Abs. 1 b) DORA. Je höher die Risiken eines IT-Vertrages, desto stringenter muss dessen Ausgestaltung und Überwachung erfolgen.

 

1. Vor Vertragsabschluss

 

Dementsprechend muss bereits vor Vertragsabschluss eines neuen IKT-Drittdienstleistervertrages in einer Art Due Diligence (vgl. Art. 28 Abs. 4 DORA) geprüft und dokumentiert werden, ob

 

• der Vertrag sich auf Leistungen zur Unterstützung einer kritischen oder wichtigen Funktion des Finanzunternehmens bezieht;
• etwaige aufsichtsrechtliche Bedingungen für den Vertragsschluss erfüllt sind;
• eine positive Bewertung aller relevanten Risiken im Zusammenhang mit dem Vertrag, einschließlich Konzentrationsrisiken, erfolgt ist;
• der potentielle Drittdienstleister nach Bewertung geeignet erscheint, und
• durch den Vertragsschluss keine schädlichen Interessenkonflikte entstehen.

 

Das Finanzunternehmen muss weiter vorab sicherstellen, dass der potentielle Vertragspartner angemessene, und bei der Unterstützung kritischer oder wichtiger Funktionen des Finanzunternehmens aktuellste und höchste Qualitätsstandards für die Informationssicherheit einhält (Art. 28 Abs. 5 DORA). Betroffene IKT-Drittdienstleister sollten zur Vereinfachung von Vertragsabschlüssen proaktiv an der Bereitstellung von Informationen und Nachweisen für diese Risikobewertung aus ihrer Sphäre mitwirken. IKT-Drittdienstleister mit Sitz im EU-Ausland sollten in diesem Zusammenhang auch Informationen darüber bereitstellen, wie EU-Datenschutzrecht (DSGVO etc.) eingehalten und in ihrem Sitzland wirksam durchgesetzt werden kann.

 

2. Zusätzliche Vertragsinhalte nach DORA

 

Neue IKT-Drittdienstleister-Verträge oder Nachträge zu solchen bestehenden Verträgen sind nach den Maßstäben von DORA formbedürftig, Art. 30 Abs. 1 DORA. Die Parteien sollten insoweit ein einheitliches Dokument, ohne elektronische Verlinkungen auf weitere Vertragsinhalte, erstellen. Dies kann traditionell schriftlich mit Originalunterschriften (wet ink) der gesetzlichen Vertreter der Parteien erfolgen, was in vielen Fällen als nicht besonders praktikabel empfunden werden dürfte. Möglich ist auch ein Vertragsabschluss in einem elektronischen herunterladbaren, dauerhaften und zugänglichen Dokument (zum Beispiel PDF) mindestens mit einfacher elektronischer Signatur (zum Beispiel DocuSign etc.).

 

Art. 30 Abs. 2 und Abs. 3 DORA beinhalten eine Aufzählung notwendiger ergänzender Vertragsbestimmungen für IKT-Drittdienstleister Verträge. In Art. 30 Abs. 2 sind Mindestelemente für jegliche solcher Verträge enthalten. Und zwar:

 

• eine klare und vollständige Beschreibung der Funktionen und IKT-Dienstleistungen, die vom Dienstleister bereitzustellen sind, mitsamt Regelungen zur Zulässigkeit von Unteraufträgen, und bei Unterstützung kritischer oder wichtiger Funktionen des Auftraggebers, der Bedingungen für die Unterauftragsvergabe. Bei Sub-Aufträgen sind unbedingt die Bestimmungen der neuen RTS Sub (Delegierte Verordnung (EU) 2025/532) einzuhalten;
• der Standorte, wo Leistungen bereitzustellen sind bzw. Daten verarbeitet werden sollen, einschließlich Speicherorten, mitsamt der Auflage Änderungen solcher Standorte vorab an den Auftraggeber mitzuteilen;
• Regelungen über die Verfügbarkeit, Authentizität, Integrität und Vertraulichkeit in Bezug auf den Schutz von Daten, einschließlich des Schutzes personenbezogenen Daten;
• Regelungen zur Sicherung des Datenzugriffs des Auftraggebers auf personenbezogene und nicht personenbezogene Daten im Falle von Insolvenz, Abwicklung, oder Einstellung der Geschäftstätigkeit des Dienstleisters oder Vertragsbeendigung mitsamt Bestimmungen zur Wiederherstellung und Rückgabe solcher Daten in einem leicht zugänglichen Format;
• Beschreibungen der Dienstleistungsgüte (wohl über ein SLA);
• kostenfreie Unterstützung durch den IKT-Drittdienstleister bei IKT-Vorfällen;
• Zusammenarbeit des IKT-Drittdienstleisters mit zuständigen Behörden;
• Regelung von Kündigungsrechten mit Mindestkündigungsfristen entsprechend den Anforderungen zuständiger Behörden; sowie
• Regelungen zur Teilnahme von Mitarbeitern des IKT-Drittdienstleisters an Schulungen zur IKT Sicherheit und zur digitalen operationalen Resilienz durch das Finanzunternehmen.

 

In Art. 30 Abs. 3 sind zusätzliche und teilweise verschärfte Mindestregelungen für Verträge über IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen des Finanzunternehmens enthalten. Und zwar:

 

• vollständige Beschreibungen der Dienstleistungsgüte mit präzisen quantitativen und qualitativen Leistungszielen (mithin ein qualifiziertes „scharfes“ SLA), um dem Auftraggeber die wirksame Überwachung und bei Verstößen unverzügliche Korrekturmaßnahmen zu ermöglichen;
• die Festlegung von Kündigungsfristen und Berichtspflichten des IKT-Drittdienstleisters einschließlich von Meldungen aller Ereignisse, die sich wesentlich auf die Fähigkeit des Dienstleisters zur vertragsgemäßen Unterstützung kritischer oder wichtiger Funktionen auswirken könnten. In diesem Zusammenhang sind ferner die Kündigungstatbestände gemäß Art. 28 Abs. 7 DORA zu berücksichtigen;
• die Implementierung und Testung von Notfallplänen durch den IKT-Drittdienstleister sowie die Bereitstellung von Maßnahmen, Tools und Leit- und Richtlinien zur Gewährleistung eines angemessenen Maßes an IKT-Sicherheit;
• die Verpflichtung des Dienstleisters, sich an Art. 26 und 27 DORA vorgesehenen TLPT-Test zu beteiligen und uneingeschränkt daran mitzuwirken;
• die Einräumung uneingeschränkter Zugangs-, Inspektions- und Auditrechte des Auftraggebers, eines beauftragten Dritten oder einer zuständigen Behörde beim Dienstleister mitsamt dem Recht zur Anfertigung von Kopien, wenn diesen entscheidende Bedeutung zukommt. Ferner das Recht, alternative Bestätigungsniveaus zu vereinbaren, wenn die Rechte anderer Kunden betroffen sind, die Verpflichtung des Dienstleisters zur uneingeschränkten Zusammenarbeit bei vor-Ort-Inspektionen und Audits sowie die Verpflichtung, Einzelheiten zu Umfang und Häufigkeit solcher Inspektionen und den dabei sinnvollen Verfahren mitzuteilen; sowie
• die Regelung einer sinnvollen Exitstrategie, insbesondere mitsamt der Festlegung eines verbindlichen angemessenen Übergangszeitraums, in dem der Dienstleister weiterhin Leistungen bereitstellt, um das Risiko von Störungen im Finanzunternehmen zu verringern oder um dessen geordnete Abwicklung und Umstrukturierung sicherzustellen, und dem Finanzunternehmen zu ermöglichen zu einem anderen IKT-Drittdienstleistern zu wechseln oder auf interne Lösungen umzustellen, welche der Komplexität der erbrachten Dienstleistungen entsprechen.

 

In neuen IKT-Drittdienstleisterverträgen oder Nachträgen zu solchen bestehenden Verträgen sollten stets sämtliche der gemäß Art. 30 DORA anwendbaren wesentlichen Vertragsbestimmungen enthalten sein. Der Verzicht auf einzelne, möglicherweise als besonders abträglich empfundenen Klauseln ist unter keinen Umständen zu empfehlen, da dies einen sanktionierbaren Verstoß gegen die DORA-Verordnung, das Recht zur fristlosen Kündigung des Vertrages oder gar dessen Unwirksamkeit begründet.

 

Sollte sich ein IKT-Drittdienstleister der notwendigen Anpassung eines bestehenden IKT-Dienstleistungsvertrages verweigern, wird dies Kündigungsrechte des Finanzunternehmens, gegebenenfalls nach vorheriger Abmahnung mit Kündigungsandrohung, begründen.

 

Im eigenen Interesse sollten sämtliche betroffenen IKT-Drittdienstleister, sofern noch nicht geschehen, sämtliche Dienstleistungsverträge mit Finanzunternehmen in Einklang mit den Anforderungen der DORA-Verordnung bringen. Dies gilt auch, weil EU-Finanzunternehmen in der Praxis dazu tendieren werden, jenseits der regulatorischen Mindestanforderungen noch zusätzliche bzw. weiter verschärfte Regelungen vorlegen, denen der IKT-Drittdienstleister mit eigenen Vorschlägen besser begegnen kann.