Ab dem 17. Januar 2025 müssen Finanzunternehmen und weitere Dienstleister den Digital Operational Resilience Act (DORA) beachten. DORA soll die Vorschriften für IT-Systeme im Finanzsektor auf EU-Ebene harmonisieren und ein detailliertes und umfassendes Rahmenwerk für die digitale Betriebsstabilität von EU-Finanzunternehmen schaffen.
Bereits im Dezember 2022 wurde die Verordnung über die digitale operationale Resilienz im Finanzsektor, wie DORA auf Deutsch heißt, im Rahmen eines umfassenden Pakets zur Digitalisierung des Finanzsektors veröffentlicht. Die Verordnung ist seit dem 16. Januar 2023 in Kraft. Die lange Umsetzungsfrist sollten die betroffenen Unternehmen für die aufwändigen Vorbereitungen nutzen, die auch Vertragsanpassungen umfassen.
Welche Unternehmen sind betroffen?
DORA betrifft Finanzunternehmen und Drittdienstleister von Informations- und Kommunikationstechnologien (IKT-Drittdienstleister). Der Begriff des Finanzunternehmens ist weit auszulegen und ist nicht lediglich auf klassische Finanzdienstleister wie Kreditinstitute, Zahlungsdienstleister oder Wertpapierfirmen beschränkt.
IKT-Dienstleister sind Anbieter von digitalen (Daten-) Diensten. Darunter fallen Cloud-Computing-Services, Softwareanbieter, Datenanalysedienste und Rechenzentren.
Auslagerungsverträge sollten angepasst werden
Finanzunternehmen sollten nicht nur in technischer Hinsicht aufstocken; auch aus rechtlicher Sicht gibt es Herausforderungen. Insbesondere ergeben sich Veränderungen aus den Anforderungen in Kapitel V für Auslagerungsverträge zwischen Finanzunternehmen und IKT-Drittdienstleistern.
Anpassung bestehender Klauseln
Auslagerungsverträge mit IKT-Drittanbietern müssen künftig insbesondere die in Art. 30 DORA festgelegten wesentlichen Vertragsbestimmungen berücksichtigen. Dabei gelten die Vorgaben nach Art. 30 Abs. 2 DORA für sämtliche Vereinbarungen über die Nutzung von IKT-Dienstleistungen. Art. 30 Abs. 3 DORA enthält Anforderungen an die Vertragsbestimmungen für IKT- Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen.
Die Vorgaben aus Art. 30 DORA entsprechen in weiten Teilen denjenigen Anforderungen an Auslagerungsverträge, die bereits durch AT 9 der MaRisk sowie die BaFin-Rundschreiben BAIT, KAIT, ZAIT und VAIT für jede Branche des Finanz- und Versicherungsmarktes bekannt sind. Ein erhöhter Anpassungsbedarf könnte sich jedenfalls für diejenigen Verträge ergeben, die den sonstigen Fremdbezug IT betreffen.
Denn eine IKT-Dienstleistung nach DORA ist sehr weit zu verstehen und umfasst eigentlich alle TK-Dienstleistungen außer analogen Telefondiensten.
Neue Vertragsbestimmungen werden erforderlich
DORA führt jedoch auch neue Vertragsbestimmungen ein. So sieht zum Beispiel Art. 30 Abs. 2 i) DORA vor, dass vertragliche Vereinbarungen zukünftig auch Bedingungen für die Teilnahme von IKT-Drittdienstleistern an Programmen zur Sensibilisierung für IKT-Sicherheit oder Schulungen zur digitalen operationalen Resilienz umfassen.
Im Falle der Nutzung von IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen sollen vertragliche Vereinbarungen nach Art. 30 Abs. 3 d) DORA die Verpflichtung des IKT-Drittdienstleisters enthalten, sich an bestimmten Tests des Finanzunternehmens zu beteiligen. Auch diesbezüglich müssen bestehende Auslagerungsverträge angepasst werden.
Weitere Anforderungen an Verträge können sich aus Art. 26, 28 und 29 DORA ergeben. Betroffen sind die Vereinbarung der Teilnahme an gebündelten Tests von IKT-Systemen, Kündigungsrechte und Übergangsregelungen sowie die Handhabung der Vergabe von Unteraufträgen.
Erhöhter Detaillierungsbedarf in Auslagerungsverträgen
Eine weitere Herausforderung ist der erhöhte Detaillierungsbedarf in den Auslagerungsverträgen. Zu denken ist etwa an eine mögliche Überprüfung und gegebenenfalls Anpassung von Meldepflichten, Vorgaben zum Informationsaustausch oder auch Regelungen zur Kostentragung bei Mitwirkungspflichten von IKT-Drittdienstleistern.
Zudem gilt es abzuwarten, zu verfolgen und zu berücksichtigen, wie sich die Aufsicht zu DORA positionieren wird und ob sich daraus gegebenenfalls ein weiterer Anpassungsbedarf für Auslagerungsverträge mit IKT-Drittdienstleistern ergibt. Bestehende oder sich anbahnende Auslagerungsverträge sollten deshalb schon jetzt einer gründlichen Analyse unterzogen werden, um die sich aus DORA ergebenden Anforderungen zu berücksichtigen und mögliche rechtliche Risiken auszuschließen.
Was jetzt zu tun ist
DORA findet ab dem 17. Januar 2025 Anwendung und die Anpassung der Verträge kostet erfahrungsgemäß Zeit. Unternehmen sollten daher jetzt mit der Umsetzung beginnen. Das ist zu tun:
• Bestehende Verträge mit IKT-Drittdienstleistern sollten auf die Anforderungen von DORA überprüft werden und ggf. angepasst werden.
• Neu abzuschließende Verträge sollten jetzt schon den Anforderungen von DORA genügen und vor Abschluss dahingehenden analysiert werden.
---
*) Dr. Matthias Magnus Henke, Partner, Dr. Frank Püttgen, Partner, Dr. Christopher Peinemann, Senior Manager, KPMG Law Rechtsanwaltsgesellschaft mbH