Mit dem Digital Operational Resilience Act (DORA) hat die EU einen Rahmen geschaffen, der die digitale Widerstandsfähigkeit im Finanzsektor stärkt. DORA verpflichtet Finanzunternehmen und deren Dienstleister, klare und detaillierte vertragliche Vereinbarungen zu treffen, um digitale Risiken zu minimieren. Im Folgenden geht es kurz darum, welche Punkte Geschäftsführer und Manager berücksichtigen müssen, um DORA zu entsprechen – insbesondere um die Unterschiede zwischen Artikel 30 Absatz 2 und Absatz 3, die sich nach der Kritikalität der Dienste richten.
Warum sind vertragliche Vereinbarungen wichtig?
DORA betont, dass die Zusammenarbeit zwischen Finanzunternehmen und ihren ICT-Drittanbietern (Information and Communication Technology) einer robusten vertraglichen Grundlage bedarf. Verträge dienen nicht nur der regulatorischen Compliance, sondern auch der Risikominimierung bei Cybervorfällen, die den Betrieb gefährden könnten.
Anforderungen an Verträge gemäß Artikel 30 DORA
Grundlegende Vorgaben für alle Dienste
Gemäß Artikel 30 Absatz 2 DORA müssen alle Verträge zwischen Finanzunternehmen und Drittanbietern folgende Punkte regeln:
- Klare Leistungsbeschreibung: Welche Dienstleistungen werden erbracht?
- Risikomanagementverfahren: Vorgaben zur Erkennung, Meldung und Bewältigung von ICT-Risiken.
- Meldepflichten: Verpflichtung des Drittanbieters, Vorfälle unverzüglich an das Finanzunternehmen zu melden.
- Zugangs- und Prüfungsrechte: Das Finanzunternehmen und die Aufsichtsbehörden müssen Zugriff auf relevante Daten haben und Audits durchführen können.
- Beendigung und Übergangsregelungen: Verfahren zur Sicherstellung der Geschäftskontinuität bei Vertragsbeendigung oder Wechsel des Dienstleisters.
Zusätzliche Anforderungen bei kritischen Diensten
Wenn die Dienste als „kritisch“ eingestuft werden, verschärfen sich die Anforderungen gemäß Artikel 30 Absatz 3:
- Erweiterte Meldepflichten: Strengere Fristen und detailliertere Berichte über Sicherheitsvorfälle.
- Kontinuitätspläne: Der Anbieter muss nachweisen, dass er über Notfall- und Wiederherstellungspläne verfügt, die regelmäßig getestet werden.
- Haftungsregeln: Klare Festlegung von Verantwortlichkeiten und Schadenersatzpflichten.
- Eskalationsverfahren: Festgelegte Prozesse, wie das Unternehmen und der Dienstleister bei Krisen reagieren.
Schutz sensibler Daten und die Sicherstellung der Geschäftskontinuität
DORA legt in Artikel 30 Absatz 2 Buchstaben c und d klare Anforderungen an die vertragliche Beziehung zwischen Finanzunternehmen und ihren ICT-Drittanbietern fest. Diese Punkte zielen auf den Schutz sensibler Daten und die Sicherstellung der Geschäftskontinuität ab.
Bestimmungen zur Datenverfügbarkeit und -sicherheit (Art. 30 Abs. 2 lit. c)
Dieser Punkt fordert, dass Verträge zwischen Finanzunternehmen und ICT-Drittanbietern klare Regeln enthalten, um folgende Aspekte sicherzustellen:
- Verfügbarkeit: Daten müssen jederzeit zugänglich sein, um die Kontinuität der Geschäftsprozesse zu gewährleisten.
- Authentizität: Es muss garantiert sein, dass die Daten echt und unverändert sind.
- Integrität: Schutz vor unbefugten Änderungen oder Manipulationen.
- Vertraulichkeit: Nur autorisierte Personen dürfen auf die Daten zugreifen, um Datenschutzverletzungen zu verhindern.
Hierbei wird auch auf den Datenschutz eingegangen, insbesondere den Schutz personenbezogener Daten, was eine enge Anlehnung an die Datenschutz-Grundverordnung (DSGVO) impliziert. Finanzunternehmen müssen sicherstellen, dass ICT-Dienstleister diese Standards einhalten und in ihren Systemen entsprechende Sicherheitsvorkehrungen treffen.
Sicherstellung des Zugriffs und der Rückgabe von Daten (Art. 30 Abs. 2 lit. d)
Um auf Szenarien wie Insolvenz oder Beendigung der Zusammenarbeit mit dem ICT-Drittanbieter vorbereitet zu sein, schreibt DORA Folgendes vor:
- Zugang zu Daten sicherstellen: Das Finanzunternehmen muss auch im Krisenfall oder bei einer Beendigung der vertraglichen Beziehungen uneingeschränkten Zugriff auf seine Daten haben.
- Datenwiederherstellung und -rückgabe: Der Vertrag muss festlegen, dass alle personenbezogenen und nicht personenbezogenen Daten dem Finanzunternehmen in einem leicht zugänglichen Format zurückgegeben werden.
- Vermeidung von Abhängigkeiten: Diese Vorgaben sollen verhindern, dass ein Drittanbieter seine Position ausnutzt, um das Finanzunternehmen zu blockieren oder Daten zurückzuhalten.
Herausforderungen für Geschäftsführer und Manager
Klassifizierung der Dienste
Eine der ersten Aufgaben ist die Bewertung, ob ein Dienst als kritisch einzustufen ist. Diese Entscheidung erfordert eine enge Zusammenarbeit zwischen IT, Risikomanagement und Rechtsabteilung.
Auswahl vertrauenswürdiger Partner
Die Einhaltung der DORA-Vorgaben ist nicht nur eine interne Aufgabe: Auch Drittanbieter müssen entsprechend ausgestattet sein. Daher sollten Partner sorgfältig geprüft werden.
Sicherstellung der Durchsetzbarkeit
Die vertraglichen Regelungen müssen nicht nur auf dem Papier stehen, sondern auch in der Praxis überprüfbar sein. Hier sind Audits und regelmäßige Tests unerlässlich.
Schulung der Belegschaft
Geschäftsführer tragen die Verantwortung für die Einhaltung von DORA und sollten sicherstellen, dass ihre Teams ausreichend geschult sind, um die Anforderungen umzusetzen.
Handlungsempfehlungen
- Standardverträge entwickeln: Nutzen Sie Checklisten oder Musterdokumente, die alle Anforderungen von Artikel 30 DORA abdecken.
- Dienste bewerten: Überprüfen Sie die Kritikalität jedes ICT-Dienstes und dokumentieren Sie Ihre Entscheidungen.
- Prozesse implementieren: Etablieren Sie klare Eskalations- und Prüfverfahren, die sowohl intern als auch mit Drittanbietern funktionieren.
- Eng mit Rechts- und IT-Abteilungen zusammenarbeiten: DORA erfordert technische und rechtliche Expertise. Sorgen Sie für einen interdisziplinären Ansatz.
- Aufsichtsratskommunikation stärken: Halten Sie den Aufsichtsrat regelmäßig über Fortschritte und potenzielle Risiken informiert.
Schulungs-Pflichten?
DORA verpflichtet nach einer Lesart ICT-Drittanbieter (Information and Communication Technology) vertraglich zur Teilnahme an den Schulungs- und Sensibilisierungsprogrammen der beauftragenden Finanzunternehmen. Diese Anforderungen sind in Artikel 30 Absatz 2 Buchstabe i der Verordnung festgelegt. Der Auftragnehmer muss sicherstellen, dass er an den Programmen für Bewusstseinsbildung und Resilienzschulungen teilnimmt, die vom Finanzunternehmen organisiert werden. Allerdings kann man hierüber streiten, da Art. 13 VI DORA ausdrücklich nur die eigenen Mitarbeiter in den Fokus nimmt und Drittanbieter gerade (sogar ausdrücklich) ausnimmt. Hier zeigt sich ein besonders praxisrelevantes Auslegungsproblem.
Ausblick
DORA stellt Geschäftsführer und Manager vor neue Herausforderungen, bietet aber auch Chancen, die digitale Widerstandsfähigkeit zu erhöhen. Mit klaren, durchdachten Verträgen legen Unternehmen den Grundstein für ein robustes ICT-Risikomanagement. Besonders kritisch sollten die Vorgaben in Artikel 30 Absatz 2 lit. c und d von DORA wahrgenommen werden, die die Bedeutung eines umfassenden Datenschutzes und einer robusten Datenkontinuitätsstrategie betonen.
- Justizminister wünschen allgemeine Autoschlüssel-Kopie für Ermittler - 7. Dezember 2024
- KCanG: BGH zur Zusammenrechnung von Freimengen - 5. Dezember 2024
- BVerfG zu Encrochat: Keine generellen Beweisverwertungsverbote - 5. Dezember 2024