zur Übersicht nächster Artikel

DORA-Update März 2025: Praktische Anwendung der EU-Verordnung 2022/2554

Mit dem Inkrafttreten der DORA-Verordnung am 17. Januar 2025 sind Finanzunternehmen und ihre IKT-Dienstleister verstärkt mit neuen Anforderungen und Rückfragen in Vertrags- und Registerfragen konfrontiert. In unserem Newsletter vom Dezember 2024 hatten wir die wesentlichen Grundlagen und Einordnungen dargestellt. Inzwischen zeigen sich in der praktischen Anwendung erste Tendenzen und häufige Stolpersteine. Dieses Praxis-Update greift aktuelle Erfahrungen auf und bietet konkrete Hinweise zum Umgang mit DORA-Anfragen – insbesondere zu Vertragsinhalten, Einstufungsfragen und dem Informationsregister. Dabei stehen die Interessen und Handlungsmöglichkeiten der IKT-Dienstleister im Vordergrund.

1. DORA-Umsetzung seit Januar 2025

Die EU-Verordnung zur digitalen operativen Resilienz (Digital Operational Resilience Act – DORA) findet seit dem 17. Januar 2025 unmittelbare Anwendung. Finanzunternehmen müssen nun strengere IKT-Risiko- und Sicherheitsanforderungen umsetzen, was auch Auswirkungen auf ihre IKT-Dienstleister hat. Für einfache IKT-Dienstleister schreibt DORA dabei kein eigenes IKT-Risikomanagementsystem vor. Allerdings können Finanzunternehmen vertraglich durchaus weitergehende Sicherheitsvorgaben verlangen. Wer kritische oder wichtige Funktionen für Finanzunternehmen unterstützt, wird faktisch nicht umhinkommen, ein Informationssicherheits-Managementsystem (ISMS) zu betreiben, um die Anforderungen nach DORA zu erfüllen. Eine Pflicht zur Zertifizierung (z. B. ISO 27001) besteht durch DORA aber nicht.

Praxis-Hinweis: Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) hat, anders als ursprünglich angekündigt, bislang keine Standardvertragsklauseln nach Art. 30 Abs. 4 DORA veröffentlicht. IKT-Dienstleister sollten daher aufmerksam auf individuelle Vertragsforderungen der Finanzunternehmen achten, da jede Bank eigene DORA-konforme Klauseln nutzen kann.

2. Verträge mit Finanzunternehmen: Was ist jetzt wichtig?

Finanzunternehmen werden ihre Verträge mit IKT-Dienstleistern an die DORA-Vorgaben anpassen. Zwar besteht kein sofortiger Zwang für IKT-Dienstleister, bestehende Verträge selbständig zu ändern. Dennoch sollten Dienstleister vorbereitet sein: Neue Zusatzvereinbarungen oder besondere Vertragsbedingungen werden ihnen vorgelegt werden. Wichtig ist, diese Zusatzbedingungen gründlich zu prüfen. DORA gibt in Art. 30 Abs. 2 bestimmte Mindestinhalte für solche Verträge vor – von Sicherheitsstandards bis zu Exit-Strategien – an die sich die Vertragsparteien halten müssen. Zugleich dürfen Finanzunternehmen keine überzogenen Pflichten auferlegen, die über DORA hinausgehen, sofern diese nicht sachlich gerechtfertigt sind.

Praxis-Hinweis: Lassen Sie sich vom Finanzunternehmen schriftlich bestätigen, wie Ihre Dienstleistung eingestuft wird (einfach vs. kritisch/wichtig) und welche DORA-Pflichten konkret relevant sind. So haben beide Seiten Klarheit und Sie können besser einschätzen, welche Vertragsklauseln nötig und angemessen sind.

3. Checkliste: Vertragliche DORA-Prüfung

Bei der Prüfung und Anpassung von Verträgen mit Finanzinstituten unter DORA-Aspekten hat sich folgende Checkliste bewährt:

3.1. Einstufung der IKT-Dienstleistung klären: Wurde Ihre Leistung als „einfach“ oder als zur „Unterstützung kritischer oder wichtiger Funktionen“ eingestuft? Ist diese Einstufung durch das Finanzunternehmen nachvollziehbar dokumentiert (inkl. Risikobewertung anhand Abhängigkeiten, Substituierbarkeit, Konzentration etc.)? Falls die Einstufung unklar oder nicht dokumentiert ist: Das Finanzunternehmen zur Klärung auffordern – ggf. mit einem eigenen Vorschlag zur Einstufung. Bei der Einstufung sollten auch Experten für Informationssicherheit, Notfallmanagement (BCM) und Compliance einbezogen werden.

3.2. Vertragliche DORA-Vorgaben überprüfen: Wurden alle relevanten Anforderungen der DORA (insb. Art. 30) im Vertrag berücksichtigt? Passt der Vertragstext zur Einstufung (für kritische Dienste strengere Anforderungen als für einfache)? Sind die Pflichten klar zwischen Finanzunternehmen und Dienstleister verteilt und die Klauseln ausreichend bestimmt, transparent und AGB-konform? Prüfen Sie insbesondere, ob Rollen, Verantwortlichkeiten und Reichweite der Pflichten mit der DORA-Systematik übereinstimmen.

3.3. Pflichtinhalte nach Art. 30 Abs. 2 DORA sicherstellen: Der Vertrag muss bestimmte Mindestinhalte abdecken. Überprüfen Sie, ob insbesondere folgende Punkte geregelt sind:

  • Leistungsbeschreibung und Sicherheitsstandards: Klare Beschreibung der IKT-Leistung und vereinbarte Sicherheitsanforderungen (z. B. einzuhaltende ISO-Standards, Service Levels).
  • Meldepflichten bei IKT-Vorfällen: Verpflichtung des Dienstleisters, dem Finanzunternehmen signifikante Störungen oder Sicherheitsvorfälle unverzüglich zu melden.
  • Audit- und Zugriffsrechte: Das Finanzunternehmen muss Rechte haben, Audits durchzuführen und auf Systeme/Daten zuzugreifen, soweit zur Überprüfung der Resilienz nötig.
  • Exit-Strategien und Datenrückgabe: Vorkehrungen für eine geordnete Beendigung der Zusammenarbeit, inkl. Rückgabe oder Löschung von Daten und Unterstützungsleistungen für den Übergang zu einem neuen Anbieter.
  • Ort der Leistungserbringung und Datenhaltung: Transparenz darüber, wo die Daten verarbeitet werden (z. B. Rechenzentrumsstandort, Cloud-Region), ggf. Beschränkungen auf bestimmte Jurisdiktionen.
  • Einsatz von Unterauftragnehmern: Regelung, ob und unter welchen Bedingungen der IKT-Dienstleister Subdienstleister einsetzen darf; ggf. Zustimmungspflichten und Weitergabe der DORA-Verpflichtungen an diese.
  • Kontinuitäts- und Wiederanlaufpläne: Zusicherungen, dass Notfallpläne existieren und der Dienstleister bei Ausfällen Verfahren hat, um den Betrieb schnell wiederherzustellen.

3.4. Zusätzliche technische Anforderungen prüfen: Falls der Vertrag weitergehende technische Pflichten enthält, sollten diese klar definiert und angemessen sein. Beispiel: Ist vorgesehen, dass Ihr System in Threat-Led Penetration Tests (TLPT) der Bank einbezogen wird? Sind besondere Vorgaben zur Verfügbarkeit, Rufbereitschaft oder Notfallübung (Business Continuity) vereinbart? Stellen Sie sicher, dass solche Punkte konkret und umsetzbar formuliert sind.

3.5. Keine Übererfüllung ohne Notwendigkeit: Wurden über die DORA-Vorgaben hinaus weitere Anforderungen in den Vertrag aufgenommen? Falls ja, prüfen Sie Zweck, Erforderlichkeit und Verhältnismäßigkeit dieser Extras sehr kritisch. In der Praxis erweisen sich solche zusätzlichen Pflichten oft als nicht nötig oder zu weitgehend – in solchen Fällen sollte der IKT-Dienstleister darauf hinwirken, dass die Klauseln gestrichen oder angepasst werden.

4. Informationsregister nach DORA: Rolle des IKT-Dienstleisters

Ein zentrales neues Element von DORA ist das Informationsregister für Auslagerungen (Art. 28 DORA). Finanzunternehmen müssen ein Register aller IKT-Dienstleistungen führen und aktuell halten, das detaillierte Angaben zu jedem Dienstleister und der jeweiligen Leistung enthält. Als IKT-Dienstleister sind Sie verpflichtet, Ihrem Finanzkunden die notwendigen Informationen bereitzustellen, damit dieser das Register führen kann. Bei einfachen IKT-Dienstleistungen beschränken sich diese Angaben auf einige Grunddaten; bei* kritischen oder wichtigen Auslagerungen* sind zusätzliche Informationen erforderlich, und das Finanzunternehmen muss diese Auslagerungen auch der Aufsichtsbehörde melden. Die genauen Felder des Registers wurden in einer Durchführungsverordnung (EU) 2023/2033 festgelegt. Wichtig: Bereits zum Starttermin am 17. Januar 2025 mussten Finanzunternehmen ihre bestehenden IKT-Dienstleister erstmals erfasst und gemeldet haben. Als Dienstleister sollten Sie daher sicherstellen, dass Ihre Daten vollständig und korrekt übermittelt wurden.

Praxis-Hinweis: Fragen Sie proaktiv nach, ob Ihr Vertragspartner (Finanzinstitut) Sie als einfachen oder kritischen IKT-Dienstleister eingestuft hat und ob alle erforderlichen Angaben von Ihnen vorliegen. Unvollständige oder falsche Registereinträge können zu Rückfragen der Aufsicht führen. Halten Sie daher aktuelle Informationen bereit und informieren Sie den Finanzkunden, wenn sich relevante Angaben ändern (z. B. neue Unterauftragnehmer oder Zertifizierungen).

5. Checkliste: Informationsregister für einfache IKT-Dienstleister

Folgende Informationen müssen einfache IKT-Dienstleister einem Finanzunternehmen typischerweise zur Verfügung stellen, damit dieses die Eintragung im Informationsregister vornehmen kann:

  • Name des IKT-Dienstleisters: Vollständiger Unternehmensname (juristische Firma).
  • Identifikationsmerkmal: Falls vorhanden den Legal Entity Identifier (LEI), ansonsten z. B. Handelsregisternummer oder Umsatzsteuer-ID. Der LEI ist keine verpflichtende Angabe.
  • Vertragsart und Vertragsnummer: Angabe, ob es sich um einen Einzelvertrag oder Rahmenvertrag handelt, plus interne Referenz- oder Vertragsnummer.
  • Vertragsbeginn und Laufzeit: Datum des Vertragsbeginns und ggf. Vertragsende oder Vermerk „unbefristet“.
  • Art der Dienstleistung: Kurzbeschreibung der bereitgestellten IKT-Leistung (z. B. Cloud-Speicher, Zahlungsverkehrssoftware, IT-Wartung).
  • Unterstützte Geschäftsprozesse: Welche Geschäftsprozesse beim Finanzunternehmen werden durch die Dienstleistung unterstützt? Bei einfachen Auslagerungen lautet die Angabe meist „keine kritische oder wichtige Funktion“.
  • Ort der Leistungserbringung: Wo wird die Leistung hauptsächlich erbracht? Zum Beispiel „vor Ort beim Kunden“, „Remote-Zugriff“ oder spezifische Rechenzentrumsstandorte.
  • Jährliches Auftragsvolumen: Das jährliche Entgelt bzw. die geschätzten jährlichen Kosten des Vertrags, zur Einschätzung der Größenordnung.

Optional (falls einschlägig):

  • Eingesetzte Subdienstleister: Nur anzugeben, falls Ihre Leistung als kritisch/wichtig eingestuft wurde und Sie selbst noch Unterauftragnehmer einsetzen. In diesem Fall sind Name und Rolle wesentlicher Subdienstleister zu nennen.
  • Verarbeitung personenbezogener Daten: Falls Sie im Auftrag des Finanzunternehmens personenbezogene Daten verarbeiten (Auftragsdatenverarbeitung), sollte dies angegeben werden.
  • Konzernzugehörigkeit: Sofern Ihr Unternehmen Teil eines Konzerns ist, kann die Nennung der Muttergesellschaft oder des Konzerns erforderlich sein. Dies hilft, Konzentrationsrisiken zu beurteilen.
  • IT-Sicherheitszertifikate: Freiwillige Angabe von Zertifizierungen (z. B. ISO/IEC 27001), falls vorhanden. Solche Nachweise unterstreichen Ihre Zuverlässigkeit, sind aber nicht verpflichtend.

Stellen Sie sicher, dass alle Pflichtfelder vollständig ausgefüllt sind. Das Finanzunternehmen trägt diese Informationen in sein Register ein und muss sie aktuell halten.

Praxis-Hinweis: Unterstützen Sie Ihren Finanzkunden bei der Registerführung, indem Sie Änderungen unverzüglich mitteilen (etwa neue Unterauftragnehmer oder geänderte Vertragslaufzeiten). Prüfen Sie außerdem intern, ob Ihr eigenes Kontrollsystem und Monitoring an neue Auslagerungsanforderungen angepasst sind – so behalten Sie den Überblick über Ihre Pflichten und Fristen.

Fazit

Mit DORA hat die EU einen einheitlichen Ordnungsrahmen für die digitale Resilienz im Finanzsektor geschaffen. Für IKT-Dienstleister bedeutet dies zunächst, die Einstufung ihrer Leistungen zu kennen und darauf basierend die richtigen Vertragspflichten zu akzeptieren – nicht mehr und nicht weniger. Neue Vertragsklauseln sollten sorgfältig an den DORA-Vorgaben gespiegelt werden, wobei überzogene Forderungen abgelehnt werden dürfen und sollten. Gleichzeitig ist eine enge* Zusammenarbeit mit den Finanzunternehmen wichtig:* Stellen Sie alle nötigen Informationen für das DORA-Register bereit und halten Sie diese aktuell. So erfüllen Sie Ihre Mitwirkungspflichten und behalten etwaige Risiken im Griff. Insgesamt gilt: Wer seine Hausaufgaben mit Hilfe der obigen Checklisten macht, ist gut aufgestellt, um unter DORA rechtssicher und resilient zu agieren.

Chantal Hasselbach
Rechtsanwältin