Die Anwendbarkeit des DORA-Pakets der EU (Verordnung 2022/2554) auf Verträge IT-Dienstleistern im Finanzbereich

Die EU-Verordnung 2022/2554 zur digitalen operativen Resilienz (DORA) hat weitreichende Auswirkungen auf den Finanzsektor und auf Unternehmen, die IKT-Dienstleistungen für Finanzinstitute erbringen. Es wird ein neuer Aufsichtsrahmen für diese IKT-Dienstleister geschaffen und Anforderungen bezüglich der Cybersicherheit und IKT-Risiken werden verschärft. Die DORA ist bei Verträgen mit dem Finanzsektor im Verhältnis zur Richtlinie (EU) 2022/2555 (NiS-2) spezieller und daher vorrangig zu berücksichtigen. Eine der bedeutendsten Neuregelung erfasst „kritische“ IKT-Dienstleister, die unter die Aufsicht einer der drei europäischen Aufsichtsbehörden EBA, ESMA oder EIOPA gestellt werden. DORA ist ab dem 17. Januar 2025 unmittelbar anzuwenden. Der Beitrag beschäftigt sich mit den wichtigsten Einordnungen, Auswirkungen auf Verträge, den neuen Anforderungen, Sanktionen und Empfehlungen zum praktischen Vorgehen.

1. Anwendungsbereich

Die Anforderungen von DORA gelten gemäß der Aufzählung in Art. 2 Abs. 1a bis t DORA sektorübergreifend und primär für beaufsichtigte Institute und Unternehmen des Finanzsektors („Finanzunternehmen“, Art. 2 Abs. 2 DORA) und IKT-Dienstleister i. S. v. Art. 1 Abs. 1u DORA, d. h. Unternehmen, die IKT-Dienstleistungen für Finanzunternehmen bereitstellen (Art. 3 Nr. 21 DORA).
„IKT“ meint die Informations- und Kommunikationstechnologie, die zum Erheben, Speichern, Übertragen und Weiterverarbeiten von Daten und Informationen genutzt wird, vgl. Erwägungsgrund 1 der EU-Verordnung (2022/2554).

2. Was sind IKT-Dienstleistungen?

Dementsprechend sind „IKT-Dienstleistungen“ „digitale Dienste und Datendienste, die über IKT-Systeme einem oder mehreren internen oder externen Nutzern dauerhaft bereitgestellt werden, einschließlich Hardware als Dienstleistung und Hardwaredienstleistungen, wozu auch technische Unterstützung durch den Hardwareanbieter mittels Software- oder Firmware-Aktualisierungen gehört, mit Ausnahme herkömmlicher analoger Telefondienste.“ Keine IKT-Dienstleitung i. S. v. Art. 3 Nr. 21 DORA sind der reine Kauf von Hardware durch ein Finanzunternehmen. Dagegen ist der dauerhafte Bezug von „Software-as-a-Service“-Anwendungen, Leistungen von Drittanbietern (z. B. von Cloud-Diensten, Software, Datenanalysediensten oder Rechenzentren) und die Herstellung von Hardware mit dauerhafter Betreuung selbiger, von DORA erfasst.

3. Wer sind IKT-Dienstleister?

Eine Einordnung von IKT-Dienstleistern erfolgt in DORA in folgende Gruppen: (1) IKT-Dienstleister nach Art. 3 Nr. 19 DORA, (2) Einstufung als IKT-Dienstleister, der IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen bereitstellt i. S. v. Art. 3 Nr. 22 DORA oder (3) „kritischer“ IKT-Dienstleister nach Art. 3 Nr. 23 i. V. m. Art. 31 ff. DORA. An dieser Einordnung orientiert, werden für die Gruppen verschiedene Anforderungen und die nötigen Standardvertragsklauseln festgelegt.

(1) „Nicht-kritischer“ IKT-Dienstleister, Art. 3 Nr. 19 DORA

Nicht-kritische IKT-Dienstleister haben die Anforderungen in Art. 30 Abs. 1 und 2 DORA zu beachten. Bei den dort festgelegten „Standardklauseln“ handelt es sich um die geringste Anforderungsstufe nach DORA, weshalb diese auch nicht die Vorhaltung eines eigenen Risikomanagementsystems vorsehen. Hintergrund ist u. a., dass „nicht-kritische“ IKT-Dienstleister keine Dienstleistungen für die kritischen oder wichtigen Funktionen der Finanzunternehmen erbringen. Nichtdestotrotz können die Finanzinstitute in den vertraglichen Regelungen einen höheren Maßstab, als durch DORA vorausgesetzt, mit dem IKT-Dienstleister vereinbaren. Dies kann dazu führen, dass ein Informationssicherheitsmanagementsystem (ISMS) einzurichten ist, da dadurch eine Vielzahl der Anforderungen nach DORA erfüllt werden können, wie z. B. Risiken in den Lieferketten zu überwachen, Datensicherheit und -schutz einzuhalten oder potenzielle Haftungsrisiken zu minimieren. Eine darüberhinausgehende Forderung der Finanzunternehmen nach Zertifizierungen (z. B. ISO 27001 oder VdS 10000) entspricht jedoch nicht den DORA-Anforderungen, sodass hier sicherlich ein gewisser Verhandlungsspielraum, insbesondere auch finanzieller Art, besteht.

(2) IKT-Dienstleister zur Unterstützung „kritischer oder wichtiger Funktionen“, Art. 3 Nr. 22 DORA

Darüber hinaus sind zusätzlich die Anforderungen von Art. 30 Abs. 3 DORA zu berücksichtigen, wenn der IT-Dienstleister als IKT-Dienstleister zur Unterstützung kritischer oder wichtiger Funktionen eingestuft wird. Nach Art. 3 Nr. 2 DORA ist eine „kritische oder wichtige Funktion, eine Funktion, deren Ausfall die finanzielle Leistungsfähigkeit eines Finanzunternehmens oder die Solidität oder Fortführung seiner Geschäftstätigkeiten und Dienstleistungen erheblich beeinträchtigen würde oder deren unterbrochene, fehlerhafte oder unterbliebene Leistung die fortdauernde Einhaltung der Zulassungsbedingungen und -verpflichtungen eines Finanzunternehmens oder seiner sonstigen Verpflichtungen nach dem anwendbaren Finanzdienstleistungsrecht erheblich beeinträchtigen würde.“

Die Einstufung als „kritische oder wichtige Funktion“ ist gemäß Art. 28 Abs. 4 DORA durch die Finanzunternehmen selbst vorzunehmen. Die zu vereinbarenden vertraglichen Regelungen sind von dieser Einschätzung abhängig. Dementsprechend können vom IKT-Dienstleister Notfallpläne, Sicherheitsrichtlinien und eine kontinuierliche Überwachung von Risiken im Geschäftsablauf einzuführen und zu berücksichtigen sein. Eine Zertifizierungspflicht (z. B. nach ISO 27001, VdS 10000) oder ein Risikomanagementsystem wird durch DORA allerdings auch hier nicht gefordert. Allerdings kann ein ISMS für eine effektive Umsetzung der Anforderungen sowie für den Nachweis von Sicherheit und Betriebsresilienz beim IKT-Dienstleister erforderlich werden.

(3) „Kritischer“ IKT-Dienstleister, Art. 3 Nr. 23 i. V. m. Art. 31 ff. DORA

Von „kritischen“ IKT-Dienstleistern wird bei der Lieferung oder Pflege von Software für kritische Infrastrukturen von Finanzunternehmen, wie z. B. dem Wertpapierabwicklungssystem, dem Kernbanksystem oder der Bereitstellung eines Rechenzentrums gesprochen. Erfolgt dementsprechend eine Einstufung als „kritischer“ IKT-Dienstleister, sind zusätzlich noch die Regelungen in Art. 33 ff. DORA zu berücksichtigen. Die Einstufung erfolgt anhand der Kriterien des Art. 31 Abs. 2 DORA durch die Europäischen Aufsichtsbehörden (European Supervisory Authorities = ESA). Im Falle der Einstufung besteht dann die Verpflichtung zur Einhaltung und Umsetzung des Risikomanagements aus Art. 33 Abs. 2 und 3 DORA im Vertragsverhältnis zum Finanzunternehmen. Auch wenn nach Art. 33 Abs. 2 DORA wiederum kein ISMS gefordert ist, können mit diesem auch hier viele Anforderungen wie die Identifizierung und das Management von Risiken sowie die Dokumentation von Sicherheitsmaßnahmen erfüllt werden, sodass die Implementierung eines ISMS vorteilhaft erscheint.

4. Unternehmen als IKT-Dienstleister

Damit überhaupt eine Einordnung als IKT-Dienstleister vorzunehmen ist, muss grundsätzlich ein Vertrag mit Finanzunternehmen im Sinne von Art. 2 Abs. 1a bis t DORA geschlossen werden. Entsprechend der bisherigen Ausführungen wird die Einordnung einer IKT-Dienstleistung anhand des jeweiligen Vertragstyps vorzunehmen sein. Insoweit wird bei reinen Kauf- und Werkverträgen, mit einmaligem Zugriff auf die Netzwerke des Finanzunternehmens zur Installation, keine Klassifizierung als IKT-Dienstleister vorliegen. Abweichend davon ist bei einem Wartungs- bzw. Softwarepflegevertrag, insbesondere mit dauerhaftem Fernzugriff auf das Netzwerk des Finanzunternehmens, wohl eine Einstufung als IKT-Dienstleister vorzunehmen.

5. Wer ist für die Einhaltung der DORA-Anforderungen verantwortlich?

Die Einhaltung der Anforderungen nach DORA und das Managen der IKT-Risiken sind grundsätzlich den Finanzunternehmen zugewiesen, wie auch das Führen des Informationsregisters gemäß Art. 28 Abs. 3 u Abs. 1 DORA. Der IKT-Dienstleister hat in diesem Zusammenhang die Informationen für dieses Register bereitzustellen, wenn ein direktes Vertragsverhältnis zwischen ihm und dem Finanzunternehmen besteht (Rang 1). Darüber hinaus müssen bei IKT-Dienstleistungen, welche „kritische oder wichtige Funktionen“ unterstützen, dem Finanzunternehmen auch sämtliche Nachunternehmer angeben werden (Rang 2).

6. Einhaltung der Standardvertragsklauseln des Art. 30 Abs. 2 DORA in Verträgen

Die Einhaltung der Standardvertragsklauseln in Art. 30 Abs. 2 DORA werden beim Abschluss von Wartungs-, Instandhaltungs- und auch Softwarepflegeverträgen über IKT-Dienstleistungen, besonders bei einem Fernzugriff, immer zu beachten sein. Etwaige nun erforderliche Vertragsergänzungen hängen aber maßgeblich an den getroffenen Einstufungen und Beurteilungen Dritter, wie der Finanzunternehmen oder der ESA/BaFin. Deshalb werden etwaige vertragliche Erweiterungen, bspw. über „besondere Vertragsbedingungen“, von den Finanzunternehmen an die IKT-Dienstleister herangetragen werden. Die BaFin kündigte in diesem Zusammenhang an, mit der Umsetzung von DORA Vertragsbedingungen mit den vorgegebenen Standardvertragsklauseln für die Nutzung von IKT-Dienstleistungen zu veröffentlichen, auf die zukünftig zurückgegriffen werden kann. Eine Vertragsanpassung bei den betroffenen Unternehmen ist folglich erst einmal nicht erforderlich.

7. Pflichtverstöße – Sanktionen und Bußgelder auch für IKT-Dienstleister?

Art. 50 DORA sieht bei Pflichtverstößen vor, dass verwaltungsrechtliche Sanktionen und Abhilfemaßnahmen durch die Mitgliedsstaaten innergesetzlich festzulegen sind; konkrete strafrechtliche Maßnahmen sind nicht vorgeschrieben. Eine Umsetzung der Vorgaben in Deutschland wird durch das Gesetz über die Digitalisierung des Finanzmarktes (Finanzmarktdigitalisierungsgesetz – FinmadiG) erfolgen, welches eigentlich zum 30.12.2024 in Kraft treten sollte. Eine termintreue Umsetzung scheint durch das Zerbrechen der Ampelkoalition jedoch fraglich. In der BT-Drucksache 20/10280 zum Gesetzesentwurf werden konkrete Sanktionen und Bußgelder für Finanz- und Versicherungsunternehmen in empfindlicher Höhe (bis 5 Mio. EUR) vorgesehen. Weitere Analysen lassen vorläufig keine Ordnungswidrigkeiten für IKT-Dienstleister erkennen. Demgegenüber ist gemäß Art. 35 Abs. 8 DORA für „kritische“ IKT-Dienstleister ein Zwangsgeld in Höhe von „bis zu 1 % des durchschnittlichen weltweiten Tagesumsatzes, den der kritische IKT-Drittdienstleister im vorangegangenen Geschäftsjahr erzielt hat“, festgelegt.

8. Empfehlungen für die Praxis

Im Ergebnis lässt sich sagen, dass vorläufig kein Handlungszwang für Unternehmen besteht, insbesondere aktuelle Verträge mit Finanzunternehmen selbstständig anzupassen. Der Adressat von DORA und die gestellten Anforderungen betreffen in erster Linie die Finanzunternehmen, sodass es an diesen liegt, entsprechende Maßnahmen zu ergreifen. Sie werden also mit erneuerten Vertragsbedingungen für die Umsetzung der DORA-Anforderungen an die betreffenden Unternehmen herantreten. Insoweit ist zu empfehlen, diese Bedingungen und die getroffene Einordnung zu prüfen, damit von den betroffenen Unternehmen keine erhöhten Anforderungen vereinbart werden, die für die jeweilige Kategorie von IKT-Dienstleister von DORA überhaupt nicht vorgegeben ist. Bei Unstimmigkeiten sollte ein Hinweis an den Vertragspartner erfolgen. Darüber hinaus kann die Prüfung der Anforderungen und eine entsprechende DORA-konforme Anpassung der Verträge auch als zusätzliche Leistung gegen gesonderte Vergütung angeboten werden, dies allerdings nur bei einer fachmännischen Prüfung und entsprechender Expertise!

Chantal Hasselbach
Rechtsanwältin