DORA: Neue Anforderungen an IKT-Drittdienstleister

DORA: Neue Anforderungen an IKT-Drittdienstleister

DORA: Neue Anforderungen an IKT-Drittdienstleister

Im Rahmen eines digitalen Workshops informierte die BaFin Dienstleister aus der Informations- und Kommunikationstechnologie (IKT-Drittdienstleister) über den Digital Operational Resilience Act (DORA). Im Fokus der Veranstaltung standen das europäische Überwachungsrahmenwerk für kritische IKT-Drittdienstleister sowie die vertraglichen Anforderungen an die Nutzung von IKT-Drittdienstleistungen.

Mit DORA entstehen neue Anforderungen an die Regulierung von IKT-Drittparteirisiken im Finanzsektor. Auch IKT-Drittdienstleister, die ihre Leistungen für den Finanzsektor erbringen, sind betroffen und unterliegen künftig der Überwachung durch die Europäischen Aufsichtsbehörden, sofern sie als kritisch eingestuft werden. Kritisch sind sie beispielsweise dann, wenn ihre Dienstleistungen kurzfristig nicht oder nur sehr schwer von anderen übernommen werden können oder wenn sie die Stabilität des Finanzsystems beeinträchtigen könnten. Zudem enthält DORA detaillierte Regelungen für Vertragsvereinbarungen zwischen Finanzunternehmen und IKT-Drittdienstleistern.

Zusammenfassend wurden insbesondere folgende Punkte von der BaFin im Workshop thematisiert:

  • Definition von „kritisch oder wichtig“: In den einschlägigen aufsichtsrechtlichen Vorgaben finden sich immer wieder die Begriffe der „kritischen oder wichtigen Funktion“. Aus BaFin-Sicht wurde die Empfehlung ausgesprochen, die Begrifflichkeiten unternehmensindividuell auszulegen.

  • DORAAuswirkungsanalyse: Die BaFin verwies darauf, dass derzeit noch an einer finalen Fassung einer DORA-Auswirkungsanalyse gearbeitet wird. Diese soll die maßgeblichen Änderungen bzw. Auswirkungen auf das IKT-Drittparteienmanagement darstellen. Ein Termin für die Veröffentlichung dieser Auswirkungsanalyse wurde noch nicht bekannt gegeben.  

  • Verpflichtende vertragliche Anforderungen:

    • Die BaFin erarbeitet derzeit eine „Vertrags-Checkliste“, die potenzielle DORA-Fundstellen auflisten soll (u. a. Art. 30 Abs. 2 DORA), die im Rahmen einer Vertragserstellung zu berücksichtigen sind.
    • Nach Erwägungsgrund 69 DORA müssen bestehende Verträge mit IKT-Drittdienstleistern nachverhandelt werden, damit es zu einer Angleichung an die in DORA vorgesehenen Vertragsbestimmungen kommt. Für diese Anpassungen sind keine Übergangsfristen vorgesehen.
    • Bei Vertragsabschluss sollen die von den Behörden für bestimmte Dienstleistungen entwickelten Standardvertragsklauseln berücksichtigt werden (Art. 30 Abs. 4 DORA). Bisher liegen jedoch keine Standardvertragsklauseln vor. Die BaFin empfiehlt daher den beaufsichtigten Unternehmen, mit der Umsetzung der Mindestvertragsinhalte nicht bis zur Veröffentlichung von Standardvertragsklauseln zu warten.
    • Es ist ein neues Informationsregister mit allen IKT-Vertragsbeziehungen zu erstellen (Art. 28 Abs. 3 DORA). Auf Basis dieser Informationen können die Europäischen Aufsichtsbehörden Konzentrationsrisiken und kritische IKT-Drittdienstleister identifizieren, womit das Informationsregister einen wesentlichen Beitrag zum europäischen Überwachungsrahmenwerk für kritische IKT-Drittdienstleister leistet.
  • X-AIT-Prüfungen: Ab Januar 2025 soll es keine X-AIT Prüfungen mehr geben. Stattdessen soll der Fokus auf die DORA-Vorgaben gelegt werden, verbunden mit dem Hinweis, dass diese an einigen Stellen die X-AIT Prüfungen ausweiten werden.

Die im Rahmen der BaFin-Veranstaltung dargestellten Themen und Hinweise unterstreichen die Notwendigkeit eines proaktiven Ansatzes der betroffenen Unternehmen, um den Anforderungen von DORA gerecht zu werden und ihre Resilienz zu stärken.

Mehr zum Thema

Können wir Sie unterstützen? Kontaktieren Sie uns für einen ersten Austausch!

Nicole Lohmann
Nicole Lohmann 
Associate Consultant
Kontakt