DORA – Teil 10: Steuern von IKT-Drittdienstleisterrisiken
Die neue Verordnung DORA (Digital Operational Resilience Act) schreibt Finanzunternehmen vor, dass sie ein solides und umfassendes Programm zur Prüfung der digitalen operationellen Widerstandsfähigkeit einrichten, aufrechterhalten und überprüfen müssen. Das Programm ist integraler Bestandteil des IKT-Risikomanagementrahmens, der sich auch auf Drittdienstleister erstreckt.
In diesem zehnten Teil der Artikelserie stelle die Grundsätze der Steuerung von IKT-Drittdienstleistern vor. Dies werden in Kapitel V (Artikel 28 - 30) der Verordnung beschrieben.
Grundsätze für ein solides Management des IKT-Drittrisikos
Die Finanzunternehmen handhaben das IKT-Drittrisiko innerhalb ihres IKT-Risikomanagementrahmens. Dabei bleiben sie jederzeit in vollem Umfang für die Einhaltung und Erfüllung aller Verpflichtungen im Rahmen des DORA und der jeweils geltenden gesetzlichen Bestimmungen (z.B. VAG, KWG) verantwortlich.
Das Management des IKT-Drittrisikos erfolgt nach dem Grundsatz der Verhältnismäßigkeit, wobei die Risiken zu berücksichtigen sind, die sich aus vertraglichen Vereinbarungen über die Nutzung von IKT-Dienstleistungen mit IKT-Drittanbietern ergeben.
Im Rahmen des IKT-Risikomanagements legen Finanzunternehmen eine Strategie für das IKT-Drittrisiko fest und überprüfen diese regelmäßig, gegebenenfalls unter Berücksichtigung der Multi-Vendor-Strategie. Dazu gehören IKT-Diensten, die kritische oder wichtige Funktionen unterstützen und von IKT-Drittdienstleistern erbracht werden.
Transaktionsregister
Die Finanzunternehmen führen auf Unternehmensebene sowie auf teilkonsolidierter und konsolidierter Ebene ein Register mit Informationen über alle vertraglichen Vereinbarungen über die Nutzung von IKT-Dienstleistungen, die von IKT-Drittanbietern erbracht werden.
Mindestens einmal jährlich Bericht erstatten sie den zuständigen Behörden Bericht über die Zahl der neuen Vereinbarungen, die Kategorien von IKT-Drittdienstleistern, die Art der vertraglichen Vereinbarungen und die erbrachten IKT-Dienstleistungen und -Funktionen.
Sie unterrichten die Behörden rechtzeitig über alle geplanten vertraglichen Vereinbarungen über die Nutzung von IKT-Diensten zur Unterstützung kritischer oder wichtiger Funktionen sowie über den Fall, dass eine Funktion kritisch oder wichtig geworden ist.
Prüfungspflichten
Vor dem Abschluss einer vertraglichen Vereinbarung über die Nutzung von IKT-Diensten haben die Finanzunternehmen folgende Pflichten:
prüfen, ob die vertragliche Vereinbarung die Nutzung von IKT-Diensten abdeckt, die eine kritische oder wichtige Funktion unterstützen,
prüfen, ob die aufsichtsrechtlichen Bedingungen für die Auftragsvergabe erfüllt sind,
alle relevanten Risiken im Zusammenhang mit der vertraglichen Vereinbarung ermitteln und bewerten,
alle Due-Diligence-Prüfungen bei potenziellen IKT-Drittdienstleistern durchführen und sicherstellen, dass der IKT-Drittdienstleister geeignet ist,
Interessenkonflikte bewerten, die durch die vertragliche Vereinbarung entstehen können.
Finanzunternehmen dürfen nur dann vertragliche Vereinbarungen mit IKT-Drittdienstleistern treffen, wenn diese angemessene Informationssicherheitsstandards einhalten. Betreffen die Vereinbarungen kritische oder wichtige Funktionen, so haben die Finanzunternehmen vor Abschluss der Vereinbarungen zu berücksichtigen, dass die IKT-Drittdienstleister die aktuellsten und höchsten Informationssicherheitsstandards anwenden.
Die Finanzunternehmen legen die Häufigkeit der Prüfungen und Inspektionen sowie die zu prüfenden Bereiche im Voraus fest, indem sie sich an allgemein anerkannte Prüfungsstandards halten, die im Einklang mit etwaigen aufsichtlichen Anweisungen zur Verwendung und Einbeziehung solcher Prüfungsstandards stehen.
Wenn vertragliche Vereinbarungen mit IKT-Drittanbietern über die Nutzung von IKT-Dienstleistungen eine hohe technische Komplexität mit sich bringen, vergewissert sich das Finanzinstitut, dass die internen oder externen Prüfer oder ein Pool von Prüfern über angemessene Fähigkeiten und Kenntnisse verfügen, um die entsprechenden Prüfungen und Bewertungen wirksam durchzuführen.
Ausstiegsszenarien für kritische oder wichtige Funktionen
Für IKT-Dienstleistungen, die kritische oder wichtige Funktionen unterstützen, müssen Ausstiegsstrategien festgelegt werden. Die Ausstiegsstrategien berücksichtigen Risiken, die bei IKT-Drittdienstleistern auftreten können, insbesondere einen möglichen Ausfall dieser Dienstleister, eine Verschlechterung der Qualität der erbrachten IKT-Dienstleistungen, eine Unterbrechung des Geschäftsbetriebs aufgrund einer unangemessenen oder fehlgeschlagenen Erbringung von IKT-Dienstleistungen oder ein wesentliches Risiko, das sich in Bezug auf die angemessene und kontinuierliche Bereitstellung der jeweiligen IKT-Dienstleistung ergibt, oder die Beendigung vertraglicher Vereinbarungen mit IKT-Drittdienstleistern.
Die Finanzunternehmen stellen sicher, dass sie in der Lage sind, vertragliche Vereinbarungen zu beenden,
ohne ihre Geschäftstätigkeit zu unterbrechen,
ohne dass die Einhaltung der aufsichtsrechtlichen Anforderungen eingeschränkt wird,
ohne Beeinträchtigung der Kontinuität und Qualität der für die Kunden erbrachten Dienstleistungen.
Die Ausstiegspläne müssen umfassend sein, dokumentiert werden und hinreichend getestet und regelmäßig überprüft werden. Die Finanzunternehmen ermitteln Alternativlösungen und entwickeln Übergangspläne, die es ihnen ermöglichen, die beauftragten IKT-Dienstleistungen und die entsprechenden Daten vom IKT-Drittdienstleister abzulösen und sie sicher und vollständig an alternative Anbieter zu übertragen oder sie intern wieder einzugliedern.
Kündigungsmöglichkeiten
Die Finanzunternehmen stellen sicher, dass vertragliche Vereinbarungen über die Nutzung von IKT-Dienstleistungen unter den folgenden Umständen gekündigt werden können:
bei einem erheblichen Verstoß des IKT-Drittdienstleisters gegen geltende Gesetze, Vorschriften oder Vertragsbedingungen,
bei Umständen, die geeignet sind, die Erfüllung der im Rahmen der vertraglichen Vereinbarung erbrachten Funktionen zu verändern,
bei nachgewiesenen Schwächen des IKT-Drittdienstleisters in Bezug auf sein IKT-Risikomanagement insgesamt und insbesondere in Bezug auf die Art und Weise, wie er die Verfügbarkeit, Authentizität, Integrität und Vertraulichkeit von Daten, seien es personenbezogene oder anderweitig sensible Daten oder nicht personenbezogene Daten, gewährleistet
wenn die zuständige Behörde das Finanzinstitut aufgrund der Bedingungen oder Umstände der jeweiligen vertraglichen Vereinbarung nicht mehr wirksam beaufsichtigen kann.
Wir beraten Finanzunternehmen und IKT-Dienstleister bei der Vorbereitung auf die Umsetzung der DORA-Richtlinie und beim Bewerten von Haftungsrisiken. Wir unterstützen sie bei der Gestaltung von Verträgen und beim Ausarbeiten der relevanten Klauseln.
Bisher erschienen:
DORA – ein neuer Regulierungsrahmen für digitale operationelle Risiken in der Finanzbranche
DORA - Teil 5: Das Zusammenspiel mit NIS 2 und dem Lieferkettengesetz
DORA - Teil 9: Programm zur Prüfung der operationellen Resilienz
Michaela Witzel, LL.M. (Fordham University School of Law),
Fachanwältin für IT-Recht
witzel@web-partner.de