DORA - Teil 6: Kernthemen

Der neue Regulierungsrahmen DORA (Digital Operational Resilience Act) gibt detaillierte Regeln für das operationelle Risikomanagement vor. Der Rechtsrahmen soll die digitale Betriebsstabilität sicherstellen und dafür sorgen, dass Unternehmen auf Störungen und Bedrohungen in Verbindung mit IKT angemessen reagieren können. Damit soll vor allem die Cybersicherheit von Unternehmen im Finanzsektor gestärkt werden. In diesem sechsten Teil der Artikelserie stelle ich den Aufbau und die Kernthemen der Verordnung vor.

Weit gefasster Bereich der Finanzunternehmen

Ziel von DORA ist es, einen Rechtsrahmen mit einheitlichen Anforderungen für die Sicherheit der Netz- und Informationssysteme von im Finanzsektor tätigen Unternehmen und Organisationen zu schaffen. Ausdrücklich einbezogen sind hier interne und externe Dienstleister aus dem Bereich der Informations- und Kommunikationstechnologien (IKT), etwa Cloud-Plattformen oder Datenanalysedienste.

Operative Kernthemen

Die DORA-Verordnung umfasst Regelungen zu den folgenden wesentlichen, für Finanzinstitute operativ relevanten Kernthemen:

• Kapitel II: IKT-Risikomanagementrahmen einschließlich der Anforderungen an das Business Continuity Management

• Kapitel III: Das Management von IKT-Vorfällen, deren Klassifizierung und Meldung

• Kapitel IV: Das digitale Testprogramm zur Prüfung der operationellen Resilienz

• Kapitel V: Das Management von IKT-Risiken Dritter, Grundsätze (Sektion 1) und Aufsichtsrahmen (Sektion 2)

Handhaben von IKT-Drittrisiken

DORA sieht vor, dass Finanzunternehmen das IKT-Drittrisiko als integralen Bestandteil des IKT-Risikos handhaben. Zum Umgang mit den Risiken von IKT-Dienstleistern heißt es in Kapitel V Sektion 1, Artikel 28:

„Finanzunternehmen, die vertragliche Vereinbarungen über die Nutzung von IKT-Dienstleistungen zur Durchführung ihrer Geschäftstätigkeit getroffen haben, bleiben jederzeit in vollem Umfang für die Einhaltung und Erfüllung aller Verpflichtungen im Rahmen dieser Verordnung und des geltenden Finanzdienstleistungsrechts verantwortlich; (…)

Die Strategie für das IKT-Drittrisiko umfasst eine Politik für die Nutzung von IKT-Diensten, die kritische oder wichtige Funktionen unterstützen und von IKT-Drittdienstleistern erbracht werden, und gilt auf individueller und gegebenenfalls auf teilkonsolidierter und konsolidierter Basis.“

Vertragsbestimmungen von IKT-Dienstleistern

Die wesentlichen Vertragsbestimmungen von IKT-Dienstleistern sind im Kapitel V Sektion 1, Artikel 30 festgehalten. Dort heißt es:

 „Die Rechte und Pflichten des Finanzinstituts und des IKT-Drittdienstleisters sind klar zuzuordnen und schriftlich festzuhalten. Der vollständige Vertrag umfasst die Dienstleistungsvereinbarungen und wird in einem einzigen schriftlichen Dokument dokumentiert, das den Parteien in Papierform oder in einem anderen herunterladbaren, dauerhaften und zugänglichen Format zur Verfügung steht.“

 Die vertraglichen Vereinbarungen müssen unter anderem folgende Elemente enthalten

• eine klare und vollständige Beschreibung aller Funktionen und IKT-Dienstleistungen, die vom IKT-Drittdienstleister zu erbringen sind;

• die Standorte, d. h. die Regionen oder Länder, an denen die in Auftrag gegebenen oder untervergebenen Funktionen und IKT-Dienstleistungen erbracht und die Daten verarbeitet werden sollen;

• Bestimmungen über die Verfügbarkeit, Authentizität, Integrität und Vertraulichkeit in Bezug auf den Schutz von Daten, einschließlich personenbezogener Daten;

• Beschreibungen des Leistungsniveaus, einschließlich Aktualisierungen und Überarbeitungen davon;

• die Verpflichtung des IKT-Drittdienstleisters, das Finanzinstitut ohne zusätzliche Kosten oder zu vorab festgelegten Kosten zu unterstützen, wenn ein IKT-Vorfall im Zusammenhang mit der für das Finanzinstitut erbrachten IKT-Dienstleistung eintritt;

• die Verpflichtung des IKT-Drittdienstleisters zur uneingeschränkten Zusammenarbeit mit den zuständigen Behörden und den Abwicklungsbehörden des Finanzinstituts, einschließlich der von ihnen benannten Personen;

Wir beraten Finanzunternehmen und IKT-Dienstleister bei der Vorbereitung auf die Umsetzung der DORA-Richtlinie und beim Bewerten von Haftungsrisiken. Wir unterstützen sie bei der Gestaltung von Verträgen und beim Ausarbeiten der relevanten Klauseln.

Bisher erschienen:

• DORA – ein neuer Regulierungsrahmen für digitale operationelle Risiken in der Finanzbranche

• DORA – Teil 2: Die Zielgruppen

• DORA – Teil 3: Was ist neu im Vergleich zu MaRisk und BAIT?

• DORA - Teil 4: Das Zusammenspiel mit FISG und VAIT

• DORA - Teil 5: Das Zusammenspiel mit NIS 2 und dem Lieferkettengesetz

Michaela Witzel, LL.M. (Fordham University School of Law),
Fachanwältin für IT-Recht
witzel@web-partner.de