Mindestvertragsinhalte des DORA: 1. Die Spezifizierung der Leistung
Artikel 30 DORA enthält einen Katalog von Mindestinhalten, die sich in Verträgen wiederfinden müssen. Die Anforderungen an Auslagerungsverträge nach DORA entsprechen zwar weitgehend den Vorgaben der MaRisk (AT 9). Ein genauer Blick offenbart jedoch Unterschiede. Teil 1: Die Spezifizierung der Leistung.
MaRisk
Laut MaRisk muss der Auslagerungsvertrag beschreiben, welche Bereiche ausgelagert werden. Er hat zu definieren, welche Handlungspflichten und Prozessabläufe das Auslagerungsunternehmen zu erbringen hat.
Bei wenig komplexen Auslagerungen kann der Gegenstand der Auslagerung in dem Auslagerungsvertrag selbst definiert werden.
Bei komplexeren Auslagerungen bietet sich an, die genauen Handlungspflichten und Prozessabläufe des Auslagerungsunternehmens mit so genannten Service Level Agreements zu regeln.
Klare Abgrenzung von Verantwortlichkeiten, wenn Mitwirkungs- und Beistellungsleistungen des auslagernden Instituts vereinbart werden (z.B. Anlehnung an die vollständige Struktur von gesetzlichen Pflichten oder behördlichen Prüfungslisten – z.B. gem. MaComp oder Anlage 6 PrüfbV), Zweifelsfallregelung für neue gesetzliche Pflichten und klare Schnittstellenbeschreibung.
Es empfiehlt sich die konkreten SLAs und KPIs zur Leistungsüberwachung in einer Vertragsanlage zu dokumentieren, da dann im Falle einer Aktualisierung lediglich die Anlage zu erneuern ist.
DORA
In einigen Punkten sind die Anforderungen des DORA detaillierter. Für alle IKT-Dienstleistungen verlangt die Regulierung eine klare und vollständige Beschreibung aller Funktionen und IKT-Dienstleistungen, die der IKT-Dienstleister bereitzustellen hat (Art. 30 Abs. 2 a, 1. Halbsatz). Zudem fordert DORA eine Beschreibung der Dienstleistungsgüte, einschließlich Aktualisierung und Überarbeitungen (Art. 30 Abs. 2 e).
Bei der Unterstützung kritischer und wichtiger Funktionen verlangt DORA vollständige Beschreibungen der Dienstleistungsgüte, einschließlich Aktualisierungen und Überarbeitungen, mit präzisen und qualitativen Leistungszielen innerhalb der vereinbarten Dienstleistungsgüte. Dies soll dem Finanzunternehmen eine wirksame Überwachung von IKT-Dienstleistungen und das unverzügliche Ergreifen angemessener Korrekturmaßnahmen ermöglichen, wenn eine vereinbarte Dienstleistungsgüte nicht erreicht wird (Art. 30 Abs. 3 a).
Fazit
Die Anforderungen der EBA-Guidelines, der MaRisk und des DORA zielen darauf ab, eine qualitativ ausgereifte Beschreibung der jeweils geschuldeten Leistung zu liefern. Bei kritischen und wichtigen Funktionen liegen die Anforderungen des DORA höher. Die Bedeutung einer vollständigen Leistungsbeschreibung steigt erneut.
Bei kritischen und wichtigen Dienstleistungen ist auch zu prüfen, ob für die Cybersicherheit ergänzende Service Levels mit Messkriterien und Sanktionen für die Nicht-Einhaltung ergänzt werden können.
Wo immer sich Anpassungen ergeben, unterstützen wir Sie mit einem pragmatischen Ansatz dabei, Lösungen zu suchen und Vertragsbedingungen zu formulieren.
Bisher zu den Mindestvertragsinhalten des DORA erschienen:
Michaela Witzel, LL.M. (Fordham University School of Law),
Fachanwältin für IT-Recht
witzel@web-partner.de