Mindestvertragsinhalte des DORA: 4. Überwachung

Cybersicherheit trifft auf Vertragsfreiheit: Artikel 30 DORA enthält einen Katalog von Mindestinhalten, die sich in Auslagerungsverträgen mit ITK-Dienstleistern wiederfinden müssen. Bei der Überwachung durch die Aufsicht entsprechen die Anforderungen nach DORA zwar weitgehend den Vorgaben von EBA und MaRisk (AT 9). Ein genauer Blick offenbart jedoch Unterschiede im Detail.

MaRisk

Die MaRisk zielt darauf ab, sicherzustellen, dass die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) uneingeschränkte Informations- und Prüfungsrechte hat, um die wirksame Beaufsichtigung der ausgelagerten Aktivitäten und Prozesse zu gewährleisten (MaRisk AT 9 Tz. 7i). Die Kernelemente sind:

  • Informations- und Prüfungsrechte: Die BaFin muss uneingeschränkte Rechte haben, um Informationen einzuholen und Prüfungen durchzuführen. Diese Rechte sind im Auslagerungsvertrag explizit zu vereinbaren.

  • Verpflichtung zur Duldung von Prüfungen: Auslagerungsunternehmen müssen Prüfungen der BaFin und deren externen Prüfern dulden. Diese Duldung ist durch eine Duldungserklärung im Auslagerungsvertrag festzulegen.

  • Keine Beeinträchtigung der Beaufsichtigung: Die Wirksamkeit der Aufsicht durch die BaFin darf durch Auslagerungsvereinbarungen nicht beeinträchtigt werden. Dies gilt sowohl für Vor-Ort-Prüfungen („on-site“) als auch für die laufende Aufsicht („off-site“).

 

DORA und der RTS TPPol

DORA stellt sicher, dass Finanzunternehmen das Recht haben, die Leistung der IKT-Dienstleister fortlaufend zu überwachen. Dies umfasst detaillierte Anforderungen an Zugangs- und Prüfungsrechte sowie die Zusammenarbeit bei Audits (Art. 30 Abs. 3(e)). Die Kernelemente sind:

  • Uneingeschränkte Zugangs-, Inspektions- und Auditrechte: Finanzunternehmen und zuständige Behörden haben das Recht auf uneingeschränkten Zugang, Inspektionen und Audits. Diese Rechte dürfen nicht durch vertragliche Vereinbarungen eingeschränkt werden.

  • Recht auf alternative Bestätigungsniveaus: Wenn Rechte anderer Kunden betroffen sind, können alternative Bestätigungsniveaus vereinbart werden.

  • Verpflichtung zur uneingeschränkten Zusammenarbeit: IKT-Dienstleister müssen uneingeschränkt bei Vor-Ort-Inspektionen und Audits kooperieren. Diese Verpflichtung gilt für Audits durch zuständige Behörden, das Finanzunternehmen oder beauftragte Dritte.

  • Mitteilung von Einzelheiten zu Inspektionen: Der IKT-Dienstleister muss Einzelheiten zu Umfang, Häufigkeit und Verfahren der Inspektionen mitteilen.

Art. 8 RTS TPPol. ergänzt die Vorgaben zu den Prüfrechten weiter und regelt die u.a. Anforderungen an die Prüfung durch die Interne Revision, die Ausweitung und Aufrechterhaltung des Prüfungsumfangs bei Verwendung von Zertifizierungen:

The policy shall specify that the relevant contractual arrangements are to include the right for the financial entity to access information, to carry out inspections and audits, and to perform tests on ICT. For that purpose, the policy shall require that the financial entity uses the following methods, without prejudice to the ultimate responsibility of the financial entity:

  • (a) its own internal audit or an audit by an appointed third party;

  • (b) where appropriate, pooled audits and pooled ICT testing, including threat-led penetration testing, that are organized jointly with other contracting financial entities or firms that use ICT services of the same ICT third-party service provider and that are performed by those contracting financial entities or firms or by a third party appointed by them;

  • (c) where appropriate, third-party certifications;

  • (d) where appropriate, internal or third-party audit reports made available by the ICT third-party service provide

Auch zur Zusammenarbeit mit der Aufsicht enthält der RTS TPPol in Art. 3 Abs. 8:

The policy shall explicitly specify that the contractual arrangements:

  • (a) do not relieve the financial entity and its management body of its regulatory obligations and its responsibilities to its clients;

  • (b) are not to prevent effective supervision of a financial entity and are not to contravene any supervisory restrictions on services and activities;

  • (c) are to require that the ICT third party service providers cooperate with the competent authorities;

  • (d) are to require that the financial entity, its auditors, and competent authorities have effective access to data and premises relating to the use of ICT services supporting critical or important function.

Fazit

Generell hat die MaRisk einen allgemeinen Blick auf alle ausgelagerten Aktivitäten und Prozesse, der DORA hingegen konzentriert sich auf IKT-Dienstleistungen und die damit verbundenen operativen Resilienzanforderungen. 

Sowohl MaRisk als auch DORA verlangen uneingeschränkte Zugangs- und Prüfungsrechte für die Aufsichtsbehörden und beauftragte Prüfer. Beide Regelwerke erfordern auch, dass diese Rechte in den Auslagerungsverträgen explizit festgelegt werden. Dienstleister müssen die Prüfungen dulden und umfassend kooperieren.

Bei der Reichweite und den Details der Regelungen gibt es Unterschiede. Bei der MaRisk liegt der Fokus primär auf den Rechten der BaFin und der Sicherstellung einer ungehinderten Beaufsichtigung durch diese. Der DORA liefert detailliertere Regelungen zur fortlaufenden Überwachung, einschließlich der Möglichkeit, alternative Bestätigungsniveaus zu vereinbaren und der Verpflichtung zur detaillierten Mitteilung von Inspektionsdetails.

Wo immer sich Anpassungen ergeben, unterstützen wir Sie mit einem pragmatischen Ansatz dabei, Lösungen zu suchen und Vertragsbedingungen zu formulieren.

Bisher zu den Mindestvertragsinhalten des DORA erschienen:

Michaela Witzel, LL.M. (Fordham University School of Law),
Fachanwältin für IT-Recht
witzel@web-partner.de