Mindestvertragsinhalte des DORA: 6. Business Continuity Management

Cybersicherheit trifft auf Vertragsfreiheit: Artikel 30 DORA enthält einen Katalog von Mindestinhalten, die sich in Auslagerungsverträgen mit ITK-Dienstleistern wiederfinden müssen. Beim Business Continuity Management (BCM) geht es um die Auslagerung zeitkritischer Aktivitäten an Drittanbieter. Das BCM ist ein wesentlicher Teil der Risikomanagementstrategie von Finanzinstituten. Es umfasst Notfallpläne und Maßnahmen, um die Geschäftstätigkeit bei Störungen fortzuführen. MaRisk und DORA/RTS formulieren spezifische Anforderungen an das BCM, die Finanzinstitute und Dienstleister beachten müssen.

 

MaRisk

Nach MaRisk müssen Institute die Risiken bei Auslagerungen steuern und überwachen. Wesentliche Auslagerungen erfordern eine regelmäßige Überwachung der Leistung des Auslagerungsunternehmens anhand festgelegter Kriterien (z.B. Key Performance Indicators, Key Risk Indicators). Die Qualität der Leistungen ist regelmäßig zu beurteilen (MaRisk AT 9 Tz. 9).

Für zeitkritische ausgelagerte Aktivitäten müssen sowohl das auslagernde Institut als auch das Auslagerungsunternehmen über abgestimmte Notfallkonzepte verfügen (MaRisk AT 7.3 Tz. 2). Der Vertrag soll Anforderungen zur Umsetzung und Überprüfung dieser Notfallkonzepte enthalten (MaRisk AT 9 Tz. 7g), einschließlich klarer quantitativer und qualitativer Leistungsziele (MaRisk AT 9 Tz. 7e).

Die Organisationsanweisung „BCM in der Dienstleistersteuerung“ beschreibt, wie risikoorientierte BCM-Anforderungen definiert und vertraglich vereinbart werden müssen. Die Einhaltung dieser Anforderungen wird durch das Finanzunternehmen mittels BCM-KPIs kontrolliert. Der Prozess stellt sicher, dass die Notfallkonzepte stets aufeinander abgestimmt sind.

 

DORA

Artikel 30 Abs. 3 (c) DORA betrifft ITK-Dienstleistungen zur Unterstützung kritischer und wichtiger Funktionen. Er verlangt, dass IKT-Drittdienstleister Notfallpläne implementieren und testen sowie Maßnahmen, Tools und Leitlinien für die IKT-Sicherheit haben. Diese Pläne müssen regelmäßig getestet und aktualisiert werden, um im Ernstfall effektiv zu sein.

Gemäß Artikel 4 lit. g der Regulatory Technical Standards für Subunternehmer (RTS-E SUB) müssen IKT-Unterauftragnehmer über Incident-Response- und Geschäftsfortführungspläne verfügen, die den Anforderungen des Artikels 11 der Verordnung (EU) 2022/2554 entsprechen. Diese Pläne und die Service Level Agreements (SLAs) müssen in den Verträgen klar definiert und verbindlich vereinbart werden.

Die RTS ergänzen die Vorgaben von DORA durch detaillierte Anforderungen an die Geschäftsfortführungspläne der IKT-Dienstleister. Diese Pläne müssen regelmäßig überprüft und getestet werden, um im Falle von Zwischenfällen wirksam zu sein.

 

Fazit

MaRisk und DORA/RTS stellen strenge Anforderungen an das BCM von Finanzinstituten und deren Dienstleistern. Während MaRisk auf die regelmäßige Überwachung und Bewertung der Leistung von Auslagerungsunternehmen fokussiert, fordert DORA detaillierte Notfallpläne und Maßnahmen zur IKT-Sicherheit. Beide Regelwerke betonen die Notwendigkeit abgestimmter Notfallkonzepte und regelmäßiger Tests, um die Kontinuität der Geschäftsprozesse zu sichern.

DORA bringt spezifische Änderungen und Erweiterungen für bestehende BCM-Prozesse. Es fordert erweiterte Maßnahmen zur IT-Sicherheit, regelmäßige Tests und Audits sowie umfassende Dokumentations- und Berichtsanforderungen. Eine gründliche Analyse bestehender BCM-Prozesse ist erforderlich, um Compliance-Lücken zu schließen, was möglicherweise technologische und organisatorische Anpassungen erfordert.

Für ITK-Dienstleistungen, die keine kritischen und wichtigen Funktionen unterstützen, sind die bisherigen Regelungen bei Auslagerungen daraufhin zu prüfen, ob das Notfallmanagement auch die Recovery und Wiederherstellung nach einem IKT-Vorfall abbildet. Die Testverpflichtungen sind gegebenenfalls nachzuschärfen.

Finanzinstitute müssen sicherstellen, dass ihre Verträge mit IKT-Dienstleistern die Anforderungen von MaRisk und DORA/RTS erfüllen. Eine sorgfältige Integration beider Regelwerke in die Vertragsgestaltung ist entscheidend, um ein robustes BCM zu gewährleisten und den regulatorischen Anforderungen gerecht zu werden.

 

Wo immer sich Anpassungen ergeben, unterstützen wir Sie mit einem pragmatischen Ansatz dabei, Lösungen zu suchen und Vertragsbedingungen zu formulieren.

Bisher zu den Mindestvertragsinhalten des DORA erschienen:

Michaela Witzel, LL.M. (Fordham University School of Law),
Fachanwältin für IT-Recht
witzel@web-partner.de