Mindestvertragsinhalte des DORA: Cybersicherheit trifft auf Vertragsfreiheit
Mit der Digitalisierung steigt auch das Risiko für Cyberangriffe im Finanzsektor. Der 2022 von der EU beschlossene DORA soll diese Risiken für Informations- und Telekommunikationstechnologie (IKT) reduzieren. Diese ergeben sich nicht nur bei der Verwendung eigener Technologien, sondern auch bei IKT-Drittdienstleistern. Das erfordert auch einen Blick auf die IKT-Verträge zwischen Finanzunternehmen und IKT-Drittdienstleistern. Zur Umsetzung haben die Unternehmen noch ein halbes Jahr Zeit. Die Regelungen sind ab dem 17. Januar 2025 anzuwenden.
Finanzunternehmen und IKT-Dienstleister sollten nun bestehende Klauseln in IKT-Verträgen überprüfen und ermitteln, in welchen Bestimmungen Anpassungsbedarf besteht:
Anforderungen an die Form und Veränderung von vertraglichen Vereinbarungen: Gilt für alle Verträge, erweiterte Pflichten bei kritischen und wichtigen Funktionen
Beschreibung der Leistung: Gilt für alle Verträge, erweiterte Pflichten bei kritischen und wichtigen Funktionen
Beschreibung der Dienstleistungsgüte: Gilt für alle Verträge, erweiterte Pflichten bei kritischen und wichtigen Funktionen
Subunternehmer/Weiterverlagerung: Pflichten bei kritischen und wichtigen Funktionen
Standort der Leistungserbringung: Gilt für alle Verträge, keine erweiterten Pflichten bei kritischen und wichtigen Funktionen
Datenschutz und Zugang zu Daten: Gilt für alle Verträge, keine erweiterten Pflichten bei kritischen und wichtigen Funktionen
Kündigungsrechte und Fristen: Gilt für alle Verträge, erweiterte Pflichten bei kritischen und wichtigen Funktionen
Teilnahme an Schulungen des Finanzunternehmens zur Cybersicherheit: Gilt für alle Verträge, keine erweiterten Pflichten bei kritischen und wichtigen Funktionen
Berichtspflichten: Gilt bei kritischen und wichtigen Funktionen
Spezifische Maßnahmen zur IKT-Sicherheit: Gilt bei kritischen und wichtigen Funktionen
Beteiligung an TLPT: Gilt bei kritischen und wichtigen Funktionen
Notfallpläne: Gilt bei kritischen und wichtigen Funktionen
Ausstiegsstrategien: Gilt bei kritischen und wichtigen Funktionen
In meiner Serie vergleiche ich die Vertragsbestimmungen des DORA (Artikel 30) mit den EBA-Guidelines und der MaRisk. Dabei analysiere ich die Auswirkungen auf Verträge insbesondere mit dem Blick auf Dienstleister zur Unterstützung kritischer und wichtiger Funktionen.
Generell lässt sich festhalten, dass die Anforderungen immer detaillierter werden und damit auch in die Vertragsfreiheit eingreifen. In vielen Bereichen kann nicht einfach auf die Bestimmungen des BGB als Lückenfüller zurückgegriffen werden.
Neue Verträge sollten schon jetzt die Vorgaben von DORA berücksichtigen. Die Anpassung an den DORA ist zwar mit Aufwand verbunden. Jedoch sind die Maßnahmen im eigenen Interesse aller Beteiligten, da sie das Risiko für Cyberangriffe reduzieren. Wo immer sich Anpassungen ergeben, unterstützen wir Sie mit einem pragmatischen Ansatz dabei, Lösungen zu suchen und Vertragsbedingungen zu formulieren.
Fazit
Wo immer sich Anpassungen ergeben, unterstützen wir Sie mit einem pragmatischen Ansatz dabei, Lösungen zu suchen und Vertragsbedingungen zu formulieren.
Michaela Witzel, LL.M. (Fordham University School of Law),
Fachanwältin für IT-Recht
witzel@web-partner.de