DORA-Verordnung: Neue Pflichten für Banken und ihre IT-Dienstleister

Der Digital Operational Resilience Act (DORA) der EU stellt Banken und andere Finanzinstitute vor neue Herausforderungen – und mit ihnen auch deren IT-Dienstleister. 

Wozu dient DORA?

DORA soll die digitale Widerstandsfähigkeit des Finanzsektors stärken, indem es Banken und andere Finanzinstitute verpflichtet, strenge Vorgaben für den Schutz vor IT-Risiken, Cyberangriffen und Systemausfällen einzuhalten. Dies betrifft nicht nur die bankeigenen interne Abläufe, sondern auch externe Dienstleister von Banken und anderen Finanzinstituten. Denn diese müssen von den Banken in ihrer hauseigenen IT-Risikoanalyse als Faktor berücksichtigt werden.

Obwohl viele kleien und mittlere IT-Unternehmen also selbst nicht direkt DORA unterliegen, werden sie zunehmend mit neuen Vertragsklauseln und Vertragszusätzen konfrontiert, die von Banken eingeführt werden, damit diese ihre regulatorischen Pflichten erfüllen können.

Was bedeutet DORA für IT-Dienstleister?

Banken müssen ihre IT-Dienstleister strenger überwachen und vertraglich in ihre Risikostrategie einbinden. Dazu gehören unter anderem:

• Erhöhte Sicherheits- und Resilienzanforderungen
• Regelmäßige Risikoanalysen und Berichterstattung
• Detaillierte Notfall- und Wiederherstellungspläne
• Umfangreichere Prüfungsrechte für Banken und Aufsichtsbehörden

Diese neuen Vorgaben sind nach der Wichtigkeit und Kritikalität der Leistungen abgestuft, die die IT-Dienstleister für ihre Bank-Kunden erbringen, und können zu unerwarteten Verpflichtungen und Haftungsrisiken für IT-Dienstleister führen – oft ohne ausreichende Vorbereitung oder Verhandlungsspielraum und ohne Regelung zu den  Zusatzkosten, die durch die Übernahme neuer Pflichten für den IT-Dienstleister entstehen. 

Wie kann ich Ihnen helfen?

Wenn Sie von Ihren Kunden aus dem Finanzsektor auf DORA angesprochen werden und gebeten werden, vertragliche Zusätze zu akzeptieren, unterstütze ich Sie dabei, auf diese neuen Anforderungen strategisch zu reagieren:

• Vertragsprüfung & Verhandlung: ich analysiere neue Vertragsklauseln auf potenzielle Risiken und setze mich für faire Bedingungen ein.
• Risikomanagement: Ich helfe Ihnen, rechtliche Fallstricke zu erkennen und  zu vermeiden.
• Haftungsbegrenzung: Ich entwickle Lösungen, um unangemessene Verpflichtungen und da mit Haftungsfallen zu vermeiden.

Aus der Praxis

DORA-Vertragsstandards für IT-Dienstleister im Finanzsektor

Ein mittelständisches IT-Beratungsunternehmen erbringt Dienstleistungen für mehrere Banken und Sparkassen. Mit Inkrafttreten von DORA stand das Unternehmen vor einer praktischen Herausforderung: Jedes Finanzinstitut schickte eigene Vertragsanlagen: manche knapp, manche umfangreich, alle unterschiedlich. Das führte zu erheblichem Verhandlungsaufwand und Rechtsunsicherheit darüber, welche Klauseln regulatorisch zwingend sind und wo Spielraum besteht.
Gemeinsam entwickelten wir ein standardisiertes DORA-Vertragswerk als eigene Verhandlungsbasis gegenüber Banken. Das Paket umfasst: eine DORA-konforme Leistungsbeschreibung mit integrierten Service-Level-Definitionen, Klauseln zu IKT-Sicherheitsanforderungen und Incident-Meldepflichten gegenüber dem Finanzinstitut, eine Subunternehmerregelung mit den nach Art. 30 DORA erforderlichen Transparenzpflichten sowie Exit-Klauseln mit Übergangsunterstützung. Ergänzend erstellte ich ein internes Verhandlungsmerkblatt: Es erklärt, welche Klauseln verhandelbar sind – und wo die regulatorischen Mindestanforderungen nicht unterschritten werden dürfen.
Das Ergebnis: Das Unternehmen tritt Vertragsverhandlungen mit Banken heute mit einer eigenen, rechtssicheren Grundlage an – statt jedes Mal die Vorlage des Finanzinstituts unkommentiert zu akzeptieren.

Prüfung und Verhandlung einer DORA-Vertragsanlage für einen IT-Dienstleister

Ein Rechenzentrums- und Managed-Service Anbieter, zu dessen Kunden eine Privatbank zählt, erhielt von der Bank eine mehrseitige DORA-Vertragsanlage zur Unterzeichnung mit einer Frist von drei Wochen. Der Dienstleister beauftragte mich mit der Prüfung der Vertragsanlage aus seiner Perspektive. Im Fokus: Audit- und Kontrollrechte des Kunden, die in der vorliegenden Fassung nahezu unbegrenzt formuliert waren; sehr weitreichende und einseitige Haftungsklauseln, die die verhandelte und angemessene Haftungsregelung des Hauptvertrages überschreiben sollten, Incident-Meldepflichten mit Fristen, die operativ nicht einhaltbar (und auch so nicht von DORA gefordert) waren sowie Subunternehmerklauseln, die eine vorherige Genehmigung der Bank für jeden einzelnen Subunternehmer ohne Ausnahme für bereits etablierte Dienstleister vorsahen. Mit meiner Unterstützung vereinbarten die Vertragspartner eine für beide Seiten tragfähige Fassung. Der Dienstleister unterzeichnete eine Vertragsanlage, die DORA-konform ist und nicht einseitig zu seinen Lasten geht.