DORA – Anforderungen an Vereinbarung mit IKT-Drittdienstleistern
Veröffentlicht am 19th Sep 2024
Die Regelungen der DORA (Digital Operational Resilience Act)¹ gelten ab dem 17. Januar 2025. Die Vorbereitungen der Finanzunternehmen zur Umsetzung laufen bereits. Zu beachten gibt es zum einen organisatorische Anforderungen an die Governance, insbesondere an das IKT-Risikomanagement. Zum anderen regelt DORA aber auch besondere Anforderungen an vertragliche Vereinbarungen mit IKT-Dienstleistern, die Finanzunternehmen einzuhalten haben. Letztere sind Gegenstand dieses Beitrags.
Einführung
Die DORA schafft einen europaweit einheitlichen Regulierungsrahmen für die digitale operationale Resilienz, den Umgang mit IKT-Risiken und Cybersicherheit. Die Anforderungen ergänzen die bestehenden (nationalen) Anforderungen, insbesondere die MaRisk für Kredit- und Finanzdienstleistungsinstitute und die ZAG-MaRisk für Zahlungs- und E-Geld-Institute bzw. die spezifischen Anforderungen an die IT (BAIT bzw. ZAIT); teilweise überschneiden sich die Anforderungen auch. Vor dem Hintergrund beabsichtigt die BaFin, die aufsichtlichen Anforderungen an die IT (BAIT/VAIT/KAIT/ZAIT) aufzuheben.
BaFin, Aufsichtsmitteilung, Hinweise zur Umsetzung von DORA im IKT-Risikomanagement und IKT-Drittparteienrisikomanagament, Stand: Juni 2024.
Einer der wesentlichen Bestandteile der DORA ist das sog. IKT-Drittparteienrisikomanagement. Vor der Auswahl eines IKT-Dienstleisters und dem Abschluss einer entsprechenden Vereinbarung muss das Finanzunternehmen eine konkrete Risikoanalyse durchführen und schriftlich dokumentieren. Die Risikoanalyse bildet die Grundlage für die Entscheidung für oder gegen die geplante Nutzung eines IKT-Dienstleisters. Inhaltlich sind alle relevanten Risiken im Zusammenhang mit dem potentiellen IKT-Dienstleister zu identifizieren und zu bewerten (ex ante Risikoanalyse – Art. 28 Abs. 4 DORA).
Zum IKT-Drittparteienrisikomanagement gehört auch die Festlegung von Mindestvertragsbestandteilen an Vereinbarungen mit IKT-Drittdienstleistern. Diese werden im Wesentlichen in Art. 30 DORA geregelt und von den Europäischen Aufsichtsbehörden durch Regulatory Technical Standards (RTS) ergänzt. Die RTS werden dann in verbindliche Delegierte Verordnungen überführt. Das Konsultationspapier vom 27. November 2023 enthält einen Entwurf der RTS bzw. Delegierten Verordnung für Elemente, die bei der Untervergabe von IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen zu beachten sind. Auch die Delegierte Verordnung (EU) 2024/1773 vom 25. Juni 2024 ergänzt die DORA im Hinblick auf die Anforderungen an vertragliche Vereinbarungen über die Nutzung von IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen.
Vorgegeben werden bestimmte Mindestvertragsbestandteile, die für alle Vereinbarungen über die Nutzung von IKT-Dienstleistungen gelten (Art. 30 Abs. 2 DORA). Für die Nutzung von IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen gelten zusätzliche Vertragselemente, die zu vereinbaren sind (Art. 30 Abs. 3 DORA).
Mindestvertragsbestandteile für alle IKT-Dienstleistungen
Die Vereinbarung über die Nutzung von IKT-Dienstleistungen erfordert einen schriftlichen Vertrag. Das bedeutet, dass der Vertrag in Papierform oder in einem anderen herunterladbaren, dauerhaften und zugänglichen Format dokumentiert wird (Art. 30 Abs. 1 DORA). Im Einzelnen zu regeln sind:
- Klare und vollständige Beschreibung aller Funktionen und IKT-Dienstleistungen (Art. 30 Abs. 2 lit. a) DORA).
- Standorte (Regionen oder Länder), an denen die vertraglich vereinbarten oder an Unterauftragnehmer vergebenen Funktionen und IKT-Dienstleistungen bereitzustellen sind und an denen Daten verarbeitet werden sollen, einschließlich des Speicherorts, sowie die Auflage für den IKT-Drittdienstleister, das Finanzunternehmen vorab zu benachrichtigen, wenn er eine Änderung dieser Standorte beabsichtigt (Art. 30 Abs. 2 lit. b) DORA).
- Bestimmungen über Verfügbarkeit, Authentizität, Integrität und Vertraulichkeit in Bezug auf den Datenschutz, einschließlich des Schutzes personenbezogener Daten (Art. 30 Abs. 2 lit. c) DORA). Dazu gehören regelmäßig der Abschluss einer Vereinbarung über die Auftragsdatenverarbeitung (AVV) sowie die Vereinbarung Technisch-Organisatorischer Maßnahmen (TOM) auf der Grundlage anerkannter Standards.
- Bestimmungen über die Sicherstellung des Zugangs zu personenbezogenen und nicht personenbezogenen Daten, die von dem Finanzunternehmen im Fall einer Insolvenz, Abwicklung, Einstellung der Geschäftstätigkeit des IKT-Drittdienstleisters oder einer Beendigung der vertraglichen Vereinbarungen verarbeitet werden, sowie über die Wiederherstellung und Rückgabe dieser Daten in einem leicht zugänglichen Format (Art. 30 Abs. 2 lit. d) DORA).
- Beschreibungen der Dienstleistungsgüte, einschließlich Aktualisierungen und Überarbeitungen (Art. 30 Abs. 2 lit. e) DORA); zu diesem Zweck bietet sich die Vereinbarung von Service Level Agreements (SLAs) an.
- die Verpflichtung des IKT-Drittdienstleisters, dem Finanzunternehmen bei einem IKT-Vorfall, der mit dem für das Finanzunternehmen bereitgestellten IKT-Dienst in Verbindung steht, ohne zusätzliche Kosten oder zu vorab festzusetzenden Kosten Unterstützung zu leisten (Art. 30 Abs. 2 lit. f) DORA).
- die Verpflichtung des IKT-Drittdienstleisters, vollumfänglich mit den für das Finanzunternehmen zuständigen Behörden und Abwicklungsbehörden zusammenzuarbeiten, einschließlich der von diesen benannten Personen (Art. 30 Abs. 2 lit. g) DORA).
- Kündigungsrechte und damit zusammenhängende Mindestkündigungsfristen für die Beendigung der vertraglichen Vereinbarungen entsprechend den Erwartungen der zuständigen Behörden und der Abwicklungsbehörden (Art. 30 Abs. 2 lit. h) DORA). Die Vereinbarung von Kündigungsfristen setzt bestimmte Vorüberlegungen voraus, die bei der Durchführung der Risikoanalyse berücksichtigt werden sollten. Das betrifft insbesondere eine Einschätzung, welcher (auch zeitliche) Aufwand an die Integration der vom IKT-Dienstleister übernommenen Leistungen geknüpft ist und für die Suche nach einem neuen IKT-Dienstleister in Anspruch genommen werden wird.
- Bedingungen für die Teilnahme von IKT-Drittdienstleistern an den von den Finanzunternehmen angebotenen Programmen zur Sensibilisierung für IKT-Sicherheit und Schulungen zur digitalen operationalen Resilienz (Art. 30 Abs. 2 lit. i) DORA). Finanzunternehmen entwickeln Programme zur Sensibilisierung für IKT-Sicherheit und Schulungen zur digitalen operationalen Resilienz, die im Rahmen ihrer Programme für die Mitarbeiterschulung obligatorisch sind. Diese Programme und Schulungen gelten für alle Beschäftigten und die Geschäftsleitung und sind so komplex, dass sie deren jeweiligem Aufgabenbereich angemessen sind. Art 13 Abs. 6 DORA sieht vor, dass Finanzunternehmen IKT-Drittdienstleister „gegebenenfalls“ in ihre einschlägigen Schulungsprogramme aufnehmen. Auch dies ist unter Risikogesichtspunkten zu bewerten.
Zusätzliche Regelung bei kritischen oder wichtigen Funktionen
Definition
Bei Vereinbarungen über die Nutzung von IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen sind zusätzlich weitere Mindestinhalte zu vereinbaren. Denn in diesem Fall wird von einer besonderen Bedeutung der mit der Beauftragung verbundenen IKT-Drittparteienrisiken ausgegangen.
BaFin, Aufsichtsmitteilung, Hinweise zur Umsetzung von DORA im IKT-Risikomanagement und IKT-Drittparteienrisikomanagament, Stand: Juni 2024.
Definiert wird eine kritische oder wichtige Funktion als
„eine Funktion, deren Ausfall die finanzielle Leistungsfähigkeit eines Finanzunternehmens oder die Solidität oder Fortführung seiner Geschäftstätigkeiten und Dienstleistungen erheblich beeinträchtigen würde oder deren unterbrochene, fehlerhafte oder unterbliebene Leistung die fortdauernde Einhaltung der Zulassungsbedingungen und -verpflichtungen eines Finanzunternehmens oder seiner sonstigen Verpflichtungen nach dem anwendbaren Finanzdienstleistungsrecht erheblich beeinträchtigen würde;“
Diese Regelung entspricht nicht der im Aufsichtsrecht bekannten Wesentlichkeitsanalyse bei Auslagerung. Maßgeblich ist, welche Auswirkungen ein Ausfall oder eine Einschränkung der übertragenen Funktionen auf das Finanzunternehmen, seine Geschäftstätigkeiten oder Dienstleistungen hätte. Es ist eine entsprechende Methode festzulegen, mit der bestimmt wird, welche IKT-Dienstleistungen kritische oder wichtige Funktionen unterstützen (Art. 3 Abs. 2 Delegierte Verordnung (EU) 2024/1773).
BaFin, Aufsichtsmitteilung, Hinweise zur Umsetzung von DORA im IKT-Risikomanagement und IKT-Drittparteienrisikomanagament, Stand: Juni 2024.
Zusätzliche Anforderungen an den Vertrag
Bei Vereinbarung über die Nutzung von IKT-Dienstleistungen zur Unterstützung kritischer oder wichtige Funktionen sind zusätzlich folgende Mindestinhalte zu vereinbaren:
- vollständige Beschreibungen der Dienstleistungsgüte, einschließlich Aktualisierungen und Überarbeitungen, mit präzisen quantitativen und qualitativen Leistungszielen innerhalb der vereinbarten Dienstleistungsgüte, um dem Finanzunternehmen eine wirksame Überwachung von IKT-Dienstleistungen und das unverzügliche Ergreifen angemessener Korrekturmaßnahmen zu ermöglichen, wenn eine vereinbarte Dienstleistungsgüte nicht erreicht wird (Art. 30 Abs. 3 lit. a) DORA); hierfür sind SLAs zu verwenden und dort auch entsprechende KPIs zu vereinbaren.
- Kündigungsfristen und Berichtspflichten des IKT-Drittdienstleisters gegenüber dem Finanzunternehmen, einschließlich der Meldung aller Entwicklungen, die sich wesentlich auf die Fähigkeit des IKT-Drittdienstleisters, IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen gemäß den vereinbarten Leistungsniveaus wirksam bereitzustellen, auswirken könnten (Art. 30 Abs. 3 lit. b) DORA). Die Regelung zu „Kündigungsfristen“ erscheint hier im Kontext der Berichtspflichten nicht passend. Schon auf der Grundlage der allgemeinen Vorgaben sind Kündigungsrechte und -fristen zu vereinbaren.
- Anforderungen an den IKT-Drittdienstleister, Notfallpläne zu implementieren und zu testen und über Maßnahmen, Tools und Leit- und Richtlinien für IKT-Sicherheit zu verfügen, die ein angemessenes Maß an Sicherheit für die Erbringung von Dienstleistungen durch das Finanzunternehmen im Einklang mit seinem Rechtsrahmen bieten (Art. 30 Abs. 3 lit. c) DORA).
- Die Verpflichtung des IKT-Drittdienstleisters, sich an bedrohungsorientierten Penetrationstests (TLPT — Threat Led Penetration Testing) des Finanzunternehmens zu beteiligen und uneingeschränkt daran mitzuwirken (Art. 30 Abs. 3 lit. d) DORA). Wenn vernünftigerweise davon auszugehen ist, dass sich die Einbindung eines IKT-Drittdienstleisters in einen TLPT nachteilig auf die Qualität oder die Sicherheit von Dienstleistungen des IKT-Drittdienstleisters an Kunden oder auf die Vertraulichkeit in Bezug auf die mit diesen Dienstleistungen verbundenen Daten auswirkt, können das Finanzunternehmen und der IKT-Drittdienstleister schriftlich vereinbaren, dass der IKT-Drittdienstleister unmittelbar vertragliche Vereinbarungen mit einem externen Tester schließt, um unter der Leitung eines benannten Finanzunternehmens einen gebündelten TLPT durchzuführen, an dem mehrere Finanzunternehmen beteiligt sind (gebündelter Test), für die der IKT-Drittdienstleister IKT-Dienstleistungen erbringt (Art. 26 Abs. 4 DORA).
- Das Recht, die Leistung des IKT-Drittdienstleisters fortlaufend zu überwachen, wozu Folgendes gehört (Art. 30 Abs. 3 lit. e) DORA):
- uneingeschränkte Zugangs-, Inspektions- und Auditrechte des Finanzunternehmens oder eines beauftragten Dritten und der zuständigen Behörde sowie das Recht auf Anfertigung von Kopien einschlägiger Unterlagen vor Ort, wenn ihnen für die Geschäftstätigkeit des IKT-Drittdienstleisters entscheidende Bedeutung zukommt, wobei die tatsächliche Ausübung dieser Rechte nicht durch andere vertragliche Vereinbarungen oder Umsetzungsrichtlinien behindert oder eingeschränkt wird;
- das Recht, alternative Bestätigungsniveaus zu vereinbaren, wenn die Rechte anderer Kunden betroffen sind;
- die Verpflichtung des IKT-Drittdienstleisters zur uneingeschränkten Zusammenarbeit bei Vor-Ort-Inspektionen und Audits, die von den zuständigen Behörden, der federführenden Überwachungsbehörde, dem Finanzunternehmen oder einem beauftragten Dritten durchgeführt werden; und
- die Verpflichtung, Einzelheiten zu Umfang und Häufigkeit dieser Inspektionen sowie dem dabei zu befolgenden Verfahren mitzuteilen.
- Ausstiegsstrategien, insbesondere die Festlegung eines verbindlichen angemessenen Übergangszeitraums (Art. 30 Abs. 3 lit. f) DORA):
- in dem der IKT-Drittdienstleister weiterhin die entsprechenden Funktionen oder IKT-Dienstleistungen bereitstellt, um das Risiko von Störungen im Finanzunternehmen zu verringern oder um dessen geordnete Abwicklung und Umstrukturierung sicherzustellen;
- der dem Finanzunternehmen ermöglicht, zu einem anderen IKT-Drittdienstleister zu wechseln oder auf interne Lösungen umzustellen, die der Komplexität der erbrachten Dienstleistung entsprechen.
- Bei der Vergabe von Unteraufträgen für IKT-Dienstleistungen ist zu regeln, ob diese zulässig ist und wenn dies der Fall ist, welche Bedingungen für die Unterauftragsvergabe gelten (Art. 30 Abs. 2 lit. a MICAR).
Umsetzung
Für die Umsetzung der DORA bietet sich eine modulare Herangehensweise an. Bestehende Verträge können durch „DORA Ergänzungsvereinbarung“ angepasst werden. Wichtig ist, dass neben den Anforderungen der DORA bei Vorliegen einer wesentlichen Auslagerung auch die zusätzlichen Anforderungen der AT 9 MaRisk bzw. ZAG-MaRisk berücksichtig werden, soweit diese anwendbar sind.
¹ Verordnung (EU) 2022/2554.