Der Digital Operational Resilience Act (Verordnung (EU) 2022/2554, kurz: DORA) steht vor der Tür. Die Verordnung ist bereits im Jänner 2023 in Kraft getreten und gilt ab 17. Jänner 2025. Unternehmen im Finanzsektor sind ab dann verpflichtet, die Anforderungen aus DORA umzusetzen, um sicherzustellen, dass die digitale operationale Resilienz gewährleistet ist. DORA gibt hierbei vor, dass Verträge bestimmte Mindestvertragsinhalte haben müssen.
Ziel von DORA
DORA hat zum Ziel, die Widerstandsfähigkeit des Finanzsektors gegen digitale Bedrohungen zu stärken und sicherzustellen, dass alle relevanten Organisationen in der Lage sind, Störungen in ihren Informations- und Kommunikationstechnologiesystemen (IKT) zu überstehen, abzufedern und auf diese zu reagieren. Die Verordnung stellt sicher, dass die Risiko- und Sicherheitsmanagement-Strategien für den gesamten IKT-Bereich standardisiert und optimiert werden, insbesondere durch ein robustes Drittparteien-Risikomanagement.
Welche Mindestvertragsinhalte schreibt DORA vor?
Ein zentraler Aspekt von DORA ist die Regulierung der Verträge, die Finanzunternehmen mit Drittanbietern von IKT-Dienstleistungen abschließen. Die Mindestanforderungen an diese Verträge umfassen:
- IKT-Sicherheitsanforderungen: Verträge müssen klare Bestimmungen zur Einhaltung der Informationssicherheit durch die IKT-Drittanbieter enthalten, insbesondere in Bezug auf die Verfügbarkeit, Integrität und Vertraulichkeit von Daten. Dies ist essenziell, um potenzielle Risiken für kritische Funktionen zu minimieren.
- Zugriffs- und Prüfungsrechte: Unternehmen müssen das Recht haben, die Einhaltung der Sicherheitsstandards durch Drittanbieter regelmäßig zu überprüfen und zu testen. Dies schließt ein detailliertes Prüfungs- und Testverfahren ein, das auch unangekündigte Prüfungen umfassen kann, um ein hohes Sicherheitsniveau sicherzustellen.
- Unterauftragsvergabe: Im Fall von Unterauftragsvergaben müssen die Verträge festlegen, unter welchen Bedingungen diese gestattet sind. Zudem muss garantiert werden, dass alle Anforderungen an Informationssicherheit und Resilienz ebenfalls für Unterauftragnehmer gelten.
- Kündigungsrechte: DORA verlangt, dass Verträge mit IKT-Drittanbietern klare Regelungen zur Kündigung enthalten, insbesondere wenn die Drittanbieter die Sicherheitsstandards nicht erfüllen. Kündigungsrechte und -fristen sind darauf ausgelegt, das Unternehmen vor langfristigen Risiken zu schützen.
- Änderungsmanagement und Berichterstattung: Änderungen in der Art und Weise, wie die Dienstleistungen erbracht werden, müssen dem Finanzunternehmen rechtzeitig gemeldet werden. Dies soll sicherstellen, dass Anpassungen an veränderte Rahmenbedingungen und Risikobewertungen jederzeit möglich sind.
- Regelungen zur Risikomessung und Leistungsüberwachung: In den Verträgen müssen messbare „Key Performance Indicators“ (KPIs) für die Leistungen der IKT-Drittanbieter festgelegt werden, inklusive Sanktionen für den Fall der Nichterfüllung. Diese Kennzahlen helfen, die Leistung und Sicherheitskonformität kontinuierlich zu überwachen.
- Vorab-Informationspflicht: Drittanbieter müssen das Finanzunternehmen über alle relevanten Änderungen in der Geschäftsstrategie, Eigentümerstruktur und wesentlichen Vertragsänderungen vorab informieren, um das Risikoprofil stets transparent zu halten.
Was tragen Verträge nach DORA zur Risikominimierung bei?
Mindestvertragsinhalte nach DORA spielt eine entscheidende Rolle im Risikomanagement. Verträge, die auf den DORA-Standards basieren, ermöglichen es Finanzunternehmen, ihre Abhängigkeiten von Drittanbietern strukturiert zu überwachen und im Falle von Sicherheitsverletzungen oder Leistungsausfällen gezielt zu reagieren. Ein strukturiertes IKT-Drittparteienrisikomanagement, wie DORA es fordert, bildet damit eine starke Grundlage für die Reduzierung potenzieller finanzieller und operativer Schäden und schützt gleichzeitig das Vertrauen der Kunden.
Verträge updaten: Jetzt handeln!
Bereiten Sie sich optimal auf DORA vor! Aktualisieren Sie Ihre bestehenden Verträge mit Drittanbietern und stellen Sie sicher, dass diese die Mindestvertragsinhalte nach DORA gerecht werden. Gern unterstützen wir Sie bei der Anpassung Ihrer vertraglichen Vereinbarungen, damit Ihre digitalen Risiken jederzeit im Griff sind.
Sie haben weitere Fragen zum Digital Operational Resilience Act?
Sie haben weitere Fragen zu diesem Thema oder wollen sich in anderen Bereichen des Wirtschaftsrechts durch einen Rechtsanwalt beraten lassen? Unser Team bietet umfassende Beratungsleistungen zur DORA-Umsetzung für Finanzunternehmen und IT-Dienstleister. Melden Sie sich gerne bei unserer Kanzlei unter office@geuer.at oder telefonisch unter +43-1-4380072. Wir freuen uns auf Ihre Anfrage.