Marcus Michel, Vorstand, FCH AG

Mit der Einführung von DORA wird der Fokus verstärkt auf die Informations- und Kommunikationstechnologie (IKT) gelegt, die als Rückgrat des modernen Finanzwesens fungiert. Die Verordnung zielt darauf ab, die digitale Widerstandsfähigkeit des Finanzmarktes zu stärken und gleichzeitig Wettbewerb und Innovation zu fördern. DORA betrifft nicht nur Finanzunternehmen direkt, sondern erstreckt sich auch auf deren IKT-Drittdienstleister, insbesondere jene, die als kritisch eingestuft werden.

DORA adressiert die hohe Abhängigkeit der Banken, indem er einen spezifischen Rahmen für die Regulierung von als kritisch eingestuften IKT-Drittdienstleistern einführt. Diese Dienstleister, zu denen oft große Cloud-Anbieter zählen, werden nun erstmals einheitlich auf EU-Ebene reguliert.

Die Einstufung als kritischer IKT-Drittdienstleister erfolgt durch die Europäischen Aufsichtsbehörden (European Supervisory Authorities - ESA) auf Basis spezifischer Kriterien. Dabei spielen der systematische Charakter und die Bedeutung für die Finanzunternehmen, die diese Dienste nutzen, eine entscheidende Rolle.

Die Konsequenzen einer solchen Einstufung sind weitreichend. Kritische IKT-Drittdienstleister unterliegen der Überwachung durch die jeweils ernannte federführende Überwachungsbehörde. Diese Überwachung beinhaltet die Bewertung des IKT-Managements und der Dienstleistungen, die kritische oder wichtige Funktionen für Finanzunternehmen unterstützen. Auf dieser Grundlage wird ein individueller Überwachungsplan erstellt und den Dienstleistern jährlich übermittelt.

Kritische IKT-Drittdienstleister müssen umfassende Informationen und Unterlagen bereitstellen und sind zu allgemeinen Untersuchungen und Inspektionen verpflichtet. Sie müssen Empfehlungen zu IKT-Anforderungen, physischer Sicherheit oder Risikomanagementprozessen befolgen. Bei Nichtbefolgung dieser Empfehlungen können Finanzunternehmen angehalten werden, die Nutzung der Dienstleistungen dieser Dienstleister auszusetzen oder die entsprechenden Vertragsbeziehungen zu beenden.

Die Banken handhaben das IKT-Drittrisiko innerhalb ihres IKT-Risikomanagementrahmens. Dabei bleiben sie jederzeit in vollem Umfang für die Einhaltung und Erfüllung aller Verpflichtungen im Rahmen des DORA und der jeweils geltenden gesetzlichen Bestimmungen (z.B. VAG, KWG) verantwortlich.

Im Rahmen des IKT-Risikomanagements legen Banken eine Strategie für das IKT-Drittrisiko fest und überprüfen diese regelmäßig.

Die Finanzunternehmen führen auf Unternehmensebene ein Transaktionsregister über alle vertraglichen Vereinbarungen über die Nutzung von IKT-Dienstleistungen, die von IKT-Drittanbietern erbracht werden.

Mindestens einmal jährlich muss den zuständigen Behörden Bericht erstattet werde über die Zahl der neuen Vereinbarungen, die Kategorien von IKT-Drittdienstleistern, die Art der vertraglichen Vereinbarungen und die erbrachten IKT-Dienstleistungen und -Funktionen.

Vor dem Abschluss einer vertraglichen Vereinbarung über die Nutzung von IKT-Diensten haben die Finanzunternehmen umfassende Prüfpflichten. Finanzunternehmen dürfen nur dann vertragliche Vereinbarungen mit IKT-Drittdienstleistern treffen, wenn diese angemessene Informationssicherheitsstandards einhalten.

Für IKT-Dienstleistungen, die kritische oder wichtige Funktionen unterstützen, müssen Ausstiegsstrategien festgelegt werden. Die Ausstiegspläne müssen umfassend sein, dokumentiert werden und hinreichend getestet und regelmäßig überprüft werden.

PRAXISTIPPS

• Im ersten Schritt sollten alle Banken frühzeitig prüfen, welche Auslagerungen, Fremdbezüge tatsächlich IKT-relevant sind und hier umgehend eine Liste erstellen.
• Aktuell ist vielen Dienstleistern selbst nicht bewusst, dass die mit Einführung der DORA zu IKT-Dienstleistern werden und welche Pflichten hiermit verbunden sind, daher sollten frühzeitig von den Banken die Abstimmung erfolgen.
• Alle Dienstleisterverträge sind mit Blick auf die neuen, deutlich erweiterten IHK-Pflichten zu prüfen und anzupassen. Insbesondere die Themen Prüfungsrechte, Ausstiegsszenario und Kündigungsrechte sind oftmals unzureichend geregelt.