Die Finanzbranche ist Kummer in Sachen Regulatorik gewöhnt. Die Anforderungen an die Dienstleistersteuerung bei Auslagerungen sind in den vergangenen Jahren ständig angestiegen. Die Bestimmungen in MaRisk, MaGo, BAIT, EBA Guidelines on Outsourcing Arrangements enthalten auch Vorgaben für die Vertragsgestaltung. Nun soll neue Regulatorik für einheitliche Standards der Cybersicherheit in der Finanzbranche sorgen und macht erneut Vorgaben für die Vertragsgestaltung.
Und das nicht ohne Grund! Die Bedrohung durch Cyberangriffe in der Finanzbranche steigt massiv. Allein in den letzten Jahren hat sich weltweit die Zahl der Angriffe gegenüber dem Vorjahr verdoppelt. Dazu tragen mehrere Faktoren bei, darunter vor allem die zunehmende Digitalisierung der Finanzdienstleistungen, die Verlagerung der Arbeit ins Homeoffice, die politische Lage durch Russlands Krieg in der Ukraine. Damit einher gehen auch Fragen der IT-Sicherheit und des Business Continuity Management.
Eine Antwort auf diese steigenden operationellen Risiken liefert die EU mit ihrem Regulierungsrahmen DORA, dem Digital Operational Resilience Act. Diese Verordnung (EU) 2022/2554 soll ein gewichtiges Problem in der Finanzregulierung lösen. Bisher haben Finanzinstitute das operationelle Risiko nämlich hauptsächlich mit der Zuweisung von Kapital verwaltet. Auf der Basis von DORA müssen sie künftig auch weitergehende Regeln für den Schutz, die Erkennung, die Eindämmung, die Wiederherstellung von Vorfällen der in der Informations- und Kommunikationstechnik (IKT) befolgen.
DORA legt Regeln für das IKT-Risikomanagement, die Meldung von IKT-Vorfällen, die Prüfung der betrieblichen Widerstandsfähigkeit und die Überwachung des Risikos der IKT-Infrastruktur durch Dritte fest. Die Verordnung geht davon aus, dass Vorfälle und ein Mangel an operationeller Widerstandsfähigkeit die Solidität des gesamten Finanzsystems gefährden können, selbst wenn für ausreichend Kapital vorgehalten wird. DORA wurde am 27. Dezember 2022 im Amtsblatt der Europäischen Union als Verordnung (EU) 2022/2554 veröffentlicht. Seine Bestimmungen gelten ab dem 17. Januar 2025 und werden durch ergänzende delegierte Rechtsakte (ITS und RTS) ergänzt. Aufgrund ihres Umfangs und ihrem Fokus auf das operationelle Risikomanagement sind nicht nur sämtliche Akteure des Finanzsystems wie Banken und Versicherungen, sondern insbesondere auch deren IKT-Dienstleister betroffen, die die Vorgaben der Regulierung umsetzen müssen.
Neue Standards für das Managen von IKT-Risiken
DORA formuliert klare Erwartungen an die Rolle der Geschäftsleitung im IKT-Risikomanagement. Die Verordnung schreibt erstmalig vor, dass die Geschäftsleitung eines Finanzunternehmens die Gesamtverantwortung für das Management von IKT-Risiken trägt. Diese Verantwortung äußert sich in einer Reihe von Pflichten, von der Definition und Genehmigung eines IKT-Risikomanagement-Rahmenwerks bis hin zur kontinuierlichen Überwachung der Umsetzung von Geschäftskontinuitäts- und Wiederherstellungsplänen. Eine der wichtigsten Neuerungen durch DORA ist die explizite und persönliche Verantwortung der Mitglieder der Geschäftsleitung, festgeschrieben in Artikel 5 DORA. Die Verordnung definiert deutlich die Pflichten der Geschäftsleitung, die nun gesetzlich verankert sind.
Die Mitglieder der Geschäftsleitung können sich nicht mehr hinter den Entscheidungen von IT-Leitungen oder anderen Führungskräften verbergen. Die Verordnung gewährleistet, dass die Geschäftsleitung aktiv in die Genehmigung und laufende Überwachung der IKT-Strategien und ‑Praktiken eingebunden ist. Dies schließt die Zustimmung zu internen Auditplänen und deren regelmäßige Überprüfung sowie die Einhaltung von Richtlinien zur Nutzung von IKT-Diensten durch Dritte mit ein.
DORA unterstreicht die Notwendigkeit einer robusten Governance-Struktur innerhalb des Finanzinstituts, die effektive und zeitnahe Kommunikation, Zusammenarbeit und Koordination aller IKT-bezogenen Funktionen sicherstellt. Es ist Aufgabe der Geschäftsleitung, klare Rollen und Verantwortlichkeiten festzulegen und ausreichende Budgets bereitzustellen, um den Anforderungen an die digitale operative Resilienz gerecht zu werden. Mit Blick auf die bestehende Verwaltungspraxis der BaFin sind die Anforderungen zwar nicht völlig neu, sie erhalten aber zusätzliches Gewicht durch die sich verschärfende Bußgeldpraxis. Dies beeinflusst auch die Rolle der IT-Verantwortlichen, die nun neue Berichtspflichten gegenüber der Geschäftsleitung haben.
DORA fordert, dass die Mitglieder der Geschäftsleitung regelmäßig spezifische Schulungen zu IKT-Risiken erhalten. Diese Weiterbildungen sollen sicherstellen, dass sie stets auf dem aktuellen Stand der Technik und der besten Praktiken in Bezug auf IKT-Risikomanagement sind. Dies spiegelt die Erkenntnis wider, dass ein tiefes Verständnis von IKT-Risiken und deren Management für die Führung eines modernen Finanzunternehmens unerlässlich ist.
Die Umsetzung des DORA stellt für die Geschäftsleitungen von Finanzunternehmen eine Herausforderung dar. Sie sind nun direkt verantwortlich für die Überwachung und Verwaltung von IKT-Risiken, was eine engere Integration von IKT-spezifischem Wissen in die Unternehmensführung erfordert. Die Vorschriften bieten einen klaren Rahmen, um die operative Resilienz im Finanzsektor und letztendlich das Vertrauen in die digitale Wirtschaft zu stärken. Diese grundlegenden Veränderungen erfordern von der Geschäftsleitung der Finanzunternehmen eine Neubewertung der IKT-Risiken und ihrer bisherigen Strategien im Umgang damit.
Im Fokus des DORA: Verträge über die Erbringung von IKT-Dienstleistungen
Was sind IKT-Dienstleistungen im Sinne des DORA? Die Definition ergibt sich aus Art. 3 Nr. 21 DORA und ist weit gefasst. Nach der Legal-Definition des Art. 3 Abs. 1 Nr. 21 DORA sind IKT-Dienstleistungen digitale Dienste und Datendienste, die über IKT-Systeme einem oder mehreren internen oder externen Nutzern dauerhaft bereitgestellt werden, einschließlich Hardware als Dienstleistung und Hardwaredienstleistungen, wozu auch technische Unterstützung durch den Hardwareanbieter mittels Software- oder Firmware-Aktualisierungen gehört, mit Ausnahme herkömmlicher analoger Telefondienste. Unter den Anwendungsbereich des DORA fallen nicht nur Cloud-Dienste (SaaS, IaaS und PaaS), sondern auch Datenbereitstellungs- und analysedienste, Infrastruktur- und Rechenzentrumsdienstleistungen, Softwareentwicklung- und anpassung sowie Softwarewartung. Erfasst ist somit die ganze Bandbreite von IKT-Verträgen, keineswegs hat der DORA einen Fokus auf digitale Dienste.
Die zentrale Norm für die Vertragsinhalte ist Art. 30 DORA. Zunächst enthält die Bestimmung formelle Vorgaben an einen IKT-Vertrag. Es ist Schriftform gefordert, zumindest braucht es ein herunterladbares Dokument. Der DORA will demzufolge aufräumen mit dem Chaos im Vertragsmanagement, mit Verträgen ohne oder nur mit einer Unterschrift, ohne Datum und mit Anlagen, die zwar referenziert sind, aber nicht existieren. Art.30 Abs. 2 und 3 DORA enthalten dann Vorgaben an Mindestinhalte. Art. 30 Abs. 2 DORA enthält die Vorgaben für alle IKT-Dienstleistungen, Art. 30 Abs. 3 DORA enthält die zusätzlichen Anforderungen für IKT-Dienstleistungen, die zur Unterstützung einer kritischen und/oder wichtigen Funktion dienen. Die Nuancen spielen eine Rolle: es geht nicht um kritische und wichtige IKT-Dienstleistungen, sondern um solche, die kritische und wichtige Funktionen des jeweiligen Finanzunternehmens unterstützen. Diese Unterscheidung kann auch dazu führen, dass eine IKT-Dienstleistung bei mehreren Kunden unterschiedlich bewertet wird. Die Funktion, die sie unterstützt muss nicht die gleiche sein.
Die Liste der vertraglichen Anforderungen ist das „Who-is-who“ eines guten IKT-Vertrages. Sie umfasst für alle IKT-Verträge folgendes:
QR-Code
Die Anforderungen geben viel Spielraum für die Vertragsgestaltung. Finanzunternehmen, aber auch Dienstleister sollten diesen nutzen.
- Eine klare und vollständige Beschreibung aller Funktionen und IKT-Leistungen. Auch ohne DORA das Kernelement jedes guten IKT-Vertrages und Bewertungsmaßstab für Schlechtleistung und Sekundäransprüche.
- Angaben, ob die Unterauftragsvergabe zulässig ist, wobei hier wohl einer der größten Unklarheiten des DORA liegt: braucht es Regelungen zur Unterauftragsvergabe nur dann, wenn es um IKT-Dienstleistungen zur Unterstützung einer kritischen oder wichtigen Funktion geht oder bezieht sich die Kritikalität auf die Bedeutung der Subunternehmerleistung? Die BaFin
- Angabe zu Leistungsorten und Datenspeicherorten und mindestens die Verpflichtung Änderungen mitzuteilen.
- Bestimmungen über die Verfügbarkeit, Authentizität, Integrität und Vertraulichkeit in Bezug auf personenbezogene und – auch – nicht-personenbezogene Daten.
- Bestimmungen zur Sicherstellung des Zugangs zu personenbezogenen und nicht-personenbezogenen Daten im Falle von Insolvenz, Abwicklung, Einstellung der Geschäftstätigkeit des IKT-Dienstleisters oder einer Beendigung der vertraglichen Vereinbarung.
- Vereinbarungen zu Service Levels (Dienstleistungsgüte) und deren Aktualisierung.
- Die Verpflichtung des IKT-Dienstleisters, das Finanzunternehmen bei einem IKT-Vorfall, der mit dem für das Finanzunternehmen bereitgestellten IKT-Dienst in Verbindung steht, zu unterstützen. Ob der IKT-Dienstleister den IKT-Vorfall verursacht oder zu vertreten hat, spielt allenfalls bei einer etwaig zu zahlenden Vergütung eine Rolle.
- Verpflichtung des IKT-Dienstleisters vollumfänglich mit den Aufsichts- und Abwicklungsbehörden zusammenzuarbeiten.
- Kündigungsrechte mit angemessenen Kündigungsfristen. Zur außerordentlichen Kündigung macht Art. 28 Abs. 7 DORA weitere Vorgaben. So muss das Finanzunternehmen insbesondere dann aussteigen, wenn sich nachweisliche Schwächen im IKT-Risikomanagement des IKT-Dienstleisters zeigen.
- Bedingungen für die Teilnahme des IKT-Dienstleisters an vom Finanzunternehmen angebotenen Schulungen zur Stärkung von der IKT-Sicherheit und der operationellen Resilienz (Art. 13 DORA), wobei sich hierzu wohl eine Best Practice entwickelt, dass die IKT-Dienstleister ihre Mitarbeiter selbst schulen und entsprechende Schulungsnachweise vorlegen.
Für IKT-Dienstleistungen, die zur Unterstützung einer kritischen/wichtigen Funktion dienen, sind zusätzliche folgende Vertragsinhalte erforderlich:
- Vollständige Service Levels, einschließlich Vorgaben für deren Aktualisierung und Überarbeitung mit präzisen quantitativen und qualitativen Leistungszielen, die eine wirksame Überwachung des IKT-Dienstleisters und das unverzügliche Ergreifen angemessener Korrekturmaßnahmen ermöglichen. Dazu gehören wohl auch Pönalen.
- Vereinbarungen zu Kündigungsfristen sowie Berichtspflichten des IKT-Dienstleisters, die sich auf alle Entwicklungen beziehen, die sich wesentlich auf die Fähigkeit des IKT-Dienstleisters auswirken können, die IKT-Dienstleistungen mit dem vereinbarten Leistungsniveau bereitstellen zu können.
- Verpflichtung des IKT-Dienstleisters zur Implementierung und zum Testen von Notfallplänen.
- Verpflichtung des IKT-Dienstleisters zur Etablierung von IKT-Sicherheitsmaßnahmen, die ein angemessenes Maß an IKT-Sicherheit bringen.
- Verpflichtung des IKT-Dienstleisters zur Mitwirkung an so genannten Thread-Led-Penetrationtests (TLPTs), wobei diese bedrohungsorientierten Tests nur Finanzunternehmen betreffen, die dazu von der Aufsicht verpflichtet werden.
- Überwachung, Kontrolle und Steuerung des IKT-Dienstleisters, unter anderem durch die Einräumung von uneingeschränkten Zugangs‑, Inspektions- und Auditrechten des Finanzunternehmens, wozu wiederum die Verpflichtung zur uneingeschränkten Zusammenarbeit bei Vor-Ort-Prüfungen der Aufsicht gehört.
- Vereinbarungen zum Exit Management mit Verpflichtung zur weiteren Leistungserbringung und zur Unterstützung beim Dienstleisterwechsel oder Insourcing.
Autorin: Michaela Witzel, LL.M. (Fordham University School of Law), Fachanwältin für IT-Recht, Witzel Erb Backu & Partner
Rechtsanwälte mbB
