Frequently Asked Questions (FAQ) zu DORA

Häufig gestellte Fragen zur Umsetzung

DORA ist eine folgenreichsten EU-Verordnungen der letzten Jahre. Ihre Umsetzung ist weitaus anspruchsvoller als es bei DSGVO war. Das wird den meisten Unternehmen erst jetzt klar.

Wenn die Zeit davon rennt und Budgets oder Personal fehlen, fragt sich manch einer, wie er die Vorbereitung abspecken oder verlängern kann. Der Spielraum dafür ist jedoch gering. Details klären diese Fragen und Antworten — ersichtlich übrigens die umfangreichste Fragensammlung im Web derzeit:

Welche Unternehmen betrifft DORA?

Welche Art von Unternehmen betrifft DORA?

Das ergibt sich aus Art. 2 Abs. 1 DORA:

  • Kreditinstitute
  • Zahlungsinstitute
  • Kontoinformationsdienstleister
  • E-Geld-Institute
  • Wertpapierfirmen
  • Anbieter von Krypto-Dienstleistungen und Emittenten wertreferenzierter Token
  • Zentralverwahrer
  • Zentrale Gegenparteien
  • Handelsplätze
  • Transaktionsregister
  • Verwalter alternativer Investmentfonds
  • Verwaltungsgesellschaften
  • Datenbereitstellungsdienste
  • Versicherungs- und Rückversicherungsunternehmen
  • Versicherungsvermittler, Rückversicherungsvermittler und Versicherungsvermittler in Nebentätigkeit
  • Einrichtungen der betrieblichen Altersversorgung
  • Ratingagenturen
  • Administratoren kritischer Referenzwerte
  • Schwarmfinanzierungsdienstleister
  • Verbriefungsregister
  • IKT-Drittdienstleister

Werden IKT-Unternehmen direkt von DORA verpflichtet?

Ja und Nein.

Nur die von den Überwachungsbehörden der EU (den sogenannten ESAs) als kritisch eingestuften IKT-Unternehmen unterliegen einer in DORA geregelten Überwachung und müssen dafür Gebühren enrichten.

Für alle übrigen IKT-Unternehmen ist es kein Gesetzesverstoß, wenn sie sich erst mal nicht um DORA kümmern. Es liegt an den urch DORA direkt verpflichteten Finanzunternehmen (das sind neben Banken u.a. auch Versicherungen), ihre IKT-Drittdienstleister vertraglich zur Einhaltung bestimmter Regeln zu verpflichten. Ab dann verlangt die Vertrags-Compliance von IKT-Unternehmen die Einhaltung der versprochenen Pflichten.

Gleichwohl wäre es unklug, wenn ein IKT-Unternehmen mit Finanzunternehmen als Kunden die DORA-Vorbereitung verspätet oder ignoriert. Ist der IKT-Dienstleister nicht rechtzeitig in der Lage, die zugehörigen Pflichten zu erfüllen, droht ihm ein Kundenverlust.

Wie viele Unternehmen betrifft DORA?

Die von DORA betroffenen Unternehmen belaufen sich in der EU auf mehr als 22.0000. In Deutschland sind es nach Schätzung der BaFIN rund 3.600 Unternehmen.

Wie viele IKT-Dienstleister betrifft DORA?

IKT-Drittdienstleister sind von DORA mittelbar betroffen und müssen sich rechtzeitig auf die vertraglichen Anforderungen durch Finanzunternehmen vorbereiten.

Die EU-Überwachungsbehörden haben daher untersucht, wie viele IKT-Dienstleister dies sind. Nach dieser Untersuchung handelt es sich um rund 15.000 IKT-Dienstleister in der EU, die rund 1.600 Finanzunternehmen direkt bedienen und deshalb die DORA-Vorgaben einhalten müssen.

Zählt man die Subunternehmer jener Unternehmen hinzu, gelangen die Behörden zu einer Zahl von rund 20.000 IKT-Dienstleistern, die letztlich DORA-Pflichten erfüllen müssen.

Wer im Unternehmen muss sich um die DORA-Vorbereitung kümmern?

Muss ich einen Vorstand oder Geschäftsführer in das DORA-Vorbereitungsprojekt einbinden?

Ja. Das ergibt sich direkt aus Art. 5 Abs. 2 DORA. Zahlreiche Entscheidungen im DORA-Vorbereitungsprojekt müssen vom Leitungsorgan festgesetzt oder freigegeben werden. Alle DORA-Maßnahmen sind durch das Leitungsorgan zu überwachen und zu prüfen.

Deshalb betont die für Deutschland zuständige Aufsichtsbehrde BaFIN hier: "In der Verordnung wird betont, dass die Unternehmensleitung — also etwa die Geschäftsführung oder der Vorstand — verantwortlich ist für das Management der IKT-Risiken."

Letztendlich ist dies nur durch Aufnahme eines Mitglieds von Geschäftsführung/Vorstand in den Lenkungsausschuss des Vorbereitungsprojektes zu gewährleisten.

Muss ich bei einer AG auch den Aufsichtsrat in das DORA-Vorbereitungsprojekt einbinden?

Ja. Der Aufsichtsrat bzw. dessen Prüfungsausschuss für Risikomanagement ist einzubinden.

Das folgt aus § 116 i.V.m. § 93 sowie § 107 Abs. 3 AktG.

Reicht es, wenn im Vorbereitungsprojekt IT und Einkauf einbezogen sind?

Nein. DORA verlangt ausdrücklich die Analyse von Risiken für die Fortführung des Geschäfts und die genaue Beschreibung vertraglich ausgelagerter Dienste und Funktionen.

Von daher müssen zwingend alle Fachbereiche beteiligt werden, die IT-Funktionen nutzen bzw. einkaufen. Daneben ist die Revision einzubinden.

Muss ich auch die interne Revision in das DORA-Vorbereitungsprojekt einbinden?

Ja. Das ergibt sich direkt aus Art. 6 Abs. 6 DORA.

IT-gestützte, automatisierte DORA-Vorbereitung

Es gibt Anbieter, die mit KI-Tools die Analyse meiner Verträge übernehmen. Ist das zuverlässig?

Nein.

Mit künstlicher Intelligenz lässt sich das Fehlen der für alle Verträge erforderlichen Vorgaben leicht ermitteln. Schwierig wird es bei den Kernanforderungen von DORA. Diese betreffen (1) genaue Beschreibungen der Services und Funktionen, (2) angemessene Service Level mit (3) Sanktionen und Überwachung sowie (4) den jeweils nötigen Exit Support.

Ob diese Anforderungen in Verträgen und Leistungsscheinen ausreichend beschrieben sind, lässt sich mittels KI ohne Vorgabe der für jeden Vertrag geltenden Anforderungen nicht ermitteln.

Eine volle Automatisierung der Vertragsanalyse ohne Ermittlung der individuell erforderlichen Anforderungen an jeden Vertrag ist daher nicht möglich.

Kann ich meine Vertragstexte mit KI-Tools automatisiert anpassen?

Nein.

Hier gilt dieselbe Einschränkung wie zur Frage zuvor: Nur die allgemeingültigen, für alle Verträge gleich lautenden Vorgaben aus DORA lassen sich automatisiert in bestehende Vertragstexte einfügen.

Kernelement der DORA-Vertragsanpassung sind jedoch (1) genaue Beschreibungen der jeweils eingekauften Services und Funktionen, (2) angemessene Service Level mit (3) Sanktionen und Überwachung sowie (4) der jeweils benötigte Exit Support.

Diese Anpassungen mögen sich mit entsprechend detaillierten Vorgaben an ein KI-Tool mehr oder weniger zuverlässig in Vertragstexte einfügen lassen. Der zeitaufwendige Teil der Vorbereitung entfällt damit jedoch nicht: Die Ermittlung der Vorgaben an Funktionsbeschreibungen und benötigte Service Level.

Große Beratungsunternehmen bieten mir eine aufwendige Service Now-Applikation an, die mich bei der Umsetzung von DORA unterstützen soll. Ist das sinnvoll?

In Teilen ja, der Vorbereitungsaufwand sinkt jedoch nicht.

Service Now (SNOW) ist ein sehr leistungsfähiges ITSM-Tool. Mit ausreichender — und meist aufwendiger — Anpassung lassen sich viele der von DORA geforderten Prozesse damit automatisieren.

Auch lässt sich das Informationsregister aller IKT-Verträge mittels SNOW erstellen. Das setzt jedoch voraus, dass alle dafür nötigen Datenfelder in SNOW angelegt und gefüllt sind. Die aufwendige Vertragsanalyse lässt sich mit SNOW also nicht automatisieren.

Im Ergebnis lassen sich einige DORA-Prozesse mit SNOW automatisieren. Die Vorbereitung auf DORA lässt sich damit jedoch nur in geringem Umfang automatisieren.

Relevante Vorschriften

Reicht es, wenn ich die EU-Verordnung DORA lese und alle Anforderungen darin umsetze?

Nein.

DORA ist nur die grundlegende Vorschrift zur Herstellung digitaler Resilienz.

Die näheren Details regeln sogenannte Delegierte Verordnungen, technische Regulierungs-Standards (RTS) und technische Durchführungs-Standards (ITS) zu DORA. RTS und ITS werden von einer Europäischen Aufsichtsbehörde ausgearbeitet. RTS und ITS haben zwar keinen Gesetzescharakter (so regelt es Art. 290 Abs. 1 Satz 1 AEUV), sind aber ebenso verbindlich einzuhalten wie die DORA. Denn sie konkretisieren die gesetzlichen Anforderungen.

Welche Vorschriften außer DORA sind für die Umsetzung relevant?

Das sind folgende sogenannte Level-2 und Level-3-Rechtstexte:

Bereits final erlassen und veröffentlicht:

Konsultationsverfahren abgeschlossen und am 17.7.2024 bei der Kommission eingereicht:

Ist das IKT-Informationsregister wirklich so aufwendig?

Gehen die Anforderungen über das für Banken bereits geforderte EBA-Auslagerungsregister hinaus?

Ja.

Die Anforderungen gehen wesentlich darüber hinaus, sie umfassen mehr Datensätze und mehr Datenpunkte für die meisten Datensätze

Was genau muss ich im IKT-Informationsregister erfassen?

Die Details erheben sich aus dem ITS zur Erstellung einer Standardvorlage für das Informationsregister.

Pro IKT-Dienstleister sind rund 100 Attribute in 15 Untertabellen zu erfassen.

Die Daten sind ständig aktuell zu halten.

Sie müssen bis zu 5 Jahre nach Vertragsende verfügbar sein (Neu: Im am 2.12.2024 veröffentlichten finalen Stand nicht mehr gefordert!).

Kann ich das IKT-Informationsregister schnell und einfach in Excel erstellen?

Nein, schnell und einfach ist das nicht möglich.

Viele Unternehmen nutzen erst einmal die als Muster bereitgestellte Excel-Liste, weil sie zu spät mit der DORA-Vorbereitung begonnen haben. Dagegen ist nichts einzuwenden, weil insgesamt 95 Datenpunkte für verschiedene Teilbereiche und rund 20 Datenpunkte pro IKT-Dienstleister erfasst und gesammelt werden müssen.

Auf Dauer ist Excel für diesen Zweck jedoch nicht empfehlenswert: Angesichts des Datenumfangs und der Komplexität würde eine Tabelle sehr unübersichtlich. Zudem lassen sich die Aktualisierungen pro Datensatz in Excel schlecht dokumentieren. Änderungen müssen nachvollziehbar sein, um sie rasch zu korrigieren. Das erfordert eine umfangreiche Versionierung. Außerdem ermöglichen entsprechende Programme die Konsistenzprfüung der vielen Querverweise, die im Register gefordert sind.

Zeit- und Budgetplanung

Stimmt das Gerücht, die Frist zur Fertigstellung des IKT-Informationsregisters sei auf den 30. April 2024 verschoben worden?

Nein.

Diese verbreitete Fehlinformation beruht auf einer irreführenden Meldung der fabasoft. Deren Meldung ist leider nicht ganz korrekt! Dabei geht es um den Beschluss der European Banking Authority (EBA) vom 8.11.2024 in der finalen Fassung vom 15.11.2024 (Dokumentenkürzel ESA 2024 22), gerichtet an die zuständigen Aufsichtsbehörden nach Art. 46 DORA.

Der Inhalt betrifft wie der Beschluss nur die nationalen Aufsichtsbehörden, in Deutschland also die Bafin. Und enthält zwei unterschiedliche Fristen:

  • Die nationalen Aufsichtsbehörden müssen die Informationsregister von nationalen Finanzunternehmen 2025 erst zum 30.4.2025 an die ESAs übermitteln.
  • Für Finanzunternehmen, die zu einem Konzern gehören dessen Mutterunternehmen außerhalb der EU niedergelassen ist, müssen die nationalen Aufsichtsbehörden die Informationsregister zum 31.3.2025 einreichen.

Nirgends steht, dass die Finanzunternehmen sich so lange Zeit lassen können. Auf der Website der BaFin findet sich kein einziges Wort zu diesem Beschluss.

Es blieb also zunächst dabei, was die deutsche Aufsichtsbehörde BaFIN auf ihrer Homepage schrieb: "Gemäß Digital Operational Resilience Act (DORA) müssen Unternehmen des Finanzsektors vom 17. Januar 2025 an Informationsregister führen.“

Die BaFIN hatte Anfang des Jahres indes Einsicht und gewährte für die erste Einreichung in einem gut versteckten Hinweis eine Fristverlängerung bis zum 11. April 2025. Jetzt – kurz vor dem verlängerten Termin – gibt es wieder eine Fristverlängerung: In dieser Mitteilung schiebt die BaFIN die Frist erneut nach hinten.

Nun kann das Register erst mal gar nicht hochgeladen werden, auch nicht testweise. Es besteht nur ein Zeitfenster vom 14. bis zum 28. April 2025.

Stimmt es, dass die meisten deutschen Unternehmen im EU-Vergleich zu spät mit der Vorbereitung anfangen?

Ja.

Die Verordnung ist im Januar 2023 erlassen und ausreichend bekannt gemacht worden. Die meisten Banken und Versicherungen in den deutschen Nachbarländern Niederlande und Österreich haben schon seit einem Jahr mit DORA-Vorbereitungsprojekten begonnen.

In Deutschland sind mittlere und kleinere Versicherungen oft noch ignorant: Sie verweisen auf fehlende Ressourcen doer Budgets und nehmen DORA nicht ernst.

Das wird sich Anfang 2025 bitter rächen. Es ist davon auszugehen, dass die Aufsichtsorgane (wie BaFin für die Banken) die Informationsregister aller Finanzunternehmen abrufen und dann auf Anhieb feststellen, wer sich gar nicht vorbereitet hat.

Welchen Zeit- und Personalaufwand muss ich für die DORA-Vorbereitung einplanen?

Das hängt stark von der Größe des Unternehmens und der Zahl seiner IKT-Dienstleister ab.

Als Richtwerte können gelten: Eine Bank mit 500 Mitarbeitern arbeitet mit externem Dienstleister und 6 internen Mitarbeitern ein Jahr lang vollzeit in der Vorbereitung – und kommt nur mit Mühe hin, weil ein Jahr zu spät begonnen wurde.

Ein großer Versicherungskonzern hat 60 Mitarbeiter fast vollzeit und externe Dienstleister zusätzlich mit der Vorbereitung beschäftigt.

Je später ein Unternehmen mit der Vorbereitung beginnt, desto mehr Personal braucht es, um bis zum 16.1.2025 wenigstens die wichtigsten Dinge vorbereitet und umgesetzt zu haben. Wer jetzt erst startet, wird bis zum Start aller DORA-Pflichten kaum noch mit allen Vorbereitungen fertig.

Kann ich die Vorbereitungen auf DORA wegen Ressourcen- oder Budgetmangels aufschieben oder den Abschluss über den 16.1.2025 hinausschieben?

Nein. Die Vorbereitungsfrist von zwei Jahren (Art. 64 DORA) ist ausreichend bemessen.

Bis dahin muss ein „wirksames und umsichtiges Management“ (Art. 5 Abs. 1 DORA) der in DORA adressierten Risiken umgesetzt sein. Die Unternehmen müssen dafür „ausreichende Ressourcen und Kapazitäten“ (Art. 10 Abs. 3 DORA) bzw. „Kapazitäten und Personal“ (Art. 13 Abs. 1 DORA bereitstellen.

Das gilt auch für zu beschaffende Hard- und Software. Art. 12 Abs. 2 DORA sieht zwingend die Beschaffung von Datensicherungssystemen vor, die den DORA-Vorgaben genügen.

Ein Unternehmen kann sich also nicht auf fehlende Mittel oder Personalengpässe berufen.

Kann ich Budgets von der Geschäftsleitung verlangen, wenn dies für die Vorbereitung auf DORA nötig ist?

Ja.

Das ist ausdrücklich so vorgeschrieben: Geschäftsführung bzw. Vorstand müssen angemessene Budgetmittel für Vorbereitung und laufende DORA-Maßnahmen zuzuweisen, Art. 5 Abs. 2 lit. g) DORA.

Und schon in Erwägungsgrund 46 heißt es klipp und klar: "Darüber hinaus geht der Grundsatz der uneingeschränkten und letztlichen Verantwortung des Leitungsorgans (…) mit der Notwendigkeit einher, einen bestimmten Umfang von IKT-Investitionen und ein Gesamtbudget sicherzustellen (…)."

Braucht es zwingend Maßnahmen im Bereich interne Revision oder vergleichbaren Revisionsabteilungen (wie Compliance)?

Ja.

Die Revision muss mit ausreichend Wissen und Fähigkeiten im Bereich IKT-Risiken ausgestattet werden (Art. 6 Abs. 6 S. 2 DORA).

Außerdem muss das Vorbereitungsprojekt regelmäßigen Revisionen unterzogen werden (Art. 6 Abs. 6 S. 1 DORA)

Braucht es spezielle Schulungsmaßnahmen für Geschäftsführung bzw. Vorstand?

Ja. Das schreibt Art. 5 Abs. 4 DORA vor.

Muss ich wirklich alle IKT-Funktionen doppelt auslegen?

Ja, außer Sie sind ein Kleinstunternehmen.

Das schreibt Art. 12 Abs. 4 DORA für alle Funktionen vor, die für den Geschäftsbedarf erforderlich sind.

Außerdem müssen Alternativlösungen geplant werden, um IKT-Dienstleistern für kritische oder wichtige Funktionen „Dienstleistung und die relevanten Daten zu entziehen und sie sicher und vollständig alternativen Anbietern zu übertragen oder wieder in eigene Systeme zu überführen“ (Art. 28 Abs. 8 DORA).

Muss ich die digitale Resilienz umfassend testen? Das kostet für ein gesamtes Rechenzentrum mehrere Millionen und erfordert Betriebsunterbrechungen.

Ja, außer Sie sind ein Kleinstunternehmen.

Eine Betriebsunterbrechung darf es nicht geben. Dann wäre der Nachweis erbracht, dass die DORA-Vorgaben nicht erfüllt sind.

Die Tests sind in Art. 24 Abs. 1 DORA zwingend vorgeschrieben.

DORA erwähnt viele Dokumente (Richtlinien, Policies, Vorgaben etc.), die in verschiedenen Bereichen des Unternehmens erstellt und in Qualitäts-, Sicherheits- oder Datenschutzmanagement-Systeme integriert werden müssen. Müssen die alle bis zum 16.1.2025 vorliegen?

Ja.

Die EU hat eigens zwei Jahre Vorbereitungsfrist gesetzt. Ab dem 16.1.2025 gibt es keine weitere Übergangsfrist.

Für keines der in DORA vorgeschriebenen Dokumente gibt es Nachlauf- oder Kulanzfristen.

Kann ich mich bei der Analyse meiner IKT-Verträge erst mal auf die wichtigsten beschränken?

Nein.

Art. 28 Abs. 3 DORA fordert, dass sich das zu erstellende Informationsregister „auf alle vertraglichen Vereinbarungen über die Nutzung von durch IKT-Drittdienstleister bereitgestellten IKT-Dienstleistungen bezieht“.

Was, wenn ich nicht bis Januar 2025 fertig werde?

Wer haftet letztendlich, wenn die Vorbereitungen auf DORA nicht bis zum 16.1.2025 abgeschlossen sind?

In erster Linie Geschäftsführung und Vorstand, weil er seine Pflichten aus Art. 5 DORA nicht erfüllt hat.

Weil es um Pflichten zum Risikomanagement sind, haftet auch der Aufsichtsrat einer AG, der zur Risikoüberwachung berufen ist. Das folgt aus § 116 i.V.m. § 93 sowie § 107 Abs. 3 AktG.

Wird die Einhaltung von DORA überwacht?

Ja.

Die Aufsicht obliegt den Europäischen Aufsichtsbehörden (European Supervisory Authorities – ESAs). Das Europäische Finanzaufsichtssystem (European System of Financial Supervision – ESFS) umfasst drei Aufsichtsorgane für unterschiedliche Sektoren:

  1. Europäische Bankenaufsichtsbehörde (European Banking Authority – EBA)
  2. Europäische Aufsichtsbehörde für das Versicherungswesen und die betriebliche Altersversorgung (European Insurance and Occupational Pensions Authority – EIOPA)
  3. Europäische Wertpapier- und Marktaufsichtsbehörde (European Securities and Markets Authority – ESMA)

Daneben gibt es noch den Europäischen Ausschuss für Systemrisiken (European Systemic Risk Board – ESRB).

Schließlich gibt es noch die nationalen Aufsichtsbehörden. In Deutschland ist die zentrale Aufsichtsbehörde die Bundesanstalt für Finanzdienstleistungsaufsicht – BaFin.

Was können mir die Aufsichtsbehörden tun?

Die Aufsichtsbehörden "verfügen über alle Aufsichts- Untersuchungs- und Sanktionsbefugnisse", die zur Durchsetzung von DORA erforderlich sind (Art. 50 Abs. 1 DORA). Daneben können sie jederzeit Inspektionen in den Geschäftsräumen von IKT-Dienstleistern vornehmen (Art. 39 DORA).

Bei Verstößen gegen die in DORA auferlegten Pflichten können die Aufsichtsbehörden Sanktionen und Strafen auferlegen. Gegen kritische IKT-Dienstleister können zudem tägliche Zwangsgelder in Höhe von 1% des weltweiten Tagesumsatzes verhängt werden (Art. 35 Abs. 6 bis 8 DORA).

Vertragsanpassung

Die BaFIN hat für die Vertragsanpassung inzwischen eine enorm umfangreiche Liste veröffentlicht. Muss ich wirklich alle dieser vielen Vorgaben an IKT-Verträge in Bestandsverträge hineinverhandeln?

Ja

Art. 30 DORA sieht keine Ausnahme für bestimmte IKT-Verträge vor. Alle müssen bis zum 16.1.2025 angepasst oder neu abgeschlossen sein, um den DORA-Anforderungen zu genügen.

Kann ich meinen IKT-Dienstleistern eine vorformulierte Vertragsergänzung vorlegen, mit der alle DORA-Anforderungen erfüllt sind?

Nein, so einfach geht es nicht.

Eine Vielzahl von Vorgaben lässt sich einfach und für alle Dienstleister mehr oder weniger gleich umsetzen. Allerdings handelt es sich dabei um die eher unwesentlichen Vorgaben (wie Prüf- und Auditrechte).

Kernanforderung von DORA ist die genaue Beschreibung von Diensten und Service Levels. Außerdem müssen vertragsspezifische Risiken für das jeweilige Geschäft des einkaufenden Unternehmens analysiert werden. Für 8 Themenbereiche müssen bei allen Verträgen und für 15 bei den kritisch/wichtigen Verträgen spezifische Beschreibungen entwickelt und verhandelt werden. Diese lassen sich nicht im Vorhinein für alle IKT-Verträge ausformulieren.

Den großen Software-Anbietern aus den USA ist das Thema doch egal, oder?

Das lässt sich so pauschal nicht sagen! Microsoft z.B. beschäftigt sich aktiv mit dem Thema (siehe hier). Für den Herbst sind DORA-konforme Verträge für verschiedene Microsoft-Dienste angekündigt. Ob die den strengen Anforderungen der DORA-Verordnung gerecht werden, bleibt abzuwarten.

Bei vorwiegend für US-Unternehmen tätigen Anbietern ist derzeit noch kaum Verhandlungsbereitschaft zu erkennen. Das kann dazu führen, rechtzeitig nach Alternativen schauen und diese einführen zu müssen.

Müssen IKT-Dienstleister die Anpassung Ihrer Verträge ohne Mehrkosten akzeptieren?

Nein — auch wenn Einkaufsabteilungen und Juristen das oft suggerieren!

Erstens adressiert die DORA-Verordnung nur Finanzunternehmen. Deren IKT-Dienstleister sind aus der Verordnung weder berechtigt noch verpflichtet.

Zweitens sieht DORA nur eine Anpassungspflicht der Verträge vor; eine Kostenregelung ist in der Verordnung nicht enthalten. Das ist nachvollziehbar, weil oftmals eine Erweiterung des Vertragsgegenstandes in der Leistungsbeschreibung erforderlich wird. Kauft das Finanzunternehmen mehr an, erhöht sich naturgemäß der Preis.

Selbst die Unterstützung der IKT-Dienstleister bei einem IKT-Vorfall ist "ohne zusätzliche Kosten oder zu vorab festzusetzenden Kosten" zu vereinbaren.

Es liegt daher in der Verhandlungsmacht der Parteien, welche Zusatzkosten ein IKT-Dienstleister für zusätzliche Pflichten in einem DORA-Nachtrag zu bestehenden Verträgen vereinbaren kann.

Ein IKT-Dienstleister verweigert sich der Anpassung bzw. will bestimmte Vorgaben nicht erfüllen. Was muss ich nun tun?

Sie können niemanden zum Abschluss eines geänderten Vertrages zwingen.

Allerdings sind Sie gezwungen, Ihre IKT-Dienstleistungen DORA-konform einzukaufen. In einem solchen Fall bleibt Ihnen nichts anderes übrig, als bis zum 16.1.2025 einen neuen Anbieter zu suchen und mit diesem einen DORA-konformen Vertrag zu schließen.

Kann mir die Aufsichtsbehörde die Nutzung eines bestimmten IKT-Dienstleisters verbieten?

Ja, wenn auch nicht ohne weiteres.

Die drei europäischen Überwachungsbehörden EBA, ESMA oder EIOPA überwachen alle kritischen IKT-Dienstleister.

Erfüllt der Dienstleister die Aufsichtsmaßnahmen nicht, können die nationalen Aufsichtsbehörden (in Deutschland z.B. die BaFIN) die Unternehmen des Finanzsektors auffordern, vorübergehend auf den Dienstleister zu verzichten oder die Zusammenarbeit ganz zu kündigen.

DORA und Escrow – wofür braucht es eine Hinterlegung?

Ist eine treuhänderische Hinterlegung (Escrow) für DORA-Konformität zwingend?

Je nach verwendeter Technologie ja.

DORA erwähnt zwar kein Escrow. Bestimmte Anforderungen lassen sich jedoch nur mit Hinterlegung (Escrow) erfüllen.

Wann brauche ich für DORA-Konformität ein Escrow?

Zunächst die Grundsätze:

  • DORA-Unternehmen müssen die kontinuierliche Funktion kritischer und wichtiger Software sicherstellen, Art. 11 Abs. 2 lit. a) DORA.
    • Das geht bei Ausfall des Herstellers nur mit Escrow.
  • DORA-Unternehmen müssen bei Insolvenz oder Geschäftseinstellung eines Dienstleisters weiter auf Daten zugreifen können, Art. 30 Abs. 2 lit. d) DORA
    • Das geht bei SaaS letztlich nur mit SaaS-Escrow.
  • Technologische Resilienz nach Art. 7 lit. (d) DORA
    • Lässt sich bei SaaS nur durch SaaS-Escrow erzielen.

Dann Detailanforderungen:

  • Hohe Standards hinsichtlich gespeicherter Daten, Art. 9 Abs. 2 DORA
    • Erfordert bei Speicherung in der Cloud starke Verschlüsselung
    • Verschlüsselung nach FIPS 140-2 erfordert Speicherung der Schlüssel in HSMs
    • Technologische Resilienz erfordert dann Hinterlegung der Schlüssel beim Escrow
  • Wiederherstellung von IKT-Systemen und Daten mit minimaler Ausfallzeit, Art. 12 Abs. 1 DORA
    • Lässt sich bei SaaS nur durch SaaS-Escrow erzielen
    • Lässt sich bei HSM-Cloud-Verschlüsselung nur mit Key Escrow erzielen
  • Quellcodeprüfungen nach Art. 25 Abs. 1 DORA
    • Wenn der Hersteller den Source Code nicht offenlegt, kann diese Prüfung nur beim Escrow-Dienstleister erfolgen
  • Vertragsvereinbarung zur Sicherstellung des Vertragsausstiegs ohne jede Betriebsunterbrechung, Art. 28 Abs. 8 DORA
    • Erfordert bei SaaS ein SaaS-Escrow
  • Vertragsvereinbarung zur Sicherstellung des Datenzugangs bei Insolvenz oder sonstigem Ausfall des IKT-Dienstleisters, Art. 30 Abs. 2 lit. d) DORA
    • Erfordert bei HSM-Cloud-Verschlüsselung ein Key Escrow


Ihre Ansprechpartner für dieses Thema:
Rechtsanwalt Bernd H. Harder
Rechtsanwalt Dr. Christian Weitzel