Cybersicherheit im Finanzsektor – Welche Auswirkungen hat DORA auf IT-Dienstleiser im Bankensektor?
Rechtsgrundlage
Mit DORA (Digital Operational Resilience Act, https://eur-lex.europa.eu/eli/reg/2022/2554/oj) verfolgt die Europäische Union das Ziel, ein einheitliches Regelwerk für den gesamten Finanzsektor in Bezug auf IKT-Risiken und Cybersicherheit zu schaffen. Damit soll der europäische Finanzmarkt vor technischen Risiken geschützt werden. Die DORA-Verordnung findet ab dem 17. Januar 2025 Anwendung. Sie ist in Bezug auf Cybersicherheit für die Finanzbranche lex spezialis und gilt damit vorrangig zur NIS2-Richtlinie.
Zielgruppe
DORA richtet sich in erster Linie an Finanzunternehmen und regelt die Anforderungen an das IKT-Risikomanagement.
Darüber hinaus hat DORA auch erhebliche Auswirkungen auf den Teil der IT-Branche, der sogenannte IKT-Dienstleistungen für den Finanzsektor erbringt (IKT-Dienstleister). Hierbei wird weiter unterschieden zwischen Drittanbietern (IKT-Drittdienstleister) und gruppeninternen Dienstleistern (gruppeninterne IKT-Dienstleister) unterschieden.
Darüber hinaus gibt es sogenannte kritische IKT-Drittdienstleister (Art. 31 DORA). Das sind Dienstleister, die von der ESA nach den Kriterien des Art. 31 Abs. 2 DORA als kritisch eingestuft wurden. Näheres regeln delegierte Rechtsakte. Kritische ITK-Drittdienstleister werden über ihre Einstufung informiert.
IKT-Dienstleistungen
Die Definition der betroffenen Dienstleistungen ist sehr weit gefasst. Diese umfassen „digitale Dienste und Datendienste, die über IKT-Systeme einem oder mehreren internen oder externen Nutzern dauerhaft bereitgestellt werden, einschließlich Hardware als Dienstleistung und Hardwaredienstleistungen, wozu auch technische Unterstützung durch den Hardwareanbieter mittels Software- oder Firmware-Aktualisierungen gehört, mit Ausnahme herkömmlicher analoger Telefondienste“.
Auswirkung auf IKT-Drittdienstleister
Während sich der weit überwiegende Teil der Regelungen von DORA (wie schon bei der MaRisk) sich an die Finanzunternehmen richtet und diese in die Pflicht nimmt, setzt DORA auch für Dienstleister neue Maßstäbe.
Dies geschieht zunächst indirekt im Kapitel V mit Regelungen, die Finanzunternehmen zum Management des IKT-Drittparteienrisikos zu beachten haben. Zu den Risiken zählen mögliche Abhängigkeiten aber auch Risiken aus vertraglichen Vereinbarungen. Es wird klargestellt, dass die Finanzunternehmen selbst in vollem Umfang für die Einhaltung und Erfüllung aller Verpflichtungen aus der DORA und dem anwendbaren Finanzdienstleistungsrecht verantwortlich sind. Hieraus leitet sich eine umfangreiche Steuerungs- und Überwachungspflicht ab. Diese besteht vor allem im Management der Risiken, sich aus der Einbindung Dritter ergeben.
In der Folge sehen sich IKT-Drittdienstleister mit zusätzlichen vertraglichen Anforderungen konfrontiert. Diese ergeben sich insbesondere aus Art. 30 DORA, einem umfangreichen Katalog von zu regelnden Vertragsbestimmungen.
Darüber hinaus fallen kritische IKT-Drittdienstleister künftig direkt unter den Aufsichtsrahmen von DORA (Kapitel V, Abschnitt II, Artikel 31 bis 44). Dies hat zur Folge, dass die Aufsichtsbehörde direkt auf die kritischen IKT-Drittdienstleister zugreifen kann (z.B. Auskunftsersuchen, Untersuchungen vor Ort). Bei nicht kritischen IKT-Dienstleistern kann dies nur auf Grundlage von vertraglich vereinbarten Pflichten zwischen dem IKT-Drittdienstleister und dem Finanzunternehmen erfolgen (z.B. Auditrechte).
Anforderungen an Verträge
Da also nur ein Teil der IKT-Dienstleister (die kritischen) der direkten Regulierung durch die Aufsicht unterliegt, kommt den vertraglichen Regelungen eine hohe Bedeutung zu. Dies ist an sich nicht neu, da bereits die MaRisk Vorgaben für die Vertragsbeziehungen bei Auslagerungen gemacht haben. Neu ist die Definition der erfassten IKT-Drittdienstleistungen sowie der Detailierungsgrad der erforderlichen Vertragsbestandteile sowie deren Manifestierung auf Gesetzesebene.
Während Art. 30 DORA zwar vorgibt, welche Bereiche geregelt werden müssen, ist nicht für alle Regelungspunkte zwingend vorgeschrieben, wie sie zu regeln sind. Teilweise ergeben sich bestimmte Mindestanforderungen an die Regelungen allerdings auch aus anderen finanzaufsichtsrechtlichen Regelungen.
Zudem ist Art. 30 DORA zweistufig aufgebaut, so dass es allgemeine Anforderungen für alle IKT-Dienstleistungen gibt und erhöhte Anforderungen für IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen. Hierbei bezieht sich der Begriff kritisch nicht auf den Dienstleister selbst, sondern auf die Kritikalität der Dienstleistungen.
Eine erste Folge dürfte sein, dass vertragliche Regelungen künftig deutlich umfangreicher sein müssen. Dies bezieht sich nicht nur auf die „typischen“ Vertragsklauseln, sondern auch auf die Spezifizierung von z.B. Leistungsinhalten, Leistungsorten, Verfügbarkeiten. Zudem wird dem Datenschutz eine besondere Stellung eingeräumt.
Allgemeine Auswirkung auf die Leistungserbringung
Die Übertragung von Aufgaben und Anforderungen an Dienstleister wird aber vor allem dazu führen, dass Dienstleister einen höheren Aufwand und damit zusätzliche Kosten haben werden. Um diese abzudecken, wird es notwendig sein, die Vertragsgestaltung eng mit der Preisgestaltung zu verknüpfen.