Blog-Übersicht
Vertragliche Verpflichtungen nach dem DORA
Wesentliche Vertragsbestimmungen gemäß Art. 30 DORA
Die EU-Verordnung DORA (Digital Operational Resilience Act) definiert die zentralen Vertragsbestimmungen, die bei der Zusammenarbeit mit IKT-Dienstleistern verbindlich einzuhalten sind. Diese Vorschriften zielen darauf ab, die digitale operative Resilienz von Unternehmen zu stärken und Risiken in der Zusammenarbeit mit Drittanbietern effektiv zu minimieren. Im Folgenden fassen wir die wesentlichen Vertragsbestimmungen zusammen:
1. Beschreibung der Dienstleistungen
Jeder Vertrag mit IKT-Dienstleistern muss eine umfassende Beschreibung aller bereitzustellenden Funktionen und Dienstleistungen enthalten. Hierbei ist explizit festzulegen, ob die Vergabe von Unteraufträgen zulässig ist und unter welchen Bedingungen dies erfolgen darf.
2. Standorte
Die Regionen oder Länder, in denen die Dienstleistungen erbracht und Daten verarbeitet werden, müssen transparent angegeben werden. Der Dienstleister ist verpflichtet, Änderungen dieser Standorte umgehend mitzuteilen.
3. Datenschutz
Die Verträge müssen Bestimmungen zur Verfügbarkeit, Authentizität, Integrität und Vertraulichkeit von Daten enthalten, einschließlich des Schutzes personenbezogener Daten.
4. Zugang zu Daten
Das Finanzunternehmen muss jederzeit Zugang zu seinen Daten haben, insbesondere im Falle einer Insolvenz oder Vertragsbeendigung. Zudem sind Regelungen für die Wiederherstellung und Rückgabe der Daten in einem zugänglichen Format vorzusehen.
5. Dienstleistungsgüte
Service-Level-Agreements (SLAs) müssen die Qualität der Dienstleistungen sowie Bedingungen für Aktualisierungen und Überarbeitungen festlegen.
6. Unterstützung bei IKT-Vorfällen
Der Dienstleister ist verpflichtet, bei IKT-Vorfällen, die mit den bereitgestellten Dienstleistungen zusammenhängen, angemessene Unterstützung zu leisten.
7. Zusammenarbeit mit Behörden
Die Verpflichtung zur Kooperation mit zuständigen und Abwicklungsbehörden muss vertraglich geregelt werden.
8. Kündigungsrechte
Kündigungsrechte sowie Mindestkündigungsfristen sind festzulegen und müssen den Erwartungen der zuständigen Behörden entsprechen.
9. Schulungen und Sensibilisierung
Der IKT-Dienstleister muss an Programmen zur Sensibilisierung für IKT-Sicherheit sowie an Schulungen zur digitalen Resilienz teilnehmen.
Erweiterte Anforderungen bei kritischen Funktionen
Wenn der Dienstleister eine kritische oder wichtige Funktion übernimmt, müssen folgende Punkte ebenfalls geregelt werden:
- Präzise Leistungsziele (Service Levels)
- Notfallpläne
- Verpflichtung zu Penetrationstests
- Detaillierte Auditrechte
- Exit-Strategien
Prüfung von Drittanbietern
DORA verpflichtet Unternehmen, IKT-Dienstleister in die Risikoanalyse einzubeziehen. Dabei sind insbesondere folgende Fragen zu klären:
- Werden kritische Aufgaben an den Dienstleister übergeben?
- Ist der Dienstleister geeignet?
- Wie behandelt der Dienstleister Informationssicherheit?
Vertragliche Regelungen müssen Exit-Szenarien für unerwartete Unterbrechungen, unangemessene Leistungserbringung oder Vertragsbeendigungen vorsehen. Die Leistung des Dienstleisters ist kontinuierlich anhand klar definierter Leistungskennzahlen zu überwachen.
Orientierung an Standards
Zur Beurteilung der Basissicherheit von Dienstleistern können etablierte Standards wie der BSI IT-Grundschutz, die CIS Top 18 oder die ISO-27001-Norm herangezogen werden. Mindestanforderungen umfassen:
- Informationssicherheitsrichtlinien
- Schulungen zur Informationssicherheit
- Identitäts- und Berechtigungskonzepte
- Sichere Authentifizierung und Konfiguration von IT-Systemen
- Regelmäßige Sicherheitsupdates
- Überwachung und Protokollierung von Systemen
- Notfallpläne und Backup-Management
Fazit
Die Einhaltung der in Art. 30 DORA vorgeschriebenen Vertragsbestimmungen ist nicht nur ein rechtliches Erfordernis, sondern auch ein wichtiger Beitrag zur Erhöhung der digitalen Resilienz von Unternehmen. Wenn Sie mehr über die Umsetzung dieser Vorschriften und praxisnahe Lösungen erfahren möchten, besuchen Sie die Online-Akademie, wo wir gezielte Schulungen und Ressourcen zur digitalen Resilienz anbieten.
Weiterbildung leicht gemacht – Starten Sie noch heute mit unserer Online-Akademie!
Blog-Übersicht