Zurück
Zurück zur
Blog-Übersicht
January 14, 2025

Vertragliche Verpflichtungen nach dem DORA

Vertragliche Verpflichtungen nach dem DORA

Wesentliche Vertragsbestimmungen gemäß Art. 30 DORA

Die EU-Verordnung DORA (Digital Operational Resilience Act) definiert die zentralen Vertragsbestimmungen, die bei der Zusammenarbeit mit IKT-Dienstleistern verbindlich einzuhalten sind. Diese Vorschriften zielen darauf ab, die digitale operative Resilienz von Unternehmen zu stärken und Risiken in der Zusammenarbeit mit Drittanbietern effektiv zu minimieren. Im Folgenden fassen wir die wesentlichen Vertragsbestimmungen zusammen:

1. Beschreibung der Dienstleistungen

Jeder Vertrag mit IKT-Dienstleistern muss eine umfassende Beschreibung aller bereitzustellenden Funktionen und Dienstleistungen enthalten. Hierbei ist explizit festzulegen, ob die Vergabe von Unteraufträgen zulässig ist und unter welchen Bedingungen dies erfolgen darf.

2. Standorte

Die Regionen oder Länder, in denen die Dienstleistungen erbracht und Daten verarbeitet werden, müssen transparent angegeben werden. Der Dienstleister ist verpflichtet, Änderungen dieser Standorte umgehend mitzuteilen.

3. Datenschutz

Die Verträge müssen Bestimmungen zur Verfügbarkeit, Authentizität, Integrität und Vertraulichkeit von Daten enthalten, einschließlich des Schutzes personenbezogener Daten.

4. Zugang zu Daten

Das Finanzunternehmen muss jederzeit Zugang zu seinen Daten haben, insbesondere im Falle einer Insolvenz oder Vertragsbeendigung. Zudem sind Regelungen für die Wiederherstellung und Rückgabe der Daten in einem zugänglichen Format vorzusehen.

5. Dienstleistungsgüte

Service-Level-Agreements (SLAs) müssen die Qualität der Dienstleistungen sowie Bedingungen für Aktualisierungen und Überarbeitungen festlegen.

6. Unterstützung bei IKT-Vorfällen

Der Dienstleister ist verpflichtet, bei IKT-Vorfällen, die mit den bereitgestellten Dienstleistungen zusammenhängen, angemessene Unterstützung zu leisten.

7. Zusammenarbeit mit Behörden

Die Verpflichtung zur Kooperation mit zuständigen und Abwicklungsbehörden muss vertraglich geregelt werden.

8. Kündigungsrechte

Kündigungsrechte sowie Mindestkündigungsfristen sind festzulegen und müssen den Erwartungen der zuständigen Behörden entsprechen.

9. Schulungen und Sensibilisierung

Der IKT-Dienstleister muss an Programmen zur Sensibilisierung für IKT-Sicherheit sowie an Schulungen zur digitalen Resilienz teilnehmen.

Erweiterte Anforderungen bei kritischen Funktionen

Wenn der Dienstleister eine kritische oder wichtige Funktion übernimmt, müssen folgende Punkte ebenfalls geregelt werden:

  • Präzise Leistungsziele (Service Levels)
  • Notfallpläne
  • Verpflichtung zu Penetrationstests
  • Detaillierte Auditrechte
  • Exit-Strategien

Prüfung von Drittanbietern

DORA verpflichtet Unternehmen, IKT-Dienstleister in die Risikoanalyse einzubeziehen. Dabei sind insbesondere folgende Fragen zu klären:

  • Werden kritische Aufgaben an den Dienstleister übergeben?
  • Ist der Dienstleister geeignet?
  • Wie behandelt der Dienstleister Informationssicherheit?

Vertragliche Regelungen müssen Exit-Szenarien für unerwartete Unterbrechungen, unangemessene Leistungserbringung oder Vertragsbeendigungen vorsehen. Die Leistung des Dienstleisters ist kontinuierlich anhand klar definierter Leistungskennzahlen zu überwachen.

Orientierung an Standards

Zur Beurteilung der Basissicherheit von Dienstleistern können etablierte Standards wie der BSI IT-Grundschutz, die CIS Top 18 oder die ISO-27001-Norm herangezogen werden. Mindestanforderungen umfassen:

  • Informationssicherheitsrichtlinien
  • Schulungen zur Informationssicherheit
  • Identitäts- und Berechtigungskonzepte
  • Sichere Authentifizierung und Konfiguration von IT-Systemen
  • Regelmäßige Sicherheitsupdates
  • Überwachung und Protokollierung von Systemen
  • Notfallpläne und Backup-Management

Fazit

Die Einhaltung der in Art. 30 DORA vorgeschriebenen Vertragsbestimmungen ist nicht nur ein rechtliches Erfordernis, sondern auch ein wichtiger Beitrag zur Erhöhung der digitalen Resilienz von Unternehmen. Wenn Sie mehr über die Umsetzung dieser Vorschriften und praxisnahe Lösungen erfahren möchten, besuchen Sie die Online-Akademie, wo wir gezielte Schulungen und Ressourcen zur digitalen Resilienz anbieten.

Weiterbildung leicht gemacht – Starten Sie noch heute mit unserer Online-Akademie!

Zurück
Zurück zur
Blog-Übersicht