DORA-Verordnung: Stärkung der IT-Resilienz im Finanzsektor und ihre Relevanz für IT-Unternehmen

Von den Rechtsanwälten Esra Duran & Babak Tabeshian

Die zunehmende Digitalisierung des Finanzsektors hat die Notwendigkeit verstärkt, IT-Risiken gezielt zu managen und die Widerstandsfähigkeit gegen digitale Bedrohungen nachhaltig zu stärken. In diesem Kontext spielt die Verordnung (EU) 2022/2554 über die digitale operationale Resilienz im Finanzsektor („DORA-Verordnung“) eine entscheidende Rolle. Sie stellt klare Anforderungen, die darauf gerichtet sind, die IT-Sicherheit im Finanzsektor auf einem hohen Niveau zu halten. Besonders für IT-Unternehmen, die Dienstleistungen für Finanzunternehmen erbringen, ist die Einhaltung dieser Vorgaben zwingend. Denn nur so lassen sich regulatorische Risiken vermeiden und Sanktionen verhindern.

Wer fällt in den Anwendungsbereich der DORA-Verordnung?

Die DORA-Verordnung hat einen weiten Anwendungsbereich und betrifft daher zahlreiche Akteure. Besonders IT-Unternehmen, die Dienstleistungen für Finanzunternehmen erbringen, sind verpflichtet, die strengen Anforderungen dieser Verordnung einzuhalten. Dies gilt insbesondere, wenn ihre IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen dienen. Das Ziel der Verordnung ist es, die Sicherheit und Resilienz der IT-Infrastruktur im Finanzsektor zu fördern.

Was regelt die DORA- Verordnung?

Ein wesentlicher Bestandteil der DORA-Verordnung ist die Verpflichtung, Verträge zwischen Finanzunternehmen und IT-Dienstleistern so zu gestalten, dass alle Funktionen und Dienstleistungen umfassend und detailliert beschrieben sind. Zusätzlich müssen Regelungen zu Aktualisierungen und Änderungen der Dienstleistungen sowie der genaue Standort der zu erbringenden Dienstleistungen eindeutig festgelegt sein.

Darüber hinaus fordert die DORA-Verordnung unter bestimmten Voraussetzungen die Implementierung und Erprobung von Notfallplänen durch den IT-Dienstleister. Auch sind IT-Dienstleister verpflichtet, über geeignete Maßnahmen, Instrumente und Leitlinien zu verfügen, die eine sichere Erbringung der Dienstleistungen ermöglichen. Die Unterstützung bei der Bewältigung von IKT-Vorfällen und die Zusammenarbeit mit Behörden zählen ebenfalls zu den zentralen Anforderungen der DORA-Verordnung an den IT-Dienstleister.

Weitere wichtige Regelungen betreffen Zugangs-, Inspektions- und Auditrechte des Finanzunternehmens, die jedoch in bestimmten Fällen eingeschränkt werden können. Zudem sieht die DORA-Verordnung bestimmte Kündigungsrechte vor, insbesondere wenn Schwächen im allgemeinen IKT-Risikomanagement des IT-Dienstleisters bestehen. Auch die Teilnahme an Schulungen stellt einen wesentlichen Bestandteil der DORA-Verordnung dar.

Warum ist eine Zusatzvereinbarung sinnvoll?

Die DORA-Verordnung trägt entscheidend zur Stärkung der IT-Sicherheit im Finanzsektor bei. Für IT-Dienstleister, die mit Finanzunternehmen zusammenarbeiten, ist die Einhaltung der DORA-Verordnung daher unerlässlich. Andernfalls drohen regulatorische Sanktionen, die erhebliche Auswirkungen auf beide Vertragspartner haben können.

Vor diesem Hintergrund stellt eine Zusatzvereinbarung eine effektive Möglichkeit dar, die spezifischen Anforderungen der DORA-Verordnung systematisch in die vertraglichen Beziehungen zu integrieren. Eine individuelle Zusatzvereinbarung schafft insoweit Klarheit, minimiert rechtliche Risiken und fördert eine langfristig erfolgreiche Zusammenarbeit zwischen IT-Dienstleistern und Finanzunternehmen.

Fazit

Die Nichteinhaltung der DORA-Verordnung kann erhebliche Risiken für Unternehmen mit sich bringen. Ohne die Inanspruchnahme fachkundiger Betreuung besteht die Gefahr von Compliance-Verstößen, die zu rechtlichen Konsequenzen wie Sanktionen führen können. Darüber hinaus können Sicherheitsvorfälle unentdeckt bleiben oder nicht angemessen behandelt werden, was zu schwerwiegenden Betriebsstörungen und finanziellen Verlusten führen kann.

Unsere Kanzlei bietet umfassende Beratung von Unternehmen im IT-Recht an. Wir unterstützen gerne bei der Umsetzung der DORA-Verordnung und schlagen hierfür maßgeschneiderte Lösungen zur Erfüllung der regulatorischen Anforderungen und zur Reduzierung potenzieller Risiken vor.

Über #LFR Wirtschaftsanwälte

LFR Wirtschaftsanwälte sind Ihr Partner in allen Fragen des IT-Rechts. Wir unterstützen bei der Beratung und der Gestaltung von Software- und E-Commerce-Projekten, IT-Verträgen, IT-Sicherheitskonzepten und bei IT-rechtlichen Konflikten. Bei Interesse an einem Beratungsgespräch zur Umsetzung der Anforderungen der DORA-Verordnung können Sie uns gerne kontaktieren.