DORA – was nicht kritische IKT-Drittdienstleister jetzt beachten müssen

Die DORA-Verordnung (Digital Operational Resilience Act) verfolgt das Ziel, einen einheitlichen Rahmen für das Management von Cybersicherheits- und IKT-Risiken auf den Finanzmärkten zu schaffen. Sie adressiert neben Finanzunternehmen auch deren IT-Dienstleister, die im Gesetz etwas umständlich als „IKT-Drittdienstleister“ bezeichnet werden. Während sich aktuelle Veröffentlichungen derzeit insbesondere mit den Anforderungen an kritische IKT-Drittdienstleister beschäftigen und solchen, deren Dienstleistungen kritische oder wichtige Funktionen unterstützen, gibt es auch für die dritte Gruppe der IKT-Drittdienstleister – deren Dienstleistungen unkritisch im Sinne der DORA sind – einiges zu beachten.

Kritischer IKT-Drittdienstleister („critical third party service provider“, kurz „CTPP“)

Die Europäischen Aufsichtsbehörden (ESA) übernehmen federführend die Einstufung kritischer IKT-Drittdienstleister; ein Kriterium für diese Einstufung ist, ob die Dienste systemische Auswirkungen auf Stabilität, Kontinuität oder Qualität der Erbringung der Leistungen der Finanzunternehmen haben könnten (vgl. Art. 31 Abs. 2 DORA). Die ESA haben eine finale Liste kritischer IKT-Drittdienstleister für die zweite Hälfte des Jahres 2025 angekündigt.

IKT-Dienstleistungen, die kritische oder wichtige Funktionen unterstützen („ICT services to support critical or important functions“, kurz „SSCIF“)

Unabhängig von der Frage der Einstufung als kritisch durch die ESA müssen Finanzunternehmen vor Abschluss einer vertraglichen Vereinbarung über die Nutzung von IKT-Dienstleistungen nach der neuen Rechtslage beurteilen, ob sich die vertragliche Vereinbarung auf die Nutzung von IKT-Dienstleistungen zur Unterstützung einer „kritischen oder wichtigen Funktion“ bezieht. Dies sind insbesondere Funktionen, deren Ausfall die finanzielle Leistungsfähigkeit eines Finanzunternehmens oder die Solidität oder Fortführung seiner Geschäftstätigkeiten und Dienstleistungen erheblich beeinträchtigen würde (Art. 3 Nr. 22 DORA).

Umfangreiches Pflichtenprogramm

Kritische IKT-Drittdienstleister und solche, die als SSCIF relevant identifiziert wurden, treffen sowohl in technischer als auch rechtlicher Hinsicht auf ein umfangreiches Pflichtenprogramm. Zur Unterstützung bei der Umsetzung der vertraglichen Anforderungen in Bezug auf SSCIF hat die BaFin eine Excel-Tabelle veröffentlicht und jüngst aktualisiert.

Nicht kritische IKT-Dienstleistungen (kurz „non SSCIF“)

IKT-Drittdienstleister, die weder von den ESA als kritisch eingestuft noch deren Leistungen vom Vertragspartner als SSCIF relevant beurteilt werden, sehen sich schließlich auch neuen Herausforderungen gegenüber. Insbesondere müssen auch ihre Verträge nunmehr der DORA entsprechen. Die zentralen Regelungen stehen in den ersten zwei Absätzen des Art. 30 DORA. Allerdings finden sich dort keine Vertragsklauseln, sondern lediglich Mindestinhalte. Mehr ergibt sich auch aus der Exel-Tabelle der BaFin, die auch auf non SSCIF IKT-Drittdienstleister Anwendung findet, nicht.

Vorsicht bei Musterverträgen der Finanzunternehmen

Die Aufgabe der Formulierung von Zusatzvereinbarungen zur DORA übernehmen derzeit vor allem die Rechtsabteilungen, Anwaltskanzleien und Verbände der Finanzunternehmen; so unterstützt z.B. der Gesamtverband der Versicherer mit entsprechenden Musterklauseln. IT-Dienstleister, die meinen, DORA-compliant zu sein, sollten diese Musterverträge ihrer Vertragspartner vor Unterzeichnung unbedingt rechtlich prüfen (lassen). In aller Regel gehen die Pflichten der IKT-Drittdienstleister weit über die rechtlichen Mindestanforderungen hinaus. Umfangreiche Pflichten, z.B. zur Information und Unterstützung des Finanzunternehmens durch den IKT-Drittdienstleister dürfte kaum je ein Anspruch auf zusätzliche Vergütung des IKT-Drittdienstleisters gegenüber stehen. Da sich an jede Pflicht insbesondere auch das oft übersehene Risiko knüpft, bei Verletzung auf Schadensersatz zu haften, sollte hier nicht gezögert werden, ungünstige Klauseln aus den Verträgen zu verhandeln.

Praxistipp

Taktisch oft noch besser kann es sein, wenn der IKT-Drittdienstleister zusammen mit dem Angebot seiner non SSCIF IT-Leistungen und unter Einbeziehung seiner eigenen Allgemeinen Geschäftsbedingungen oder Musterverträge auch einen eigenen passgenauen Entwurf einer DORA-Zusatzvereinbarung vorlegen kann. Dieser dürfte typischerweise um einiges knapper ausfallen können als die umfangreichen Vertragsmuster der Finanzunternehmen, weshalb eine gute Chance besteht, ihn trotz eines möglichen Verhandlungsungleichgewichts zu Gunsten des Finanzunternehmens durchsetzen zu können.

Ihre Ansprechpartner in unserem Büro in Zusammenhang mit der DORA sind:

Rechtsanwalt und Fachanwalt für IT-Recht Stefan Ansgar Strewe

Rechtsanwältin und Fachanwältin für IT-Recht sowie für Internationales Wirtschaftsrecht Anne Schramm

Rechtsanwältin Nicole Marquardt

Rechtsanwältin Anne Graurock