Die Verordnung über die operative Belastbarkeit digitaler Systeme (DORA) ist eine gesetzliche Initiative der Europäischen Union, die darauf abzielt, die Cybersicherheit und die operative Belastbarkeit im Finanzsektor zu stärken. Mit der zunehmenden Digitalisierung von Finanzdienstleistungen und der steigenden Zahl von Cyberangriffen soll DORA die Sicherheit und Stabilität des Finanzsystems erhöhen.

DORA macht u.a. auch Vorgaben für den Inhalt von IT-Verträgen. Hier die 6 wichtigsten Punkte, die Finanzinstitute und IT-Dienstleister miteinander künftig vertraglich regeln müssen:

1. Klare Definition von Sicherheitsanforderungen: Verträge müssen spezifische Sicherheitsmaßnahmen und -standards enthalten, die vom Dienstleister erfüllt werden müssen. Dies umfasst Richtlinien zur Datensicherheit, Verschlüsselungsstandards und Maßnahmen zur Vermeidung von Datenlecks.

2. Incident Reporting: Verträge müssen detaillierte Vereinbarungen über die Berichterstattung von Sicherheitsvorfällen enthalten. Dies schließt Fristen für die Meldung von Vorfällen und die Art der zu teilenden Informationen ein.

3. Audit- und Überwachungsrechte: Finanzunternehmen müssen das Recht haben, regelmäßige Audits und Überprüfungen der Sicherheitspraktiken und der operativen Belastbarkeit ihrer Dienstleister durchzuführen.

4. Vereinbarungen zur Datenverarbeitung: Die Verträge müssen klare Bestimmungen zur Verarbeitung und Speicherung von Daten enthalten, einschließlich der Einhaltung der DSGVO).

5. Notfall- und Wiederherstellungspläne: Dienstleister müssen robuste Notfall- und Wiederherstellungspläne vorweisen können, die in den Verträgen festgehalten werden. Diese Pläne sind entscheidend, um die Kontinuität der Geschäftstätigkeit im Falle eines Cyberangriffs oder einer anderen Störung zu gewährleisten.

6. Beendigung und Übergangsregelungen: Verträge sollten klare Regelungen für die Beendigung der Dienstleistung und für Übergangsphasen enthalten, um sicherzustellen, dass Finanzunternehmen weiterhin ihre operative Belastbarkeit aufrechterhalten können.

Fazit

Die Einhaltung der DORA-Anforderungen in Verträgen zwischen Finanzunternehmen und ihren kritischen Dienstleistern ist von entscheidender Bedeutung, um die Cybersicherheit und operative Belastbarkeit im gesamten Finanzsektor zu stärken. Für IT-Dienstleister wird es künftig darum gehen, die Punkte bereits proaktiv im eigenen Vertragswerk zu adressieren, um in der Finanzbranche konkurrenzfähig zu bleiben.