DORA-Verordnung: Neue Pflichten für Banken und ihre IT-Dienstleister

Der Digital Operational Resilience Act (DORA) der EU stellt Banken und andere Finanzinstitute vor neue Herausforderungen – und mit ihnen auch deren IT-Dienstleister. 

Wozu dient DORA?

DORA soll die digitale Widerstandsfähigkeit des Finanzsektors stärken, indem es Banken und andere Finanzinstitute verpflichtet, strenge Vorgaben für den Schutz vor IT-Risiken, Cyberangriffen und Systemausfällen einzuhalten. Dies betrifft nicht nur die bankeigenen interne Abläufe, sondern auch externe Dienstleister von Banken und anderen Finanzinstituten. Denn diese müssen von den Banken in ihrer hauseigenen IT-Risikoanalyse als Faktor berücksichtigt werden.

Obwohl viele kleien und mittlere IT-Unternehmen also selbst nicht direkt DORA unterliegen, werden sie zunehmend mit neuen Vertragsklauseln und Vertragszusätzen konfrontiert, die von Banken eingeführt werden, damit diese ihre regulatorischen Pflichten erfüllen können.

Was bedeutet DORA für IT-Dienstleister?

Banken müssen ihre IT-Dienstleister strenger überwachen und vertraglich in ihre Risikostrategie einbinden. Dazu gehören unter anderem:

• Erhöhte Sicherheits- und Resilienzanforderungen
• Regelmäßige Risikoanalysen und Berichterstattung
• Detaillierte Notfall- und Wiederherstellungspläne
• Umfangreichere Prüfungsrechte für Banken und Aufsichtsbehörden

Diese neuen Vorgaben sind nach der Wichtigkeit und Kritikalität der Leistungen abgestuft, die die IT-Dienstleister für ihre Bank-Kunden erbringen, und können zu unerwarteten Verpflichtungen und Haftungsrisiken für IT-Dienstleister führen – oft ohne ausreichende Vorbereitung oder Verhandlungsspielraum und ohne Regelung zu den  Zusatzkosten, die durch die Übernahme neuer Pflichten für den IT-Dienstleister entstehen. 

Wie kann ich Ihnen helfen?

Wenn Sie von Ihren Kunden aus dem Finanzsektor auf DORA angesprochen werden und gebeten werden, vertragliche Zusätze zu akzeptieren, unterstütze ich Sie dabei, auf diese neuen Anforderungen strategisch zu reagieren:

• Vertragsprüfung & Verhandlung: ich analysiere neue Vertragsklauseln auf potenzielle Risiken und setze mich für faire Bedingungen ein.
• Risikomanagement: Ich helfe Ihnen, rechtliche Fallstricke zu erkennen und  zu vermeiden.
• Haftungsbegrenzung: Ich entwickle Lösungen, um unangemessene Verpflichtungen und da mit Haftungsfallen zu vermeiden.

Kontaktieren Sie mich, wenn Sie Näheres erfahren möchten, über das untenstehende Kontaktformular oder telefonisch.