Die Digital Operational Resilience Act (DORA) bringt neue Anforderungen für Finanzinstitute und deren Dienstleister mit sich. Viele Unternehmen stehen derzeit vor der Herausforderung, die Vorgaben praktisch umzusetzen. Dieser Beitrag soll eine konkrete Anleitung in sechs Schritten geben, um den DORA-Anforderungen systematisch gerecht zu werden.
1. Bestandsaufnahme: Welche Dienstleister haben wir?
Der erste Schritt besteht in der Erfassung aller bestehenden Dienstleistungsverhältnisse. Dabei sollten insbesondere:
- Alle externen Dienstleister und deren Dienstleistungen identifiziert werden und
- Verantwortliche für die jeweilige Dienstleistersteuerung benannt werden.
Tools wie Excel-Listen oder spezialisierte Vendor-Management-Systeme können dabei helfen, einen Überblick zu schaffen. Wichtig ist, bereits in dieser Phase die Abhängigkeiten und Nutzungskontexte zu dokumentieren.
2. Qualifikation: Fällt ein Dienstleister unter die DORA-Vorgaben?
Nicht jeder Dienstleister ist zwangsläufig von DORA betroffen. Die Frage lautet: Handelt es sich bei der Dienstleistung um eine IKT-Dienstleistung im Sinne der DORA?
Gemäß der Legaldefinition der DORA sind IKT-Dienstleistungen digitale Dienste und Datendienste, die über IKT-Systeme einem oder mehreren internen oder externen Nutzerinnen und Nutzern dauerhaft bereitgestellt werden, einschließlich Hardware als Dienstleistung und Hardwaredienstleistungen. Dazu gehört auch die technische Unterstützung durch den Hardwareanbieter mittels Software- oder Firmware- Aktualisierungen, mit Ausnahme herkömmlicher analoger Telefondienste.
Die BaFin hat hierzu 7 Fragen entwickelt, die zur Beurteilung der DORA-Relevanz von Dienstleistungen herangezogen werden können.
- Handelt es sich um eine Dienstleistung?
- Handelt es sich um einen digitalen Dienst und/oder Datendienst?
- Wird die Dienstleistung über IKT-Systeme bereitgestellt?
- Wird die Dienstleistung internen oder externen Nutzern bereitgestellt?
- Wird die Dienstleistung dauerhaft bereitgestellt?
- Wird die Dienstleistung für die Ausübung der Geschäftstätigkeit benötigt?
- Wird die Dienstleistung von einem Drittdienstleister bereitgestellt?
Tipp: Ein Entscheidungsbaum oder ein einfaches Matrixmodell kann die Qualifikation erleichtern. Dokumentieren Sie Ihre Ergebnisse und die Begründung.
3. Kritische und nicht-kritische DLs qualifizieren
Nach der grundsätzlichen Einordnung geht es an die detaillierte Bewertung. Die Frage lautet: Fällt die Dienstleistung unter den Begriff der „kritischen oder wesentlichen Funktion“?
- Kritische Funktionen: Identifizieren Sie Dienstleistungen, die untrennbar mit Ihrer Geschäftsstrategie und regulatorischen Anforderungen verknüpft sind.
- Nicht-kritische Funktionen: Diese Dienstleistungen können Sie mit geringerem Aufwand behandeln, müssen jedoch ebenfalls dokumentiert werden.
Die Einordnung sollte mit Blick auf die folgenden Kriterien erfolgen:
- Bedeutung für den operativen Betrieb: Ist die Dienstleistung essenziell für Ihre Kernprozesse?
- Risikoperspektive: Kann ein Ausfall oder eine Störung der DL erhebliche Folgen für Kunden, den Markt oder die finanzielle Stabilität haben?
- Regulatorische Einordnung: Stützen sich diese Dienstleistungen auf Bereiche, die explizit durch DORA adressiert sind?
Tipp: Führen Sie eine Begründung für jede Qualifikation in Ihrer Dokumentation auf. Diese Argumentation wird von der Aufsicht gefordert.
4. Vertragliche Vereinbarungen vorbereiten
Sobald die Qualifikation abgeschlossen ist, geht es an die Anpassung der Verträge. Dabei sollten Sie:
- Sicherstellen, dass die Anforderungen von DORA in den Verträgen abgedeckt sind, insbesondere:
- Zugriff der Aufsicht auf relevante Informationen und Standorte.
- Festlegung von Service Level Agreements (SLAs), die spezifisch auf Ausfallsicherheit und Wiederherstellung ausgerichtet sind.
- Verpflichtung zur Zusammenarbeit bei Audits und Inspektionen.
- Unterscheiden zwischen kritischen und nicht-kritischen Dienstleistungen: Kritische Dienstleistungen erfordern umfangreichere Vereinbarungen.
Praxis-Hinweis: Bei großen Anbietern wie AWS oder Microsoft sind individuelle Vertragsverhandlungen oft nicht möglich. Nutzen Sie hier deren standardisierte Vereinbarungsmuster und bewerten Sie diese auf Konformität.
5. Kontaktaufnahme mit den Dienstleistern
Sobald die internen Vorbereitungen abgeschlossen sind, nehmen Sie Kontakt zu Ihren Dienstleistern auf. Folgende Schritte sind dabei hilfreich:
- Informationsaustausch: Klären Sie die bestehende Vertragslage und ob der Dienstleister bereits Anpassungen für DORA vorgenommen hat.
- Standardvereinbarungen: Viele große Anbieter stellen vorgefertigte Vertragsmodule zur Verfügung, die DORA-konform sind. Prüfen Sie diese auf Passgenauigkeit für Ihre Organisation.
- Kleinere Dienstleister: Für weniger etablierte Dienstleister müssen Sie möglicherweise individuelle Vertragsbedingungen aushandeln.
6. Informationsregister nach DORA führen
Die finale Umsetzung umfasst das Führen eines Informationsregisters, wie es von DORA gefordert wird. Es enthält sämtliche kritischen und nicht-kritischen DORA-Dienstleistungen. Die ESMA hat hierzu eine Formatvorlage erstellt, die zu verwenden ist.
Fazit: Klare Struktur für eine komplexe Aufgabe
Die Umsetzung der DORA-Vorgaben erfordert Zeit und Ressourcen, doch mit einem strukturierten Ansatz lassen sich die Herausforderungen meistern. Der Schlüssel zum Erfolg liegt in einer systematischen Analyse, der gezielten Anpassung von Verträgen und einem klar geführten Informationsregister.
Gerne unterstützen wir Sie bei der Umsetzung Ihrer DORA-Anforderungen.
