Analysis:
Analysis
07 Jan. 2025
10 Minuten Lesezeit

Die DORA Vertrags-Compliance-Challenge

Die Überprüfung und Anpassung von Verträgen mit IT-Lieferanten, um die zahlreichen Anforderungen von DORA zu erfüllen, stellt für Finanzunternehmen eine große Herausforderung dar – insbesondere angesichts des Stichtags 17. Januar 2025. Ein effizienter, systematischer und digitaler Reviewprozess ist der Schlüssel zur Gewährleistung einer DORA-konformen Vertragslandschaft.

Dr. Hannes Bracht
Dr. Till Contzen
Klaus Gresbrand
Matthias Meinert

UPDATE: Januar 2025

Die DORA ist am 17. Januar 2025 in Kraft getreten und ist von den betroffenen Finanzunternehmen anzuwenden. Für nationale Sonderkonstellationen hat der Bundestag durch das am 18. Dezember 2024 verabschiedete Finanzmarktdigitalisierungsgesetz (FinmadiG) offene Fragen zum Anwendungsbereich der DORA geklärt. So gilt die DORA in Deutschland nunmehr ab dem 17. Januar 2025 auch für die Investitions- und Förderbanken der Bundesländer sowie für die KfW. Für sonstige Institute nach dem KWG, die keine CRR-Kreditinstitute sind (z.B. Leasing- und Factoringinstitute), gelten die meisten Anforderungen der DORA erst ab dem 1. Januar 2027. Eine Rückausnahme gilt für die Vorschriften des Meldewesens der DORA, die bereits jetzt auch für sonstige Institute gelten.

Parallel zum Inkrafttreten der DORA hat die BaFin die nationalen aufsichtsrechtlichen Anforderungen an die IT aufgehoben. Für die Vorgaben der KAIT, VAIT und ZAIT gilt dies vollständig seit dem 17. Januar 2025. Die BAIT werden insoweit aufgehoben, als sie Unternehmen betreffen, die ein IKT-Risikomanagement nach DORA betreiben müssen. Für alle anderen bisher der BAIT unterliegenden Unternehmen bestehen diese fort bis ab dem 1. Januar 2027 auch für die sonstigen Institute die vollständige Umstellung auf die DORA erfolgt.

Soweit noch nicht geschehen, ist es den betroffenen Instituten dringend anzuraten, spätestens jetzt die Umsetzung der DORA mit vollem Nachdruck zu betreiben. Soweit aktuell Umsetzungsprojekte in den Instituten auf Basis der BAIT, KAIT, VAIT oder ZAIT bestehen, sollten diese (ggf. in Abstimmung mit der BaFin) auf die DORA umgestellt werden.

UPDATE: Juli 2024

Die BaFin hat am 8. Juli 2024 erstmals eine Aufsichtsmitteilung mit Umsetzungshinweisen zu DORA als (nicht verbindliche) Hilfestellung für die betroffenen Finanzunternehmen veröffentlicht (BaFin - Aktuelles - Aufsichtsmitteilung Umsetzungshinweise DORA).

In Bezug auf die vertragliche Umsetzung der DORA sind insbesondere folgende Punkte von Bedeutung:

  • Mit der Umsetzung von DORA beabsichtigt die BaFin, die aufsichtsrechtlichen Anforderungen an die IT (BAIT/VAIT/KAIT/ZAIT) aufzuheben. Zukünftig wird somit bei IKT-Dienstleistungen allein die DORA maßgeblich sein, deren spezifische Anforderungen sich von den bisherigen Anforderungen an die IT unterscheiden können.
  • Die Umsetzungshinweise der BaFin enthalten eine (nicht abschließende) Übersicht der Mindestvertragsinhalte, die im Rahmen der DORA-Vertragscompliance mit IKT-Drittdienstleistern zu vereinbaren sind (BaFin - Aktuelles - Mindestvertragsinhalte DORA). Diese sollen im Grundsatz auch für Kapitalverwaltungsgesellschaften sowie Zahlungs- und E-Geld-Institute gelten.
  • Die BaFin erwartet eine Neu- oder Nachverhandlung der Verträge mit IKT-Drittdienstleistern und weist auf die Umsetzungsfrist bis zum 17. Januar 2025 ohne weitere Übergangsfristen hin und erwartet einen dokumentierten Implementierungszeitplan. Das Abwarten auf die noch nicht veröffentlichten Standardvertragsklauseln ist nicht ausreichend.


Im Ergebnis hat die BaFin damit nun auch ausdrücklich formuliert, dass die betroffenen Finanzunternehmen unmittelbar in die vertragliche Implementierung der DORA einsteigen müssen.

DORA: Die Reaktion der EU auf Cybersecurity-Bedrohungen

Am 27. Dezember 2022 führten das Europäische Parlament und der Rat die Verordnung (EU) 2022/2554 ein, die gemeinhin als Digital Operational Resilience Act oder DORA bekannt ist. Ihr Hauptziel ist es, die IT-Sicherheit von Finanzunternehmen wie Banken, Versicherungen und Wertpapierfirmen zu verbessern. Complianceanforderungen für bestimmte Verträge als Teil des „Management des IKT-Drittparteirisikos“ ist eine der fünf Säulen von DORA.

Die fünf Säulen von DORA

DORA harmonisiert und konsolidiert Schlüsselelemente bestehender Rahmenwerke und Standards für die digitale Resilienz in der EU und führt gleichzeitig neue Anforderungen ein. DORA konzentriert sich auf fünf Hauptbereiche: Informations- und Kommunikationstechnologie (IKT)-Risikomanagement, Umgang mit IKT-bezogenen Vorfällen, Prüfung der digitalen operationellen Resilienz Management des IKT-Drittparteirisikos und Informationsaustausch.

Die Finanzunternehmen müssen die Risiken im Zusammenhang mit ihren Informations- und IKT-Systemen bewerten und steuern.

Die Finanzinstitute müssen die zuständigen Behörden unverzüglich unterrichten, wenn erhebliche Störungen auftreten.

Regelmäßige Tests gewährleisten die Widerstandsfähigkeit digitaler Systeme und fördern sowohl grundlegende als auch fortgeschrittene Tests, um die Bereitschaft für Betriebsunterbrechungen zu bewerten.

DORA weitet seinen Geltungsbereich auf Drittdienstleister aus und veranlasst Finanzunternehmen, ihre vertraglichen Beziehungen zu IKT-Dienstleistern zu überprüfen und gegebenenfalls anzupassen.

Zusammenarbeit und Informationsaustausch erhöhen die allgemeine Resilienz.

Management des IKT-Drittparteirisikos als Contracting-Herausforderung

Im Rahmen der Säule “IKT-Drittanbieter-Risikomanagement” sind die Finanzunternehmen unter anderem dafür verantwortlich, dass ihre vertraglichen Vereinbarungen mit IKT-Drittanbietern mit den in der DORA festgelegten Anforderungen übereinstimmen. Eine zentrale Bestimmung, die diese Anforderungen regelt, ist Art. 30 DORA. Lesen Sie hier Art. 30 DORA im Volltext

Weitere Anforderungen sind in der DORA und den dazugehörigen technischen Regulierungs- (RTS) und Implementierungsstandards (ITS) festgelegt.

Letztlich müssen die Finanzunternehmen alle relevanten Vereinbarungen ermitteln, sammeln, überprüfen und gegebenenfalls ändern. Die Frist für den Abschluss dieser Maßnahmen ist der 17. Januar 2025.

  1. Dies führt zunächst zu der Aufgabe, alle relevanten IKT-Verträge für die Überprüfung zu ermitteln und zu sammeln. In Anbetracht des Umfangs ihrer Geschäftstätigkeit verwalten Finanzunternehmen oft eine beträchtliche Anzahl von IKT-bezogenen Verträgen - oft mehr als tausend Verträge pro Institut.
  2. Der zweite Schritt, eine detaillierte rechtliche Prüfung jedes Vertrags im Hinblick auf die DORA-Anforderungen, beginnt mit der Einstufung jedes Vertrags in kritisch oder unkritisch, gefolgt von einer eingehenden rechtlichen Bewertung, ob er die entsprechenden spezifischen Anforderungen gemäß DORA erfüllt.
  3. Schließlich müssen alle IKT-Verträge, die aktualisiert werden müssen, geändert werden – was nur mit Zustimmung der jeweiligen Gegenpartei möglich ist und zu Vertragsverhandlungen führen kann, insbesondere wenn die Gegenpartei mit DORA nicht vertraut ist.

Die Herstellung von DORA-Vertragscompliance ist aufgrund ihres Umfangs und des Aufwands, der für die Überprüfung und Neuverhandlung komplexer Verträge innerhalb kurzer Zeit erforderlich ist, eine erhebliche Herausforderung.

Der technologiegestützte Ansatz von Deloitte Legal

Unser dreistufiger Ansatz hilft Ihrem Unternehmen, die verschiedenen Herausforderungen der DORA-Vertrasgscompliance zu meistern.

In der Vorbereitungsphase konzentrieren wir uns darauf, die in Frage kommenden Verträge zu identifizieren, den gewünschten Zielzustand zu definieren und einige rechtliche Eckpfeiler festzulegen, z. B. die Kriterien für die Entscheidung, ob ein Vertrag kritisch oder unkritisch ist. Außerdem führen wir eine erste Bewertung Ihrer Vertragslandschaft durch.

In der anschließenden Gap-Analyse führen wir eine technologiegestützte rechtliche Prüfung Ihrer relevanten Verträge durch, um den Grad ihrer DORA-Konformität zu bewerten, oder wir diskutieren andere Ansätze, wie z. B. die pauschale Änderung aller relevanten Verträge durch standardisierte oder individualisierte DORA-Anhänge. Optional kann unsere rechtliche Analyse auch auf andere wichtige Themen wie z.B. die Einhaltung der GDPR ausgeweitet werden.

Ziel der Implementierungsphase ist es, alle relevanten Verträge so zu aktualisieren, dass sie den DORA-Anforderungen entsprechen. Unser Team aus Juristen und Legal Engineers kann Sie bei der gesamten Bandbreite solcher Vertragsanpassungen unterstützen, einschließlich der Massenproduktion von standardisierten oder individualisierten DORA-Anhängen, der Beantwortung von Fragen der Vertragspartner, der Verhandlung der gewünschten Vertragsänderungen, der Koordinierung der Unterschriften und der Einspeisung der unterzeichneten Versionen in Ihr Vertragsmanagement. Wir erstellen gemeinsam mit Ihnen ein Verhandlungs- und Q&A-Playbook, um volle Transparenz darüber zu schaffen, wie wir in Ihrem Namen mit Ihren Vertragspartnern kommunizieren, und um Ihnen die volle Kontrolle darüber zu geben, wann und wie wir Themen in Ihrer Organisation eskalieren werden.

Unser Team wird in jeder Phase des Projekts von modernster Technologie unterstützt.

Did you find this useful?

Yes
No

Thanks for your feedback

Your feedback is important to us

To tell us what you think, please update your settings to accept analytics and performance cookies.

Need help updating cookies?

Sprechen Sie uns an – wir unterstützen Sie gerne beim effizienten Weg in die DORA-Vertragscompliance.

Dr. Till Contzen

Partner | Lead Digital Law
+49 69 719188439

Klaus Gresbrand

Partner
+49 211 8772 2501

Dr. Hannes Bracht

Partner
+49 69 719188432

Einblicke und weiterführende Informationen

Com­pliance

Unternehmen müssen heute im Einklang mit einer Vielzahl von nationalen und internationalen Gesetzen und Vorschriften agieren und benötigen effektive Geschäftsprozesse, um die Einhaltung und Prävention von regulatorischen Anforderungen zu gewährleisten.
Dienst

Digital Law: Intangibles, Data & Technology

Digitalisierung und technologische Innovationen schaffen nicht nur Wachstum und Beschäftigung, sondern sind auch Schlüssel zu den Innovationen und der Wettbewerbsfähigkeit von morgen.

Wir kombinieren juristische Exzellenz mit technologischem Verständnis und branchenspezifischen Know-How. Dank unseres OneDeloitte-Ansatzes und der engen Zusammenarbeit mit anderen Bereichen von Deloitte profitieren unsere Mandanten von interdisziplinären, maßgeschneiderten Lösungen, die alle Aspekte Ihrer geschäftlichen Anforderungen integrieren.

Dienst

Financial Services | Banking & Finance

Deloitte Legal verfügt über umfassende Expertise in allen Bereichen der Finanzindustrie, vom Finanzaufsichtsrecht bis hin zur Strukturierung von Transaktionen und der Dokumentation von Finanzgeschäften. Wir beraten Institute, Investmentmanager und Versicherungen ebenso wie deren Kunden.
Dienst

Die Strategieumfrage 2024 für Chief Legal Officers (CLOs)

Die Rolle und Verantwortung des General Counsel/Chief Legal Officer (CLO) geht heute weit über die Festlegung der Strategie der Rechtsabteilung und die Erbringung von Rechtsberatung für das Unternehmen hinaus. Erfahren Sie, wie CLOs heute mit ihren Kolleginnen und Kollegen aus der Geschäftsleitung zusammenarbeiten, um immer komplexer werdende Herausforderungen zu meistern.
Research
12 Minuten Lesezeit