Mindestvertragsinhalte des DORA: 3. Berichtspflichten
Cybersicherheit trifft auf Vertragsfreiheit: Artikel 30 DORA enthält einen Katalog von Mindestinhalten, die sich in Auslagerungsverträgen mit ITK-Dienstleistern wiederfinden müssen. Die Anforderungen nach DORA entsprechen zwar weitgehend den Vorgaben von EBA und MaRisk (AT 9). Ein genauer Blick offenbart jedoch Unterschiede, wie sich auch beim Thema Berichtspflichten zeigt.
EBA und MaRisk
Die EBA-Richtlinie und die MaRisk legen fest, dass Dienstleister verpflichtet sind, Finanzinstitute über jegliche Entwicklungen zu informieren, die die ordnungsgemäße Erledigung der ausgelagerten Aktivitäten und Prozesse beeinträchtigen könnten. Diese Anforderungen zielen darauf ab, eine frühzeitige und angemessene Reaktion auf potenzielle Risiken und Probleme zu ermöglichen.
Durch diese Berichtspflichten soll sichergestellt werden, dass Finanzunternehmen stets über potenzielle Risiken informiert sind und entsprechend handeln können.
DORA
Der DORA fokussiert bei den Berichtspflichten auf die kritischen und wichtigen Funktionen. Nach Artikel 30 Abs. 3 (b) DORA müssen IKT-Drittdienstleister ihre Finanzunternehmen über alle Entwicklungen informieren, die ihre Fähigkeit zur Erbringung der IKT-Dienstleistungen gemäß den vereinbarten Leistungsniveaus beeinträchtigen könnten. Dies umfasst alle Änderungen, die sich wesentlich auf die Unterstützung kritischer oder wichtiger Funktionen auswirken könnten.
Empfohlen von LinkedIn
Fazit
Während EBA und MaRisk lediglich festlegen, dass eine ordnungsgemäße Erledigung der vereinbarten Dienstleistungen sicherzustellen ist, setzt DORA konkrete Vereinbarungen über Leistungsniveaus bei kritischen und wichtigen Funktionen voraus. Das hat zur Folge, dass Finanzunternehmen und IKT-Dienstleister bei diesen Funktionen zusätzliche Anforderungen erfüllen müssen, um den erhöhten Anforderungen an die betriebliche Resilienz gerecht zu werden.
Wo immer sich Anpassungen ergeben, unterstützen wir Sie mit einem pragmatischen Ansatz dabei, Lösungen zu suchen und Vertragsbedingungen zu formulieren.
Bisher zu den Mindestvertragsinhalten des DORA erschienen:
Michaela Witzel der zentrale Ansatz sollte ja sein, einen Mindestandard zu haben, der für alle Dienstleister gilt. Da von diesen aber jeder seine eigene Regeln definiert, ist es schon aufwendig. Am Ende ist es ganz einfach: You get what you pay for. Denn wenn der Dienstleister mehr für den Kunden zusichern muss, steigen die Preise, er muss es ja auch umsetzen können.
Thinking, Doing and Growing Digital | Trusted Advisor in Cyber Security and Public Safety
5 MonateDanke, super Input. Längerfristige Verträge müssen ohnehin gemanaged werden. DORA gibt nun zusätzliche Aufgaben.
Interim/Freelance: 3rd Party IT Risks & IT Compliance | Digital/Operational Resilience | Audit Defense
5 MonateWenn man das weiterdenkt, kommt es z.B. im Bereich externer TLPT Unterstützung oder auch analog anspruchsvollen extern unterstützten Bereichen, in denen die Qualifikation von vorhandenen Schlüsselpersonal des direkten Vertragspartners eine zentrale Rolle für die ordnungsgemässe Leistungserbringung spielt, zu seltsamen Effekten, z.B. wäre eine Meldepflicht in Betracht zu ziehen, wenn der einzig qualifizierte Mensch das Unternehmen des Dienstleisters verlässt und kein adäquater Ersatz in Sicht ist. Viele Finanzinstitute klassifizieren noch immer die "Kritikalität eines DL an sich" einmalig am Anfang einer DL-Beziehung nach alt hergebrachter kaufmännischer Art und lassen es damit "gut sein" - hier wird wohl auch eine Entwicklung zu einer Art Vererbung anhand der jeweils aktuell oder in der Zukunft tatsächlich geleisteten Dienste und der dafür notwendigen Qualifikation notwendig werden.