Vertragsanpassungen aufgrund von DORA: Was Finanzunternehmen jetzt beachten müssen

Mit der Einführung des Digital Operational Resilience Act (DORA) sind Finanzunternehmen verpflichtet, ihre digitale und betriebliche Resilienz umfassend zu verbessern. Während viele Unternehmen bereits technische Maßnahmen implementieren, gerät ein entscheidender Aspekt oft in den Hintergrund: die vertragliche Anpassung an die neuen regulatorischen Vorgaben. DORA betrifft nicht nur Finanzunternehmen, sondern auch deren externe IKT-Dienstleister, die kritische IT-Dienste bereitstellen. Diese Unternehmen müssen sicherstellen, dass ihre Verträge mit Drittanbietern den neuen Anforderungen gerecht werden.

Welche Unternehmen sind betroffen?

Die DORA-Verordnung erstreckt sich auf ein breites Spektrum an Akteuren im Finanzsektor. Neben Banken und Versicherungen sind auch Zahlungsdienstleister, Wertpapierfirmen, Kryptodienstleister sowie Ratingagenturen verpflichtet, ihre IKT-Resilienz zu stärken. Besonders betroffen sind Unternehmen, die IKT-Dienste von Drittanbietern beziehen, etwa Cloud-Dienstleistungen oder Cybersicherheitslösungen. Da externe Anbieter ein potenzielles Sicherheitsrisiko darstellen können, legt DORA besonderen Wert auf klare und sichere Vertragsstrukturen.

DORA und NIS-2: Eine ergänzende Regulierung

DORA kann als Ergänzung zur Richtlinie über die Sicherheit von Netz- und Informationssystemen (NIS-2) verstanden werden. Während NIS-2 sich auf die allgemeine Cybersicherheit kritischer Infrastrukturen konzentriert und eine breite Palette von Sektoren umfasst, geht DORA spezifisch auf die IT-Sicherheitsanforderungen der Finanzbranche ein. Finanzunternehmen sollten daher sicherstellen, dass ihre vertraglichen Regelungen sowohl die Anforderungen aus DORA als auch die aus NIS-2 berücksichtigen, um eine ganzheitliche digitale Resilienz zu gewährleisten.

Zentrale Vertragsbestandteile gemäß DORA

Ein entscheidendes Element der DORA-Vorgaben sind präzise formulierte Vertragsklauseln zwischen Finanzunternehmen und ihren IT-Dienstleistern. Die Verordnung sieht vor, dass Unternehmen bestehende Verträge anpassen und neue Vereinbarungen von Anfang an konform ausgestalten.

Folgende Punkte sind hierbei besonders relevant:

Verantwortlichkeiten und Haftung
Verträge müssen klar definieren, welche Verantwortung der IT-Dienstleister trägt. Insbesondere bei Cyberangriffen oder IT-Ausfällen muss geregelt sein, wer für Schäden haftet und welche Maßnahmen zur Risikominderung getroffen werden.
Meldepflichten und Incident-Management
DORA verpflichtet IT-Dienstleister dazu, schwerwiegende Vorfälle unverzüglich an das Finanzunternehmen und gegebenenfalls an die zuständigen Behörden zu melden. Verträge müssen dies klar regeln, um rechtliche Unsicherheiten zu vermeiden.
Prüfungs- und Auditrechte
Finanzunternehmen müssen sich das Recht vorbehalten, IT-Dienstleister regelmäßig zu auditieren. Dies schließt Vor-Ort-Prüfungen sowie externe Sicherheitsaudits mit ein.
Subunternehmer und Kettenverträge
Viele IT-Dienstleister arbeiten mit Subunternehmen. DORA fordert, dass die Verantwortlichkeiten und Pflichten dieser Unterauftragnehmer ebenfalls klar geregelt sind. Insbesondere darf eine kritische Abhängigkeit nicht entstehen, ohne dass das Finanzunternehmen hiervon Kenntnis hat und zustimmt.
Beendigungs- und Exit-Strategien
Falls ein Vertrag endet oder gekündigt wird, müssen Unternehmen sicherstellen, dass der Wechsel zu einem anderen Anbieter reibungslos verläuft und keine Sicherheitslücken entstehen. Hierbei sind Datenmigration, Löschkonzepte und Übergangsfristen festzulegen.

Herausforderungen bei der Vertragsumsetzung

Die Anpassung bestehender Verträge an DORA ist nicht trivial. Viele Unternehmen stehen vor der Herausforderung, hunderte oder gar tausende von Verträgen zu überprüfen und anzupassen. Zudem erfordert die Abstimmung mit den IT-Dienstleistern oft langwierige Verhandlungen. Um diesen Prozess zu erleichtern, können Unternehmen auf moderne Dokumentengeneratoren zurückgreifen. Diese Tools helfen dabei, Vertragsmuster schnell und effizient an neue regulatorische Anforderungen anzupassen, wodurch der Aufwand für die manuelle Bearbeitung erheblich reduziert wird. Bestehende Verträge lassen sich automatisch analysieren und in standardisierte, DORA-konforme Vorlagen überführen. Hier empfiehlt es sich, standardisierte Vertragsmuster zu entwickeln, die den DORA-Vorgaben entsprechen und zukünftige Anpassungen erleichtern.

Was Finanzunternehmen jetzt tun sollten

Die Umsetzung der DORA-Vorgaben erfordert eine strukturierte und strategische Herangehensweise. Finanzunternehmen sollten daher einen systematischen Fahrplan entwickeln, der alle relevanten Prozesse, Verträge und Verantwortlichkeiten berücksichtigt.

Ein klarer Fahrplan hilft dabei, rechtliche Risiken zu minimieren, die Compliance sicherzustellen und langfristige Resilienz aufzubauen:

Umfassende Bestandsaufnahme aller relevanten Verträge:
Unternehmen sollten alle bestehenden Verträge mit IKT-Dienstleistern dahingehend analysieren, welche Vereinbarungen überarbeitet oder neu ausgehandelt werden müssen. Ein strukturiertes Vertragsmanagement hilft dabei, Lücken oder veraltete Klauseln zu identifizieren.
Entwicklung standardisierter Vertragsklauseln:
Einheitliche Vorlagen und Standardverträge sorgen dafür, dass neue Vereinbarungen von Beginn an den DORA-Vorgaben entsprechen. Diese sollten insbesondere Regelungen zu Sicherheitsstandards, Haftung, Prüfpflichten und Meldeprozessen enthalten.
Aktive Verhandlungsführung mit IT-Dienstleistern:
Eine enge Zusammenarbeit mit externen Anbietern ist notwendig, um die neuen Anforderungen effizient umzusetzen. Dabei sollten klare Erwartungen an Sicherheitsmaßnahmen, Prüfverfahren und Notfallpläne kommuniziert werden.
Gezielte Schulung interner Teams:
Mitarbeiter aus den Bereichen IT, Recht und Compliance müssen mit den neuen Anforderungen vertraut gemacht werden. Regelmäßige Schulungen und Workshops helfen dabei, regulatorische Bestimmungen in die Praxis umzusetzen und Verantwortlichkeiten klar zu definieren.
Regelmäßige Überprüfung neuer und bestehender Verträge:
Eine einmalige Anpassung reicht nicht aus. Unternehmen sollten kontinuierlich prüfen, ob bestehende Verträge noch konform sind und bei Bedarf Anpassungen vornehmen. Ein dynamischer Überwachungsprozess hilft, langfristige Compliance sicherzustellen.

Wie können Unternehmen ihre Verträge effizient anpassen und so Risiken minimieren?

Die Anforderungen von DORA gehen weit über technische Schutzmaßnahmen hinaus. Eine klare und präzise Vertragsgestaltung ist entscheidend, um rechtliche und operationelle Risiken zu minimieren. Die Umsetzung dieser Anpassungen erfordert jedoch erhebliche Ressourcen und kann für viele Unternehmen eine zeitaufwendige Herausforderung darstellen.

Durch den Einsatz von Legal Tech und externen Experten lassen sich Vertragsüberprüfungen und -anpassungen effizient gestalten und regulatorische Anforderungen schneller umsetzen. Unternehmen, die frühzeitig handeln, vermeiden nicht nur regulatorische Sanktionen, sondern sichern sich auch eine stärkere Position in Vertragsverhandlungen mit IT-Dienstleistern.

Wir unterstützen Unternehmen bei der effizienten Anpassung von Verträgen. Dabei können wir Ihre bestehenden Verträge überprüfen, Formulierungsvorschläge entwickeln oder Verträge in Ihrem Auftrag verhandeln – ganz wie Sie es benötigen. Auch bei der Implementierung von Legal Tech-Lösungen stehen wir Ihnen zur Seite, damit Sie die DORA-Vorgaben optimal erfüllen. Eine solide vertragliche Grundlage schafft Transparenz, reduziert Risiken und stellt sicher, dass Finanzunternehmen auch langfristig ihre digitale Resilienz stärken können.

Ihr persönlicher Kontakt

Matthias SchulzDirector Sales

Diese Artikel könnten Sie ebenfalls interessieren

Insights

EU-Entwaldungsverordnung: Was Unternehmen jetzt wissen müssen

März 26, 2025

Mehr erfahren