Ab dem 17. Januar 2025 wird es „ernst“: Nach einer 2-jährigen Übergangsfrist ist der DORA (digital operational resilience act) inkraft getreten.
Die DORA-Verordnung der EU zielt darauf ab, die digitale Widerstandsfähigkeit des Finanz- und Versicherungssektors zu stärken. Für Finanzinstitute und Versicherer bedeutet dies eine verpflichtende Selbsteinschätzung ihrer IKT-Risiken und Sicherheitsmaßnahmen.
Besonders relevant sind die Anforderungen an IKT-Drittanbieter kritischer Dienste:
Finanzunternehmen müssen bis 2025 ihre IKT-Systeme umfassend testen und Notfallpläne entwickeln. Die Verordnung soll Cyberrisiken reduzieren und die Stabilität des Finanzsystems erhöhen.
Gemäß DORA müssen Dienstverträge zwischen Finanzinstituten und IKT-Drittanbietern folgende zentrale Aspekte berücksichtigen:
Die Verträge müssen zudem Mechanismen enthalten, die es Finanzinstituten ermöglichen, schnell auf Sicherheitsrisiken zu reagieren und kritische Dienste bei Bedarf zu ersetzen.
Wenn Sie als mittelständischer Software- oder IT-Dienstleister auch für die Banken- oder Versicherungsbranche tätig werden, kann DORA für Sie konkrete Folgen haben. Ihr Auftraggeber wird Sie möglicherweise zur Unterzeichnung bestimmter Vertragszusätze bitten, wird sich das Recht zu Audits und PEN-Tests bei Ihnen einräumen lassen und wird – wie oben beschrieben – bestimmte Informationen von Ihnen haben wollen.
→ Kontaktieren Sie uns gerne, wenn Sie vorbereitet sein wollen! Sie können auch selbständig Ihren Auftraggebern entsprechende Vertragszusätze anbieten bzw. Ihre Verträge von vorn herein „DORA-gerecht“ gestalten. Rechtsanwalt Hüneborn informiert Sie gerne über die Möglichkeiten.
Informationsseite der BAFIN zum DORA
Musterklauseln des Gesamtverbandes der Versicherer (GDV) für IKT-Drittdienstleister