DORA – was ist das und wie betrifft es Sie?

24. Januar 2025

Jürgen Hüneborn

Ab dem 17. Januar 2025 wird es „ernst“: Nach einer 2-jährigen Übergangsfrist ist der DORA (digital operational resilience act) inkraft getreten.
Die DORA-Verordnung der EU zielt darauf ab, die digitale Widerstandsfähigkeit des Finanz- und Versicherungssektors zu stärken. Für Finanzinstitute und Versicherer bedeutet dies eine verpflichtende Selbsteinschätzung ihrer IKT-Risiken und Sicherheitsmaßnahmen.
Besonders relevant sind die Anforderungen an IKT-Drittanbieter kritischer Dienste:

Finanzunternehmen müssen bis 2025 ihre IKT-Systeme umfassend testen und Notfallpläne entwickeln. Die Verordnung soll Cyberrisiken reduzieren und die Stabilität des Finanzsystems erhöhen.

Gemäß DORA müssen Dienstverträge zwischen Finanzinstituten und IKT-Drittanbietern folgende zentrale Aspekte berücksichtigen:

Die Verträge müssen zudem Mechanismen enthalten, die es Finanzinstituten ermöglichen, schnell auf Sicherheitsrisiken zu reagieren und kritische Dienste bei Bedarf zu ersetzen.

Wie betrifft das Sie?

Wenn Sie als mittelständischer Software- oder IT-Dienstleister auch für die Banken- oder Versicherungsbranche tätig werden, kann DORA für Sie konkrete Folgen haben. Ihr Auftraggeber wird Sie möglicherweise zur Unterzeichnung bestimmter Vertragszusätze bitten, wird sich das Recht zu Audits und PEN-Tests bei Ihnen einräumen lassen und wird – wie oben beschrieben – bestimmte Informationen von Ihnen haben wollen.

Kontaktieren Sie uns gerne, wenn Sie vorbereitet sein wollen! Sie können auch selbständig Ihren Auftraggebern entsprechende Vertragszusätze anbieten bzw. Ihre Verträge von vorn herein „DORA-gerecht“ gestalten. Rechtsanwalt Hüneborn informiert Sie gerne über die Möglichkeiten.

 

Weiterführende Informationen:

Informationsseite der BAFIN zum DORA

Musterklauseln des Gesamtverbandes der Versicherer (GDV) für IKT-Drittdienstleister

DSGVO Cookie Consent mit Real Cookie Banner