Digitale Resilienz: DORA vor dem Praxisstart – die heiße Phase
Mit der Veröffentlichung des zweiten Pakets durch die europäischen Aufsichtsbehörden (Europäische Bankenaufsichtsbehörde – EBA, Europäische Wertpapier- und Marktaufsichtsbehörde – ESMA, Europäische Aufsichtsbehörde für das Versicherungswesen und die betriebliche Altersversorgung – EIOPA – und deren gemeinsamer Ausschuss – die ESAs) im Juli 2024 sind die wesentlichen technischen Regulierungsstandards, Implementierungsstandards und Leitlinien nun verbindlich und bieten die dringend benötigte Rechtssicherheit für die Umsetzung von DORA. Bedauerlicherweise sind technische Standards (ITS) zum Informationsregister und regulative Standards (RTS) zur Unterauftragsvergabe noch immer nicht finalisiert.
DORA fordert zu Recht, dass Finanzinstitute sicherstellen, dass ihre Dienstleister denselben hohen Standards an Resilienz und Sicherheit folgen. Der regulatorische Druck zur Überwachung und Steuerung des Einsatzes von Informations- und Kommunikationstechnologie (IKT)-Dienstleistern ist beträchtlich und schließt auch die Kontrolle von Unterauftragnehmern (Sub-Contracting) ein.
Viele bestehende Verträge mit IKT-Dienstleistern erfüllen die neuen DORA-Vorgaben nicht und müssen angepasst werden. Diese Anpassung bis zum Stichtag (17. Januar 2025) stellt eine erhebliche Herausforderung für die Branche dar und scheint bereits jetzt unrealistisch. Unzureichende oder nicht angepasste Verträge könnten zur Nichteinhaltung der DORA-Vorgaben führen und Sanktionen durch die Aufsichtsbehörden nach sich ziehen. Ein umfassendes Vertragsmanagement, gestützt auf eine detaillierte Risikobewertung, ist daher unerlässlich, um rechtzeitig die richtigen Weichen zu stellen.
Gemäß Art. 30 (4) DORA sollen Finanzunternehmen und IKT-Dienstleister bei der Verhandlung vertraglicher Vereinbarungen die Nutzung von Standardvertragsklauseln in Betracht ziehen, die von Behörden für bestimmte Dienstleistungen entwickelt wurden. Leider fehlen solche Standardklauseln nach wie vor, sodass Finanzunternehmen und IKT-Dienstleister jeweils individuelle Lösungen entwickeln müssen, was zu ineffizienten Prozessen führt. Dies erfordert auch eine intensive Auseinandersetzung mit der Frage, wie Finanzunternehmen ihre IKT-Dienstleister und deren Unterauftragnehmer tatsächlich überwachen können. Denn die bloße Anpassung der Verträge wird den Kontrollpflichten der Institute nicht gerecht. Reine Zertifizierungen werden unter DORA ebenfalls nicht mehr ausreichen, was eine weitere Herausforderung darstellt: Wie können Prüfungen effizient und effektiv durchgeführt werden?
Unsere Positionen
Wir betonen weiterhin die Notwendigkeit, das in DORA verankerte Proportionalitätsprinzip in allen delegierten Rechtsakten sowie in der praktischen Anwendung und Prüfung zu berücksichtigen. Insbesondere kleinere Institute oder solche mit weniger komplexen IKT-Infrastrukturen sollten mehr Flexibilität erhalten, um die Anforderungen skalierbar umsetzen zu können. Ein risikobasierter Ansatz wäre hier sinnvoll, bei dem der Grad der Umsetzung an das spezifische Risikoprofil der einzelnen Institute angepasst wird.
Wir plädieren, mit Blick auf die aktuellen Herausforderungen im Vertragsmanagement, dafür, dass für die Anpassung bestehender Verträge mit IKT-Dienstleistern zusätzliche Fristen eingeräumt werden. Die Komplexität der Verhandlungen und die Vielzahl an Abhängigkeiten machen dies unerlässlich.
Wir setzen uns darüber hinaus dafür ein, dass ein Mechanismus etabliert wird, bei dem mehrere Finanzinstitute die Einhaltung der DORA-Vorgaben durch große, gemeinsam genutzte IKT-Dienstleister koordiniert überwachen können. Dies könnte beispielsweise durch von Aufsichtsbehörden koordinierte Plattformen, Zertifizierungen oder Audit-Pool-Lösungen geschehen.
Wir regen zudem an, dass die Aufsichtsbehörden für den Übergangszeitraum nach Inkrafttreten von DORA bis zur vollständigen Umsetzung adäquate Übergangshinweise und Handlungsempfehlungen formulieren. Diese sollten von Wirtschaftsprüfungsgesellschaften und dem Institut der Wirtschaftsprüfer in Deutschland (IDW) im Rahmen ihrer Aufgaben berücksichtigt und angewendet werden können.