Der DORA begegnet auch den Risiken, die sich aus der Nutzung von IKT-Dienstleistungen durch externe IKT-Drittanbieter ergeben. Solche „IKT-Dienstleistungen“ sind gem. Art. 3 Nr. 21 DORA digitale Dienste und Datendienste, die über IKT-Systeme einem oder mehreren internen oder externen Nutzerinnen und Nutzern dauerhaft bereitgestellt werden, einschließlich Hardware als Dienstleistung und Hardwaredienstleistungen. Die Definition ist sehr weitreichend und erfasst praktisch alle Dienstleistungen, die mit Informations- und Telekommunikationstechnologien verbunden sind.
Zu beachten ist auch, dass die Definition von vertraglichen Vereinbarungen zur Nutzung von IKT-Dienstleistungen im Vergleich zu den bisherigen Regelungen für IT-Auslagerungen erheblich ausgeweitet wurde. Bislang bezogen sich die Vertragsanforderungen lediglich auf wesentliche Auslagerungen, während der DORA nun alle Verträge zu IKT-Dienstleistungen erfasst, die von IKT-Drittdienstleistern bezogen werden. Dadurch werden viele Sachverhalte sowohl unter die Auslagerungsregulatorik als auch unter DORA fallen. Die Anforderungen gelten insofern parallel und komplementär.
I. Konkrete Umsetzungshinweise
In der Praxis ist jede IKT-Dienstleistung entweder als kritisch oder unkritisch zu klassifizieren, und die entsprechenden Mindestanforderungen müssen im Vertrag festgelegt werden. Es ist dabei besonders wichtig, genau zu dokumentieren, an welcher Stelle im Vertrag diese Mindestinhalte vereinbart sind. Da Verträge mit externen Dienstleistern häufig aus mehreren Dokumenten bestehen (wie Rahmenverträgen, Leistungsscheinen, Anlagen, usw.), erfordert diese Aufgabe einen erheblichen Zeitaufwand und bindet entsprechende Ressourcen.
Schritt 1: Anwendbarkeit von DORA (siehe Teil 1)
Für die Anwendbarkeit von DORA ist zunächst erforderlich, dass eine Vertragspartei ein Finanzinstitut ist, während auf der anderen Seite ein IKT-Drittdienstleister steht. Des Weiteren muss der in Rede stehende Vertrag ein Vertrag über die Nutzung von IKT-Dienstleistungen, die von dem IKT-Drittdienstleister bereitgestellt werden, sein.
Schritt 2: Klassifizierung der in Anspruch genommenen Dienstleistung (siehe IV. 6.)
Um die konkreten DORA-Anforderungen festlegen zu können, ist zu bestimmen, ob die IKT-Dienstleistung der Unterstützung kritischer und wichtiger Funktionen i.S.v. Art. 3 Nr. 22 DORA dient.
Schritt 3: Feststellung der vertraglichen Mindestinhalte (siehe II.-IV.)
Im Folgenden ist in Abhängigkeit von der getroffenen Klassifizierung eine Feststellung der vertraglichen Mindestinhalte zu treffen. Diese ergeben sich aus den Art. 28 – 30 DORA. Die Anforderungen an die Auslagerungsverträge gemäß Art. 30 DORA ähneln weitgehend den Vorgaben von AT 9 der MaRisk sowie den Regelungen der BaFin-Rundschreiben BAIT, KAIT, ZAIT und VAIT. Allerdings könnte für Verträge, die den „sonstigen Fremdbezug von IT“ betreffen, ein erhöhter Anpassungsbedarf bestehen.
Schritt 4: Abgleich des bisherigen Dienstleistungsvertrags
Die festgestellten vertraglichen Mindestinhalte gilt es mit dem bisherigen Dienstleistungsvertrag abzugleichen.
Schritt 5: Ergänzung oder Neuregelung des Vertrags
Im letzten Schritt sind schließlich die erforderlichen Vertragsinhalte zu ergänzen. Je nachdem, wie umfangreich dies ist, kann eine umfassende Neuregelung des Vertrags sinnvoll sein. Durch die erhebliche Erweiterung des Anwendungsbereichs und der verpflichtend zu vereinbarenden Vertragsinhalte wird laut BaFin in vielen Fällen eine Neu- oder Nachverhandlung eines großen Teils der Verträge mit IKT-Drittanbietern erforderlich.
II. Risikomanagement bei der Nutzung von IKT-Drittanbietern: Due-Diligence
Finanzunternehmen, die externe IKT-Dienstleister nutzen, müssen die Risiken dieser Drittparteien bereits vor Vertragsschluss und auch während der gesamten Zeit der Zusammenarbeit bewerten und überwachen. Ziel ist eine gründliche Überprüfung der IKT-Sicherheitspraktiken und -fähigkeiten des Drittanbieters, um sicherzustellen, dass der Drittanbieter in der Lage ist, die vertraglich vereinbarten Sicherheitsanforderungen zu erfüllen.
Art. 28 DORA enthält eine ausführliche Auflistung allgemeiner Prinzipien für das Risikomanagement von IKT-Dienstleistern, darunter auch mehrere Grundsätze, die vertragliche Vereinbarungen betreffen. Hier eine Zusammenfassung der wesentlichen Inhalte:
Angemessene Dokumentation vertraglicher Vereinbarungen (Art. 28 Abs. 3 DORA): Finanzunternehmen führen und aktualisieren ein Informationsregister, das sich auf alle vertraglichen Vereinbarungen über die Nutzung von IKT-Dienstleistungen bezieht. Die vertraglichen Vereinbarungen werden angemessen dokumentiert.
Berichterstattung an die zuständige Behörde (Art. 28 Abs. 3 DORA): Finanzunternehmen erstatten mindestens einmal jährlich Bericht zur Anzahl neuer Vereinbarungen über (1) die Nutzung von IKT-Dienstleistungen, (2) die Kategorien von IKT-Drittdienstleistern, (3) die Art der vertraglichen Vereinbarung und (4) die IKT-Dienstleistungen und -Funktionen.
Informationspflichten (Art. 28 Abs. 3 DORA): Finanzunternehmen unterrichten die zuständige Behörde zeitnah über jede geplante vertragliche Vereinbarung über die Nutzung von IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen sowie in dem Fall, dass eine Funktion kritisch oder wichtig geworden ist.
Vorvertragliche Beurteilungspflichten (Art. 28 Abs. 4 DORA): Bei der Dienstleisterauswahl ist den gebotenen Sorgfaltsplichten (Due Diligence) nachzukommen. So muss das Finanzunternehmen vor Vertragsschluss mit einem IKT-Dienstleister: (1) beurteilen, ob eine kritische oder wichtige Funktion betroffen ist, (2) beurteilen, ob aufsichtsrechtliche Bedingungen für Auftragsvergabe erfüllt sind, (3) alle relevanten Risiken ermitteln und bewerten, (4) einen geeigneten Auswahl- und Bewertungsprozess des Drittdienstleisters durchführen und (5) Interessenkonflikte ermitteln und bewerten.
III. Vertragsanpassung
Die Verordnung differenziert zwischen IKT-Dienstleistungen, die kritische oder nicht-kritische interne Funktionen unterstützen. Für beide Arten von IKT-Dienstleistungen gelten umfangreiche Anforderungen, einschließlich Vorgaben zur Vertragsgestaltung mit den jeweiligen Dienstleistern. Finanzunternehmen müssen demnach nicht nur technische Maßnahmen ergreifen, sondern auch ihre bestehenden Verträge überprüfen. Denn IKT-Risiken entstehen nicht nur durch den Einsatz eigener Technologien, sondern auch durch die Einbindung von Drittanbietern.
Aus diesem Grund werden in Art. 30 Abs. 2 DORA Mindestinhalte der Auslagerungsverträge zwischen Finanzinstituten und IKT-Dienstleistern geregelt. In Art. 30 Abs. 3 DORA finden sich zusätzlich dazu Mindestinhalte für Verträge mit IKT-Dienstleistern zur Unterstützung kritischer oder wichtiger Funktionen.
Die BaFin hat diesbezüglich unverbindliche Umsetzungshinweise und eine Übersicht mit den Mindestvertragsinhalten, die die Verträge zwischen den beaufsichtigten Unternehmen und den IKT-Drittdienstleistern enthalten müssen, veröffentlicht. Für kritische IKT-Dienstleistungen müssen laut BaFin rund 70 Mindestinhalte vertraglich vereinbart werden, während für nicht-kritische IKT-Dienstleistungen etwa 20 Mindestinhalte erforderlich sind.
Die Finanzinstitute sind jederzeit für die Einhaltung und Erfüllung aller Verpflichtungen im Rahmen des DORA selbst verantwortlich. Daher sind diese auch angehalten, die Erfüllung der Pflichten sicherzustellen. Somit muss auch in dem praktisch häufigen Fall, dass Finanzinstitute von ihren technischen Dienstleistern Mustervereinbarungen vorgelegt bekommen, das Finanzinstitut selbst prüfen, ob eine solche Vereinbarung den gesetzlichen Anforderungen entspricht und welches Risiko die vertragliche Dienstleistung mit sich bringt.
IV. Übersicht erforderlicher Vertragsinhalte
1. Allgemeine Anforderungen an den Vertrag
Art. 30 Abs. 1 DORA: Die Rechte und Pflichten des Finanzunternehmens und des IKT-Drittdienstleisters werden eindeutig zugewiesen und schriftlich dargelegt. Der vollständige Vertrag umfasst die Vereinbarung über die Dienstleistungsgüte und wird in einem schriftlichen Dokument, das den Parteien in Papierform zur Verfügung steht, oder in einem Dokument in einem anderen herunterladbaren, dauerhaften und zugänglichen Format dokumentiert.
Der Vertrag muss gem. Art. 30 Abs. 2 lit. a DORA enthalten: eine klare und vollständige Beschreibung aller Funktionen und IKT-Dienstleistungen, die der IKT-Drittdienstleister bereitzustellen hat, wobei anzugeben ist, ob die Vergabe von Unteraufträgen für IKT-Dienstleistungen, die kritische oder wichtige Funktionen oder wesentliche Teile davon unterstützen, zulässig ist, und — wenn dies der Fall ist — welche Bedingungen für diese Unterauftragsvergabe gelten.
2. Sicherheitsstandards (Art. 28 Abs. 5 DORA)
Art. 28 Abs. 5 DORA: Finanzunternehmen dürfen vertragliche Vereinbarungen nur mit IKT-Drittdienstleistern schließen, die angemessene Standards für Informationssicherheit einhalten. Betreffen diese vertraglichen Vereinbarungen kritische oder wichtige Funktionen, so berücksichtigen die Finanzunternehmen vor Abschluss der Vereinbarungen angemessen, ob die IKT-Drittdienstleister die aktuellsten und höchsten Qualitätsstandards für die Informationssicherheit anwenden.
Welcher Sicherheitsstandard in im Einzelfall angemessen ist, bestimmt sich maßgeblich danach, ob die IKT-Dienstleistung kritische oder nicht-kritische interne Funktionen unterstützt. Vertraglich sollte eine Zusicherung des Dienstleisters aufgenommen werden, dass dieser den erforderlichen Sicherheitsstandard oder die Zertifizierung im Rahmen der Vereinbarung beibehält, sowie die Bedingungen für den Fall, dass der IKT-Anbieter diesen nicht einhalten kann oder die durchgeführten Audits zu Bemerkungen führen, und den Zeitrahmen für die Behebung der Probleme sowie die Ausstiegsstrategie, die in einem solchen Fall Anwendung finden könnte.
3. Umgang mit Daten (Art. 30 Abs. 2 lit. b-d DORA)
Der DORA legt ebenfalls spezifische Anforderungen für den Umgang mit Daten fest. Dazu gehört die Festlegung der Standorte, an denen die beauftragten und unterbeauftragten IKT-Dienstleistungen erbracht werden und an denen die Daten gespeichert sind. Zudem besteht eine Meldepflicht bei einer Standortänderung. Es müssen Bestimmungen zur Verfügbarkeit, Authentizität, Integrität und Vertraulichkeit zum Schutz personenbezogener und nicht personenbezogener Daten festgelegt werden. Darüber hinaus sind Regelungen erforderlich, die den Zugang zu den Daten sowie deren Wiederherstellung und Rückgabe im Falle einer Insolvenz, Auflösung, Betriebseinstellung des IKT-Anbieters oder der Beendigung der Vereinbarung sicherstellen.
4. Kündigungsrechte (Art. 28 Abs. 7 DORA)
Der Vertrag muss zudem für bestimmte Fälle die Kündigungsmöglichkeit beider Parteien vorsehen. Die Kündigungsrechte und die entsprechenden Bedingungen müssen eindeutig festgelegt werden, einschließlich der Mindestkündigungsfristen. Der DORA verlangt zudem, dass diese Rechte im Einklang mit den Erwartungen der zuständigen Behörden und Beschlussorgane formuliert werden. Um Klarheit zu gewährleisten, sollten auch Details wie die Definition eines wesentlichen Verstoßes in einem bestimmten Vertrag genau beschrieben werden.
5. Unterauftragsvergabe (Art. 29 Abs. 2 DORA, RTS 30.5)
In der Regel finden IT-Auslagerungen in einer mitunter langen Kette verschiedener Unterauftragnehmer statt. Art. 29 Abs. 2 DORA legt die Überwachung der Unterauftragnehmerkette in die Hände der Bank. Diese muss sicherstellen, dass sie einen vollständigen Überblick über die Risiken im Zusammenhang mit der Vergabe von Unteraufträgen haben. Sie müssen in der Lage sein, die Risiken, die die Bereitstellung von ausgelagerten IKT-Dienstleistungen für kritische oder wichtige Funktionen beeinflussen, effektiv zu überwachen, zu steuern und zu mindern.
Der technische Regulierungsstandard (RTS) 30.5 ergänzt die Verordnung um spezifische Anforderungen, für den Fall, dass IKT-Drittanbieter wesentliche oder kritische Funktionen an Subauftragnehmer weitervergeben. Dieser ermöglicht die Entlastung der Banken bei operativen Aufgaben, da IKT-Drittdienstleister künftig die Verantwortung für ihre Unterauftragnehmer tragen und Risikobewertungen sowie die umfassende Überwachung übernehmen können.
Im Rahmen ihrer Letztverantwortung führen Banken dann gezielte Überwachungen durch, ähnlich den „Second-Level-Kontrollen“, die sich auf kritische Unterauftragnehmer konzentrieren, die wichtige Funktionen maßgeblich unterstützen. Diese Bedeutung wird im RTS als „effectively underpin“ beschrieben.
6. Zusätzliche Anforderungen bei IKT-Dienstleistern, die kritische oder wichtige Funktionen unterstützen
Gem. Art. 3 Nr. 22 DORA sind kritische oder wichtige Funktionen solche, deren Ausfall die finanzielle Leistungsfähigkeit eines Finanzunternehmens oder die Solidität oder Fortführung seiner Geschäftstätigkeiten und Dienstleistungen erheblich beeinträchtigen würde oder deren unterbrochene, fehlerhafte oder unterbliebene Leistung die fortdauernde Einhaltung der Zulassungsbedingungen und -verpflichtungen eines Finanzunternehmens oder seiner sonstigen Verpflichtungen nach dem anwendbaren Finanzdienstleistungsrecht erheblich beeinträchtigen würde.
In Art. 30 Abs. 3 DORA finden sich zusätzliche Vertragsanforderungen für Verträge mit IKT-Dienstleistern zur Unterstützung kritischer oder wichtiger Funktionen. Dazu zählen unter anderem die vollständige Beschreibung der Dienstleistungsgüte (lit. a), die Vereinbarung von Kündigungsfristen und Berichtspflichten des IKT-Drittdienstleisters gegenüber dem Finanzunternehmen (lit. b) sowie Anforderungen an den IKT-Drittdienstleister, Notfallpläne zu implementieren und zu testen und über hinreichend sichere Maßnahmen, Tools und Leit- und Richtlinien für IKT-Sicherheit zu verfügen (lit. c).
Relevant ist insbesondere die Verpflichtung zur vertraglichen Einräumung von Zugangs-, Inspektions- und Auditrechten, die der Überwachung des IKT-Dienstleisters dienen (lit. e). Die Audits können entweder durch das Finanzunternehmen selbst oder durch Dritte bzw. zuständige Behörden stattfinden, wobei eine umfassende Kooperation seitens des IKT-Dienstleisters erforderlich ist.
Hierfür haben Finanzunternehmen gem. Art. 28 Abs. 6 DORA auf Basis eines risikobasierten Ansatzes im Voraus die Häufigkeit und die Prüfbereiche von Audits und Inspektionen bei IKT-Drittdienstleistern festzulegen. Dabei sind anerkannte Auditstandards und etwaige Aufsichtsanweisungen einzuhalten. Bei technisch komplexen Vereinbarungen mit IKT-Dienstleistern haben sie sicherzustellen, dass die internen oder externen Prüfer über die notwendigen Fähigkeiten und Kenntnisse verfügen, um die Audits und Bewertungen effektiv durchzuführen.
Des Weiteren sind Ausstiegsstrategien nach Art. 28 Abs. 8, Art. 30 Abs. 3 lit. f DORA von den Finanzunternehmen einzurichten. Diese müssen ausreichend detailliert sein und Vertragsklauseln enthalten, die Anforderungen zur Minimierung von Unterbrechungen der Tätigkeiten des Finanzunternehmens festlegen, ohne die Compliance zu umgehen oder die Servicequalität zu beeinträchtigen. Dies erfordert eine klare Vereinbarung über die notwendige Zusammenarbeit mit dem IKT-Anbieter, einschließlich Haftungsregelungen bei mangelnder Unterstützung. Zudem müssen Bestimmungen zur Datenhandhabung im Falle einer Kündigung und eines Ausstiegs sowohl während als auch nach dem Prozess festgelegt werden.
7. Standardvertragsklauseln
Bei Vertragsabschlüssen sollten Standardvertragsklauseln berücksichtigt werden, die von Behörden für bestimmte Dienstleistungen entwickelt wurden (Art. 30 Abs. 4 DORA). Derzeit sind jedoch noch keine solchen Standardvertragsklauseln verfügbar. Da keine verlängerten Übergangsfristen für die Anpassung bestehender vertraglicher Vereinbarungen (wie Risikoanalysen und Vertragsinhalte) vorgesehen sind und die Umsetzung somit bereits in wenigen Monaten erfolgt sein muss, sollten beaufsichtigte Unternehmen nicht auf die Veröffentlichung warten, um die Mindestvertragsinhalte umzusetzen.
)
)