Hannemann/Biewer/Kocatepe/Zaruk/Weigl, MaRisk AT 9 Ausla ... / 8.8 Vertragsanforderungen des Digital Operational Resilience Acts (DORA)

Rz. 357

Mit dem Digital Operational Resilience Act (DORA)^[1] hat der europäische Gesetzgeber für Finanz­unternehmen^[2] als Bestandteil des Drittparteienrisikomanagements der Informations- und Kommunikationstechnologie (IKT-Drittparteienrisikomanagement) sektorübergreifende Mindestvorgaben an vertragliche Vereinbarungen über die Nutzung von IKT-Dienstleistungen zwischen Finanzunternehmen und IKT-Drittdienstleistern normiert.^[3] Grundsätzlich werden die in DORA getroffenen Regelungen den bestehenden nationalen Regelungen als "lex specialis" vorgehen oder diese ergänzen. Eine ergänzende Anwendung sieht der europäische Gesetzgeber im Hinblick auf die sektoralen Vorschriften zu Auslagerungen vor.^[4] Die BaFin hat in ihrer im Juli 2024 veröffentlichten Aufsichtsmitteilung mit Implementierungshinweisen zur DORA-Umsetzung eine Gegenüberstellung der bisher nach § 25b Abs. 3 Satz 3 KWG bzw. AT 9 Tz. 7 MaRisk geforderten mit den künftig nach DORA zu beachtenden Mindestvertragsinhalten vorgenommen. Das Ergebnis ist künftig für Institute relevant, die als Finanzunternehmen i. S. d. DORA-Verordnung einen Vertrag abschließen, der sowohl eine wesentliche Auslagerung nach nationalem Recht als auch eine vertragliche Vereinbarung über die Nutzung von IKT-Dienstleistungen^[5] darstellt. In diesen Fällen müssen ab dem 17. Januar 2025 die Anforderungen beider Regelwerke umgesetzt werden. Da DORA den Katalog an Mindestanforderungen deutlich erweitert, werden Finanzunternehmen prüfen müssen, welche Verträge mit IKT-Drittdienstleistern sie nachverhandeln müssen. Dabei ist zu beachten, dass ein großer Teil der Mindestvertragsanforderungen nach DORA für die Nutzung aller IKT-Dienstleistungen besteht und unabhängig von der Einwertung als kritische oder wichtige Funktion ist. Da die Mindestvertragsinh...