Foto von wavebreakmedia_micro auf Freepik
Neuigkeit –
21.2.2025
DORA und IT-Dienstleister: Was bedeutet die neue Verordnung für Sie? Die EU-Verordnung Digital Operational Resilience Act (DORA) soll die digitale Widerstandsfähigkeit im Finanzsektor erhöhen. Doch nicht nur Banken, Versicherungen und Finanzinstitute sind betroffen – auch IT-Dienstleister, die diese Unternehmen beauftragen, stehen vor neuen Herausforderungen. Wer beispielsweise Cloud-Dienste, Softwarelösungen oder IT-Sicherheitsservices für Finanzunternehmen bereitstellt, muss sich auf umfangreiche Anforderungen einstellen. Im Folgenden erfahren Sie, was DORA konkret für IT-Dienstleister bedeutet und wie Sie damit umgehen können.
DORA verpflichtet Finanzunternehmen dazu, ihre digitale Stabilität gegenüber Cyberbedrohungen, IT-Ausfällen und anderen technischen Risiken zu stärken. Diese Anforderungen betreffen nicht nur die Unternehmen selbst, sondern auch ihre IT-Dienstleister.
Betroffen sind alle IT-Dienstleister, die digitale Lösungen oder datenbezogene Services für den Finanzsektor bereitstellen – sogenannte IKT-Drittdienstleister. Besonders im Fokus stehen Dienstleister, die kritische und wichtige Funktionen bereitstellen, also solche, deren Ausfall wesentliche Geschäftsprozesse beeinträchtigen würde.
Wichtig: Finanzunternehmen müssen für jeden IKT-Dienstleister individuell bewerten, ob er kritische Funktionen bereitstellt. Lassen Sie sich als Dienstleister diese Einstufung von Ihren Kunden bestätigen, um unnötige Verpflichtungen zu vermeiden.
Finanzunternehmen müssen sicherstellen, dass ihre Verträge mit IKT-Dienstleistern bestimmte Vorgaben erfüllen. Hierzu zählen laut Artikel 30 DORA unter anderem:
Für IKT-Dienstleister, die kritische und wichtige Funktionen bereitstellen, gelten zusätzliche Anforderungen, wie die Implementierung von Notfallplänen, ein belastbares Business-Continuity-Management und die Bereitschaft, sich regelmäßigen Audits und Penetrationstests zu unterziehen.
💡 Praxis-Tipp: Kunden fordern häufig Vertragsklauseln, die über die Anforderungen der DORA hinausgehen, etwa im Bereich Nachhaltigkeit (ESG). Um den Aufwand zu minimieren, sollten Sie eigene, standardisierte DORA-konforme Vereinbarungen vorbereiten.
Um die DORA-Anforderungen effizient zu erfüllen, sollten IKT-Dienstleister folgende Schritte unternehmen:
DORA ist bereits am 17. Januar 2025 in Kraft getreten – viele Finanzunternehmen sind jedoch noch immer in der Umsetzung. Entsprechend werden manche IKT-Dienstleister erst jetzt erstmals kontaktiert.
Die neuen Anforderungen sind nicht nur eine Herausforderung, sondern auch eine Chance, die eigene Sicherheitsarchitektur zu stärken und sich als vertrauenswürdiger Partner für Finanzkunden zu positionieren.
Warten Sie nicht, bis Ihre Kunden Sie mit Vertragsänderungen konfrontieren. Agieren Sie proaktiv, um Komplikationen zu vermeiden.
