DORA sieht unterschiedliche Mindestvertragsinhalte bei der Auslagerung von IT-Services an Drittdienstleister vor*. So müssen die IKT-Verträge u. a. Sicherheitsanforderungen, Incident Reportings, die Verarbeitung und Speicherung von Daten, Notfall- und Wiederherstellungspläne sowie Übergangsregelungen abdecken. Wesentliche Neuerungen im Vergleich zu bisherigen Regelungen sind die Beteiligung der Drittdienstleister an Threat-Led Penetration Testings (TLPTs) sowie die vorgegebenen Kündigungsrechte und Fristen.
Dabei unterscheidet die Regulatorik zwischen Vorgaben, die für alle IKT-Verträge gelten, und jenen, die IKT-Auslagerungen betreffen, welche kritische oder wichtige Funktionen** unterstützen:
Mindestvertragsinhalte nach DORA
| Vertragsinhalt | Kritische / wichtige Funktion | Nicht kritische / wichtige Funktion |
| Standort | ✓ | ✓ |
| Datenschutz | ✓ | ✓ |
| Datenzugriff | ✓ | ✓ |
| IKT-Vorfallsunterstützung | ✓ | ✓ |
| Zusammenarbeit mit Aufsichtsbehörden | ✓ | ✓ |
| Teilnahme an Schulungen des Finanzunternehmens | ✓ | ✓ |
| Anforderungen an Form und Veränderung von vertraglichen Vereinbarungen | ✓ (Erweitert) | ✓ |
| Beschreibung der Dienstleistung | ✓ (Erweitert) | ✓ |
| Beschreibung der Dienstleistungsgüte | ✓ (Erweitert) | ✓ |
| Kündigungsrechte und Mindestkündigungsfristen | ✓ (Erweitert) | ✓ |
| Unterauftragsvergabe (u. a. Zulässigkeit) | ✓ | x |
| Prüfrechte / fortlaufende Überwachung | ✓ | x |
| Berichtspflichten des Dienstleisters | ✓ | x |
| Notfallpläne | ✓ | x |
| Spezifische Maßnahmen zur IKT-Sicherheit | ✓ | x |
| Beteiligung an TLPT | ✓ | x |
| Ausstiegsstrategien | ✓ | x |
Quelle: BaFin
Eine detaillierte Auflistung der Mindestvertragsinhalte nach DORA finden Sie hier.
Verträge mit IKT-Dienstleistern DORA-konform machen
Die obenstehenden Vertragsinhalte müssen sowohl in neuen als auch in bereits laufenden Vereinbarungen berücksichtigt sein. Finanzunternehmen sind daher angehalten, alle Auslagerungsverträge auf DORA-Compliance zu prüfen und gegebenenfalls anzupassen. Die Software Fabasoft DORA unterstützt an dieser Stelle mit einer KI-gestützten Vertragsprüfung und einer automatisierten Erstellung der notwendigen Ergänzungsvereinbarungen basierend auf Ihrer Klauselbibliothek. Mehr dazu lesen Sie hier: KI: Verträge automatisiert auf DORA-Compliance prüfen | Fabasoft DORA
*) Regulatorik siehe:
Anforderungen für alle vertraglichen Vereinbarungen (hauptsächlich Art. 30 Abs. 2 DORA);
Anforderungen für vertragliche Vereinbarungen zu IKT-Dienstleistungen, die kritische oder wichtige Funktionen unterstützen (hauptsächlich Art. 30 Abs. 3 DORA);
Anforderungen aus den zwei RTS zum IKT-Drittparteienrisikomanagement: RTS TPPoI, RTS E-SUB
**) siehe Definition, Art. 3 DORA: „eine Funktion, deren Ausfall die finanzielle Leistungsfähigkeit eines Finanzunternehmens oder die Solidität oder Fortführung seiner Geschäftstätigkeiten und Dienstleistungen erheblich beeinträchtigen würde oder deren unterbrochene, fehlerhafte oder unterbliebene Leistung die fortdauernde Einhaltung der Zulassungsbedingungen und -verpflichtungen eines Finanzunternehmens oder seiner sonstigen Verpflichtungen nach dem anwendbaren Finanzdienstleistungsrecht erheblich beeinträchtigen würde.“
