DORA – auch für IT-Dienstleister relevant!

Sind Sie IT-Dienstleisterin und Ihre Kunden kommen aus der Finanz- und Versicherungsbrache? Dann ist die EU-Verordnung DORA auch für Sie als sogenannter „IKT-Drittdienstleisterin “ relevant – beispielsweise, wenn Sie IT-basierte Dienstleistungen erbringen, Cloud-Leistungen anbieten, Software anbieten oder betreuen, oder wenn Sie IT- und Kommunikationsinfrastruktur bereitstellen. Stephan Lipensky erklärt Ihnen in diesem Gastbeitrag alles, das sie zu DORA wissen müssen.

Was ist DORA?

Der Digital Operational Resilience Act (DORA) wurde als Teil des Digital Finance Package der EU Kommission verabschiedet und ist eine EU-Verordnung. Das heißt, sie stellt ein rechtliches Regelwerk dar, das seit Inkrafttreten im Januar 2023 auch in Deutschland gilt.

Die Zeit ist knapp: Bereits ab Januar 2025 muss DORA implementiert sein, und praxisrelevante technische Standards wurden erst im Januar veröffentlicht. Weitere werden derzeit noch ausgearbeitet und im kommenden Juli veröffentlicht.

Was regelt DORA?

Der DORA bezweckt, dass Unternehmen der Finanz- und Versicherungsindustrie ein Mindestniveau für die Sicherheit ihrer digitalen Infrastruktur gewährleisten. In einzelnen Kapiteln adressiert DORA Anforderungen an das Outsourcing von IT-basierten Funktionen und die Nutzung von IT-Systemen von Drittdienstleisterinnen. Dabei wird der DORA durch Implementierungsstandards und technische Regulierungsstandards (ITS) erweitert.

Der Anwendungsbereich von DORA wurde durch den Gesetzgeber denkbar weit gefasst: DORA betrifft ein breites Spektrum von Drittdienstleisterinnen und insbesondere Anbietern IT-basierter Service-Dienstleistungen, Cloud- und Softwareanbieterinnen, Rechenzentren, Infrastrukturdienstleistern etc., die IKT-basierte Dienstleistungen für Finanz- und Versicherungsunternehmen erbringen.

Was ändert sich für Sie und ihre Auftraggeber?

In Zukunft sind Ihre Auftraggeber vor Vertragsschluss verpflichtet eine Vorabkontrolle und Bewertung der zu Ihnen ausgelagerten Funktionen vorzunehmen. Denn bei DORA geht es in erster Linie um eine Risikoverteilung: Die Auftraggeber tragen die Verantwortung für Risiken, die ihre Ursache in Verstößen von Drittdienstleisterinnen haben. Dazu müssen Drittdienstleisterinnen hinsichtlich ihrer Eignung zur Gewährleistung von Qualitätsstandards für die Informationssicherheit bewertet und auch nach Auftragserteilung überwacht werden. Diese erhöhten Anforderungen an das Risikomanagement schlagen sich auch in der Vertragsgestaltung zwischen Auftraggeber und Drittdienstleisterin nieder. Der DORA setzt hier Bedingungen für den Vertrag fest, denn der Vertrag muss:

• das Formerfordernis erfüllen, nämlich in „einem schriftlichen Dokument“ verfasst sein,
• eine genaue Beschreibung aller Funktionen und Leistungen enthalten,
• Anforderungen an die Dienstleistungsgüte definieren („Service Level Agreement“),
• alle Standorte der Datenverarbeitung bestimmen,
• Anforderungen an die Informationssicherheit definieren und deren Einhaltung durch geeignete Maßnahmen garantieren,
• den jederzeitigen Zugang zu Daten bzw. zur Wiederherstellung des Zugangs gewährleisten,
• Informations- und Unterstützungspflichten bei IT-Sicherheits-Vorfällen definieren,
• Kündigungsrechte und Kündigungsfristen festlegen,
• und dem Auftraggeber ein umfassendes Auditrecht einräumen.

Verschärfte Anforderungen an die Informationssicherheit

In – zum Teil noch nicht veröffentlichten – technischen Regulierungsstandards werden weitere Vorgaben insbesondere bezüglich der Informationssicherheit formuliert, die einen risikobasierten Ansatz vorsehen. Drittdienstleisterinnen müssen in jedem Fall ihre IT-Risiken kennen. Sofern Leistungen von Drittdienstleisterinnen als „kritisch“ eingestuft werden oder solche Leistungen der Auftraggeber unterstützen, deren Ausfall die Leistungsfähigkeit oder Geschäftstätigkeit erheblich beeinträchtigen kann, können zudem verschärfte Anforderungen gelten:

• Auftraggeber müssen ein Informationsregister führen, in dem die gesamte digitale Lieferkette dokumentiert wird. Dafür müssen Drittdienstleisterinnen offenlegen, welche IT-Leistungen sie wiederum von Unterauftragnehmern einkaufen, sofern diese für die Leistungserbringung des Auftraggebers relevant sind.

• Der Datenverkehr muss durchgängig geschützt sein, unter anderem durch Verschlüsselung. Weitere und umfangreiche Maßnahmen zur Netzwerk- und Cybersicherheit können fallweise notwendig werden.

• Während der Dienstleistungserbringung müssen angemessene, allgemeine Maßnahmen die Informationssicherheit sicherstellen, und zwar unter Berücksichtigung der Vorgaben bzw. der Vorgehensweise eines „Standards“ – der Gesetzgeber verweist auf nationale oder internationale Normen und hat z.B. die ISO 27001 oder den BSI-Grundschutz im Sinn.

• Auch indirekte Vorgaben können Dienstleister treffen, wonach etwa Richtlinien und verbindliche Prozesse für Projektmanagement und System- bzw. Software-Entwicklung bestehen und implementiert sein sollten und eine regelmäßige Überwachung stattfindet.

• Ein technisch-organisatorischer Prozess für das Identity Management muss den Zugriff auf sensible Daten steuern und beschränken.

• Ein Prozess zum Management von Schwachstellen und ITK-Vorfällen muss sicherstellen, dass Vorfälle erkannt und richtig klassifiziert werden. Außerdem müssen alle relevanten Auftraggeber über diese Vorfälle unverzüglich in Kenntnis gesetzt und gegebenenfalls bei der Behebung oder Eingrenzung von Schäden unterstützt werden.

• Je nach erbrachter Leistung und voraussichtlichem Risiko können PEN-Tests auch für Drittdienstleisterinnen verpflichtend sein.

• Letztlich müssen auch Drittdienstleisterinnen angemessene Strategien für den Umgang mit Notfällen sowie geeignete Wiederanlaufpläne erarbeiten, um nach Betriebsstörungen einen Normalbetrieb schnellstmöglich wiederherstellen zu können.

Was wir Ihnen raten und wie wir Sie unterstützen:

Für die meisten ITK-Drittdienstleisterinnen, die für Finanz- und Versicherungsunternehmen tätig sind, besteht erheblicher Handlungsbedarf, um die gesetzlichen Vorgaben durch DORA innerhalb recht kurzer Fristen zu erfüllen. Machen Sie DORA für sich zu einem Wettbewerbsvorteil, indem Sie sich frühzeitig vorbereiten und Ihre Auftraggeber proaktiv einbinden. Interdisziplinäre Projektteams bestehend aus Juristen und IT-Beraterinnen identifizieren und priorisieren sowohl juristische als auch technische Themen, die angepackt werden sollten.

Unser Vorgehen baut immer auf bereits vorhandenen Maßnahmen und Management-Prozessen für die IT-Sicherheit und dem bestehenden Vertragsmanagement auf:

• Feststellung der Anwendbarkeit des DORA und Ermittlung des individuellen Risikoprofils: Wir ermitteln, in welchem Umfang die erbrachten Leistungen in den Anwendungsbereich von DORA fallen. Zudem schätzen wir ab, ob „kritische“ Leistungen erbracht werden, die einem verschärften Anforderungsregime unterliegen. Im Bedarfsfall führen wir außerdem eine Risikoanalyse durch.

• Anforderungsermittlung: Wir ermitteln, welche der diversen Anforderungen relevant sind, die sich durch DORA und die technischen Regulierungsstandards für Ihre Leistungserbringung ergeben können.

• GAP-Analyse: Wir gleichen die zu erfüllenden Anforderungen mit vorhandenen Maßnahmen, Richtlinien und Prozessen ab, um den weiteren Handlungsbedarf sowie Ansätze zur Implementierung von DORA zu bestimmen.

• Individuelle Unterstützung bei Umsetzung und Implementierung: Wir unterstützen Sie bei der Maßnahmenumsetzung und -implementierung sowie bei der Vertragsgestaltung und Dokumentation im individuell gewünschten Umfang, damit Sie Ihren Kunden und den Aufsichtsbehörden gegenüber den Nachweis erbringen können, dass Sie fit für DORA sind.

Haben Sie Fragen zum Thema Informationssicherheit bei IT-Dienstleistungen? Nehmen Sie jederzeit gerne Kontakt zu uns auf oder wenden Sie sich direkt an Stephan Lipensky unter: stephan@lipensky.com.

Sie möchten mehr über uns und unsere Leistungen im IT- und Datenschutzrecht erfahren? Das geht ganz einfach:

• Abonnieren Sie unsere Tipps und Tricks.
• Lesen Sie unsere kostenlosen E-Books.
• Informieren Sie sich über unsere Leistungen.
• Werfen Sie einen Blick in unseren Wegweiser. Darin finden Sie alle unsere Blog-Beiträge thematisch geordnet.
• Haben Sie noch ein anderes Anliegen? Nehmen Sie jederzeit gerne Kontakt zu uns auf.

Zum Gastautor: Stephan Lipensky arbeitet seit mehr als 20 Jahren als Unternehmensberater mit Spezialisierung auf Themen an der Schnittstelle von IT und Recht. Er berät nationale und internationale Mandanten aller Größenordnungen zu technischen Fragestellungen des Datenschutzes, der Datensicherheit, sowie der IT-Compliance. Insbesondere Mandaten aus der Finanz- und Versicherungswirtschaft, dem Gesundheitsweisen und dem öffentlichen Sektor schätzen seine Fähigkeit, komplexe technische Sachverhalte und regulatorische Anforderungen in pragmatische und vor allem wirtschaftliche Lösungen zu überführen. Er absolvierte ein ingenieur- und geisteswissenschaftliches Studium an der RWTH Aachen.