DORA – ein Ausblick auf das Jahr 2025

Seit dem 17.01.2025 gilt DORA (Digital Operational Resilience Act), die EU-Verordnung 2022/2554 zur Stärkung der betrieblichen Widerstandsfähigkeit in Finanzunternehmen gegen digitale Störungen und Bedrohungen. Nachdem die Finanzunternehmen im Jahr 2024 die technischen und organisatorischen Grundlagen für die Umsetzung der Verordnung gelegt haben, liegt der Fokus im Jahr 2025 insbesondere auf dem Drittparteienrisikomanagement im Bereich Informations- und Kommunikationstechnologie (IKT).

Informationsregister

Das Informationsregister ist ein zentrales Element des Drittparteienrisikomanagements. Finanzunternehmen sind verpflichtet, darin alle vertraglichen Vereinbarungen mit IKT-Drittdienstleistern systematisch zu dokumentieren. Ziel des Registers ist es, den Aufsichtsbehörden Abhängigkeiten der Finanzunternehmen von externen IKT-Dienstleistungen darzustellen und einen transparenten Überblick über diese Beziehungen zu schaffen.

Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) fordert Finanzunternehmen wie Kreditinstitute, Wertpapierfirmen oder Versicherungsunternehmen auf, ihr bis spätestens 11.04.2025 ihre Informationsregister zu übermitteln. Die Register müssen sämtliche Vertragsinformationen mit Stichtag 31.03.2025 enthalten. Ab 2026 wird die Übermittlung der Register an die Europäischen Aufsichtsbehörden (ESAs) durch die zuständigen nationalen Aufsichtsbehörden jeweils bis zum 31.03. erfolgen, wobei die Register dann die Vertragsinformationen mit Stichtag 31.12. des vorherigen Jahres umfassen müssen.

FAQ zum Informationsregister von den ESAs

Die ESAs haben am 14.02.2025 FAQ zur Erstellung und Meldung der Informationsregister veröffentlicht. Diese FAQ enthalten die Erkenntnisse aus dem im vergangenen Sommer durchgeführten Dry Run zum Informationsregister, an dem Finanzunternehmen auf freiwilliger Basis teilnehmen konnten, und geben hilfreiche Informationen zur praktischen Befüllung. Die ESAs betonen, dass die FAQ keine Rechtsauslegung darstellen, sondern lediglich als Hilfestellung dienen.

Vertragsanpassungen

Während die Umsetzungsarbeiten im Jahr 2024 (siehe unseren Beitrag von 2024) in den Finanzunternehmen vor allem in den Bereichen Informationssicherheit, IT und Compliance stattfanden, werden nun auch die Rechtsabteilungen verstärkt in den Umsetzungsprozess eingebunden. Dies ist insbesondere vor dem Hintergrund der erforderlichen Vertragsanpassungen von Bedeutung, um sicherzustellen, dass die Mindestinhalte des Art. 30 DORA in den Verträgen mit IKT-Drittdienstleistern enthalten sind.

Dabei ist eine sorgfältige (Re-)Klassifizierung von IKT-Dienstleistungen unerlässlich, um die Verträge mit den passenden Sets an Vertragsklauseln auszustatten. Zu unterscheiden ist hier zwischen IKT-Dienstleistungen, die kritische oder wichtige Funktionen unterstützen, und solchen, die dies nicht tun. Unter einer kritischen oder wichtigen Funktion ist eine Funktion zu verstehen, deren Ausfall die finanzielle Leistungsfähigkeit eines Finanzunternehmens oder die Solidität oder Fortführung seiner Geschäftstätigkeiten und Dienstleistungen erheblich beeinträchtigen würde. Alternativ könnte auch dann von einer kritischen oder wichtigen Funktion auszugehen sein, wenn deren unterbrochene, fehlerhafte oder unterbliebene Leistung die fortdauernde Einhaltung der Zulassungsbedingungen und -verpflichtungen eines Finanzunternehmens oder seiner sonstigen Verpflichtungen nach dem anwendbaren Finanzdienstleistungsrecht erheblich beeinträchtigen würde. Aufgrund der geforderten Erheblichkeit ist der Begriff der kritischen oder wichtigen Funktion eng auszulegen. Demzufolge sollten die Finanzunternehmen sorgfältig prüfen, welche ihrer Dienstleistungen sie als kritisch oder wichtig einstufen, damit einer zügigen und möglichst reibungslosen Vertragsanpassung nichts im Wege steht.

Einstufung als kritische IKT-Drittdienstleister

Die Daten aus den Informationsregistern dienen als Grundlage für die Kritikalitätsbewertungen, die die ESAs gemäß Art. 31 DORA durchführen. Sie ermöglichen es den ESAs, die Rolle und den Einfluss der einzelnen IKT-Drittdienstleister auf die operationale Resilienz der Finanzunternehmen zu bewerten. Insbesondere wird analysiert, ob die Dienstleistungen eines Anbieters als kritisch oder wichtig eingestuft werden, basierend auf ihrer Erheblichkeit für die Finanzunternehmen.

Im Anschluss an die Kritikalitätsbewertungen informieren die ESAs die IKT-Drittdienstleister ggf. bis Juli 2025 über ihre Einstufung als kritisch. Die IKT-Drittdienstleister haben die Möglichkeit, innerhalb von sechs Wochen Einspruch gegen die Einstufung einzulegen.

Die Einstufung als kritischer IKT-Drittdienstleister hat weitreichende Folgen für die Anbieter. Sie unterliegen dann einer intensiveren Aufsicht durch die federführende Überwachungsbehörde, die sicherstellen soll, dass diese Anbieter die erforderlichen Standards für die operationale Resilienz einhalten. Das bedeutet, dass die Anbieter nicht nur ihre Verträge anpassen müssen, sondern auch ihre internen Prozesse und Sicherheitsmaßnahmen, um den regulatorischen Anforderungen gerecht zu werden.