Der Digital Operational Resilience Act (DORA) enthält für Finanzunternehmen weitreichende Pflichten für die digitale Governance. Dazu gehört unter anderem die Pflicht eines effektiven IKT-Drittparteien-Risikomanagements.
Hinter diesem sperrigen Begriff besteht die Anforderung für Finanzunternehmen, ihre DORA-relevanten Verträge mit IT-Anbietern effektiv zu verwalten. Dies sollte mit einer Vertragsmanagement-Lösung sichergestellt werden, die auf die Erfordernisse von DORA ausgerichtet ist. LEDOX365 als Vertragsmanagement-Lösung für Unternehmen, die auf Microsoft 365 setzen, erfüllt diese Anforderung. Mit LEDOX365 können die verschiedenen Elemente eines solchen IKT-Drittparteien-Risikomanagements erfüllt werden. Durch die Transparenz über alle relevanten Vertragsrisiken und die sichere Datenhaltung in der kundeneigenen privaten Azure-Cloud können Unternehmen nicht nur die gesetzlichen Vorgaben erfüllen, sondern auch ihr Vertragsmanagement auf ein neues Level heben.
Der Digital Operational Resilience Act (DORA)
Die Deadline für die DORA-Compliance rückt näher. Bis zum 17.01.2025 müssen die Verpflichtungen aus DORA erfüllt werden. Aber was ist DORA eigentlich, für wen gilt dies überhaupt und was müssen Unternehmen tun?
Der Digital Operational Resilience Act (DORA) legt einheitliche Anforderungen für die Sicherheit von IT-Systemen in Finanzunternehmen fest. Hintergrund ist, dass zum einen eine Notwendigkeit für Finanzunternehmen besteht, sichere und widerstandsfähige IT-Systeme zu haben. Zum anderen waren die bisherigen Regelungen uneinheitlich, sehr komplex und in verschiedenen EU-Mitgliedstaaten unterschiedlich ausgestaltet. Dies ist der Grund warum diese mit DORA vereinheitlicht werden sollen. Die Verordnung gilt für Finanzunternehmen, hierunter fallen nach Art. 2 DORA unter anderem Banken, Handelsplätze, Versicherungsunternehmen und -vermittler, Ratingagenturen, Verwahrer, Wertpapierfirmen und IKT-Drittdienstleister. Der Anwendungsbereich ist damit recht weit und jedes Unternehmen, das mit Finanzdienstleistungen zu tun hat, sollte eine mögliche Anwendung daher genau prüfen.
Neu ist auch, dass den Leitungsorganen von Finanzunternehmen die Gesamtverantwortung für die Einhaltung zugeordnet wird, so dass bei Nichteinhaltung auch diese ein deutliches (persönliches) Haftungsrisiko haben.
Die Elemente der DORA-Verpflichtungen
Ganz allgemein sind in DORA und den umfangreichen Ausführungsregelungen verschiedene Pflichten geregelt. Ein großer Bereich betrifft zunächst das IKT-Risikomanagement (Art. 5-16 DORA), nach dem Finanzunternehmen eine klare interne Governance für ein IKT-Risikomanagement haben müssen.
Ein zweiter Bereich betrifft die Behandlung von IKT-bezogenen Vorfällen (Art. 17-23 DORA) und enthält Vorgaben über Verfahren und Prozesse im Falle solcher Vorfälle, inklusive Meldung und Berichterstattung an die Aufsichtsbehörden. Beim dritten großen Thema des Testens der digitalen operativen Resilienz (Art. 24-27 DORA) geht es darum, wie Unternehmen proaktiv ihre Systeme, Tools und Prozesse auf Schwächen oder Lücken testen, um sich auf IKT-bezogene Vorfälle vorzubereiten.
Das IKT-Drittparteienrisiko
Schließlich behandeln die Art. 28-30 DORA das Management des IKT-Drittparteienrisikos. Um diese Verpflichtungen soll es in diesem Beitrag gehen. Grund für die Regelung von (vertraglichen) Beziehungen mit Drittparteien ist die Tatsache, dass IT-Dienstleistungen regelmäßig von Drittparteien erbracht werden. (Finanz-)Unternehmen können oftmals nicht selbst alle Systeme betreiben und administrieren, sondern bedienen sich bei der Ausübung ihrer Geschäftstätigkeit Dienstleistern. Gemäß DORA bleiben Finanzunternehmen jedoch selbst in vollem Umfang für die Einhaltung und Erfüllung aller relevanten Verpflichtung verantwortlich. Sie müssen daher dieses Risiko und die zugrundeliegenden vertraglichen Beziehungen im Einklang mit den DORA-Bestimmungen managen.
Dazu gehören folgende Verpflichtungen:
- Vertragliche Vereinbarungen müssen angemessen dokumentiert werden (Art. 28 Abs. 3)
- Berichterstattung an zuständige Behörde mindestens einmal jährlich zur Anzahl neuer Vereinbarungen über (Art. 28 Abs. 3): (i) die Nutzung von IKT-Dienstleistungen, (ii) die Kategorien von IKT-Drittdienstleistern, (iii) die Art der vertraglichen Vereinbarung, und (iv) die IKT-Dienstleistungen und -Funktionen
- zeitnahe Unterrichtung der zuständigen Behörde über jede geplante vertragliche Vereinbarung über die Nutzung von IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen (Art. 28 Abs. 3)
- Vor Abschluss einer vertraglichen Vereinbarung (Art. 28 Abs. 4): (i) beurteilen, ob eine kritische oder wichtige Funktion betroffen ist, (ii) beurteilen, ob aufsichtsrechtliche Bedingungen für Auftragsvergabe erfüllt sind, (iii) alle relevanten Risiken ermitteln und bewerten, (iv) geeigneten Auswahl- und Bewertungsprozess des Drittdienstleisters mit der gebotenen Sorgfalt durchführen, und (v) Interessenkonflikte ermitteln und bewerten.
- Vertragliche Vereinbarungen müssen gekündigt werden können (Art. 28 Abs. 7)
- Vollständiger Vertrag muss in einem herunterladbaren, dauerhaften und zugänglichen Format dokumentiert werden
(Art. 30 Abs. 1) - Vertragliche Vereinbarung muss bestimmte wesentliche Vertragsbestimmungen enthalten (Art. 30 Abs. 2-3)
Diese Verpflichtungen können die betroffenen Unternehmen nur mit effektiven IT-Systemen und -Lösungen erfüllen. Klar ist dabei, dass die Verpflichtungen nicht nur einmalig zum Stichtag 17.01.2025 erfüllt sein müssen, sondern ab diesem Zeitpunkt laufend. Daher gibt es zwei Handlungsempfehlungen: zum einen bis zum 17.01.2025 die Prüfung und Sicherstellung, dass alle bestehenden Verträge die Vorgaben aus DORA erfüllen („DORA Contracting“) sowie zum anderen die Einführung eines geeigneten IT-Managementsystems, mit dem ab dem 17.01.2025 die Einhaltung der Vorgaben zum Drittparteienrisiko ständig gesichert werden kann („DORA IKT-Drittparteien-Risikomanagement“).
Die Erfüllung der Pflichten mit der Vertragsmanagement-Lösung LEDOX365
Die Vertragsmanagement-Lösung LEDOX365 bietet eine umfassende Lösung, um das DORA IKT-Drittparteien-Risikomanagement sicher und effektiv ab dem 17.01.2025 durchzuführen. Mit LEDOX365 können DORA-relevante Verträge mit IKT-Dienstleistern entsprechend gekennzeichnet werden und der/die DORA-Verantwortliche erhält einmal jährlich eine automatische Erinnerung mit der Vorlage eines Berichts für das Reporting an die zuständige Behörde. Bei Kennzeichnung als DORA-relevante Vereinbarung müssen automatisch Prüfroutinen durchlaufen werden, bevor der Vertrag freigegeben wird. Hinsichtlich wesentlicher Vertragsbedingungen unterstützt der LEDOX365 KI-Assistent bei der Prüfung, ob diese enthalten sind. Die Dokumentation der Verträge wird mit LEDOX365 natürlich erfüllt, ebenso können Auditoren begrenzte Prüfrechte für einzelne Vertragskategorien (wie DORA-relevante Verträge) gewährt werden.
Diese Funktionen sind in das Vertragsmanagement mit LEDOX365 nahtlos eingebettet. LEDOX365 ermöglicht, den Lebenszyklus aller Verträge digital abzubilden und zu vereinfachen, von der Erstellung über die Verhandlung, Freigabe und digitale Signatur über die aktive Laufzeit mit Erinnerungen und Wiedervorlagen bis zur Beendigung und Aufbewahrung. Als Private Cloud Application verbleiben alle Daten dabei in der sicheren Microsoft 365-Umgebung des Kunden. Durch die Ablage aller vertragsrelevanten Dokumente in der Vertragsakte, wie E-Mails, Entwürfe, Materialien, ist sichergestellt, dass alle vorgangsrelevanten Informationen an einem Ort zusammengefasst sind und jede/r Berechtigte darauf Zugriff hat.
Für weitere Informationen zu der Erfüllung der DORA-Verpflichtungen mit LEDOX365 und unserer Vertragsmanagement-Lösung kontaktieren Sie uns gerne.