Was Sie jetzt vertraglich und organisatorisch umsetzen müssen
IKT-Drittdienstleister werden immer häufiger mit DORA konfrontiert – besonders dann, wenn ihre Kunden regulierte Finanzunternehmen sind.
Immer öfter lautet die Frage in Vertragsverhandlungen oder Ausschreibungen: „Sind Ihre Leistungen und Verträge DORA-konform?“
Viele IT- und Softwareanbieter, Cloud-Provider oder Sicherheitsdienstleister reagieren darauf zunächst mit Stirnrunzeln:
„DORA? Betrifft uns das überhaupt?“
Die Antwort: Ja – und zwar mittelbar, aber spürbar.
Denn DORA verpflichtet nicht die Dienstleister selbst, sondern deren Kunden – Banken, Versicherungen, Zahlungsinstitute und Co. Diese wiederum müssen sicherstellen, dass auch ihre Lieferanten höchste Standards in Bezug auf IT-Sicherheit und operative Resilienz einhalten. Und genau dafür braucht es Verträge, Prozesse und technische Maßnahmen – auch auf Dienstleisterseite.
1. Was sind IKT-Drittdienstleister – und warum betrifft sie DORA?
Der Begriff „IKT-Drittdienstleister“ (IKT = Informations- und Kommunikationstechnologie) umfasst alle Unternehmen, die digitale Dienste und Datendienste über IKT-Systeme dauerhaft bereitstellen und dies für regulierte Finanzunternehmen erbringen. Dazu zählen zum Beispiel:
- Cloud- und Hosting-Anbieter
- IT-Wartungs- und Support-Dienstleister
- Anbieter von Sicherheitslösungen (z. B. Monitoring, Threat Detection)
- Rechenzentrums- und Netzwerkinfrastrukturbetreiber
DORA verpflichtet Finanzunternehmen, die Zusammenarbeit mit diesen Dienstleistern vertraglich so zu gestalten, dass Risiken kontrollierbar bleiben – selbst bei Cyberangriffen, Systemausfällen oder im Falle der Insolvenz des Anbieters.
Das bedeutet: Ohne entsprechende vertragliche Zusicherungen dürfen viele Leistungen nicht (mehr) ausgelagert werden.
2. DORA – was steckt dahinter?
Der „Digital Operational Resilience Act“ (DORA) ist eine EU-Verordnung, die seit dem 17. Januar 2025 in allen Mitgliedsstaaten gilt. Ziel ist es, die digitale Widerstandsfähigkeit des europäischen Finanzsektors zu stärken – also sicherzustellen, dass Banken, Versicherungen, Zahlungsdienstleister & Co. auch bei schwerwiegenden IT-Störungen oder Cyberattacken handlungsfähig bleiben.
Das Besondere an DORA: Es reicht nicht aus, im Ernstfall gut zu reagieren – vielmehr müssen Unternehmen im Vorfeld nachweisen, dass sie alle notwendigen Schutzmaßnahmen, Prozesse und Überwachungsinstrumente eingerichtet haben.
Ein zentraler Hebel dafür ist die Vertragsgestaltung mit IKT-Dienstleistern: Diese müssen organisatorisch, technisch und juristisch so eingebunden sein, dass sie Teil der digitalen Resilienz des Kunden werden – und nicht zum Schwachpunkt.
3. Was müssen IKT-Dienstleister konkret tun?
IKT-Dienstleister müssen ihre Vertragswerke, internen Prozesse und IT-Sicherheitsmaßnahmen kritisch prüfen – und an den DORA-Anforderungen ausrichten. Hier sind einige zentrale Anforderungen zusammengefasst:
1. Leistungsbeschreibung und Speicherorte
Der Vertrag muss exakt beschreiben, welche Leistungen erbracht werden – und wo. Dabei reicht es nicht, eine Cloudregion zu nennen („EU-West“), sondern es müssen konkrete Länder oder Standorte angegeben werden.
2. Datenschutz und Informationssicherheit
Nicht nur personenbezogene Daten, sondern alle unternehmensbezogenen Informationen müssen durch technische und organisatorische Maßnahmen geschützt werden. Dazu gehören Verschlüsselung, Zugriffskontrollen, Protokollierung oder Backup-Verfahren.
Wichtig: Auch Dienstleister, die keine personenbezogenen Daten verarbeiten, sind betroffen – etwa weil sie Kontaktdaten speichern oder Updates für sensible Systeme liefern.
3. Unterstützung bei Vorfällen
Falls ein IT-Sicherheitsvorfall auftritt, muss der Dienstleister seinen Kunden unverzüglich unterstützen – zum Beispiel durch Analysehilfe, Protokollbereitstellung oder Systemisolierung.
Tipp: Die Unterstützungspflicht sollte im Vertrag möglichst präzise beschrieben werden – pauschale Zusicherungen („wir helfen im Schadensfall“) reichen nicht.
4. Audits und Prüfungen
Finanzunternehmen und ihre Prüfer müssen jederzeit ungehinderten Zugang zu den ausgelagerten Bereichen erhalten – physisch wie digital. Wo das nicht möglich ist (z. B. wegen anderer Kundendaten), können sogenannte alternative Bestätigungsniveaus vereinbart werden, etwa Pooled Audits, ISO-Zertifikate oder Third-Party-Assessments.
5. Exit-Strategien
Für den Fall der Vertragsbeendigung – sei es durch Kündigung, Insolvenz oder Anbieterwechsel – muss geregelt sein, wie Daten migriert, Systeme übergeben und Prozesse fortgeführt werden können. Ohne solche Exit-Klauseln kann es zu massiven Betriebsunterbrechungen kommen.
Tipp: Vereinbaren Sie konkrete Übergangszeiträume, Unterstützungspflichten und Datenformate – idealerweise in einem eigenen Exit-Management-Plan.
6. Notfallpläne und Sicherheitsmaßnahmen
DORA verlangt, dass Notfallkonzepte nicht nur existieren, sondern auch regelmäßig getestet und mit den Dienstleistern abgestimmt werden.
4. Welche Chancen bietet DORA für IKT-Dienstleister?
DORA ist kein reines Pflichtenheft – sondern eine strategische Chance, sich als zukunftsfähiger, vertrauenswürdiger Partner im regulierten Markt zu positionieren:
- Vertragsklarheit stärkt die Kundenbindung: Wer frühzeitig DORA-konforme Verträge anbietet, beweist Professionalität – und erspart seinem Kunden aufwändige Nachverhandlungen.
- Cyberresilienz wird zum Wettbewerbsvorteil: Anbieter, die Notfallpläne, Sicherheitsstandards und Audit-Mechanismen integriert haben, werden zunehmend bevorzugt.
- Prozesse lassen sich skalierbar etablieren: Einmal aufgesetzt, lassen sich DORA-konforme Vorlagen, Auditprozesse und Exit-Szenarien standardisiert für weitere Kunden nutzen.
Fazit: DORA ernst nehmen – und zur Stärke machen
Ob Hostinganbieter oder Infrastrukturpartner – wer mit Finanzunternehmen zusammenarbeitet, muss sich mit DORA auseinandersetzen. Die gute Nachricht: Viele Anforderungen lassen sich mit gut vorbereiteten Verträgen, standardisierten Verfahren und klaren Prozessen praxisnah und wirtschaftlich umsetzen.
Nutzen Sie die Zeit jetzt – und machen Sie DORA-Readiness zu Ihrem Marktvorteil.
Autorin
Sophie Powierski
Jobs
Ihr Ansprechpartnerin
Gerne erzählen wir Ihnen mehr zu diesem Thema.
