DORA: Die Reaktion der EU auf Cybersecurity-Bedrohungen
Am 27. Dezember 2022 führten das Europäische Parlament und der Rat die Verordnung (EU) 2022/2554 ein, die gemeinhin als Digital Operational Resilience Act oder DORA bekannt ist. Ihr Hauptziel ist es, die IT-Sicherheit von Finanzunternehmen wie Banken, Versicherungen und Wertpapierfirmen zu verbessern. Complianceanforderungen für bestimmte Verträge als Teil des „Management des IKT-Drittparteirisikos“ ist eine der fünf Säulen von DORA.
Die fünf Säulen von DORA
DORA harmonisiert und konsolidiert Schlüsselelemente bestehender Rahmenwerke und Standards für die digitale Resilienz in der EU und führt gleichzeitig neue Anforderungen ein. DORA konzentriert sich auf fünf Hauptbereiche: Informations- und Kommunikationstechnologie (IKT)-Risikomanagement, Umgang mit IKT-bezogenen Vorfällen, Prüfung der digitalen operationellen Resilienz Management des IKT-Drittparteirisikos und Informationsaustausch.
Management des IKT-Drittparteirisikos als Contracting-Herausforderung
Im Rahmen der Säule “IKT-Drittanbieter-Risikomanagement” sind die Finanzunternehmen unter anderem dafür verantwortlich, dass ihre vertraglichen Vereinbarungen mit IKT-Drittanbietern mit den in der DORA festgelegten Anforderungen übereinstimmen. Eine zentrale Bestimmung, die diese Anforderungen regelt, ist Art. 30 DORA. Lesen Sie hier Art. 30 DORA im Volltext
Weitere Anforderungen sind in der DORA und den dazugehörigen technischen Regulierungs- (RTS) und Implementierungsstandards (ITS) festgelegt.
Letztlich müssen die Finanzunternehmen alle relevanten Vereinbarungen ermitteln, sammeln, überprüfen und gegebenenfalls ändern. Die Frist für den Abschluss dieser Maßnahmen ist der 17. Januar 2025.
- Dies führt zunächst zu der Aufgabe, alle relevanten IKT-Verträge für die Überprüfung zu ermitteln und zu sammeln. In Anbetracht des Umfangs ihrer Geschäftstätigkeit verwalten Finanzunternehmen oft eine beträchtliche Anzahl von IKT-bezogenen Verträgen - oft mehr als tausend Verträge pro Institut.
- Der zweite Schritt, eine detaillierte rechtliche Prüfung jedes Vertrags im Hinblick auf die DORA-Anforderungen, beginnt mit der Einstufung jedes Vertrags in kritisch oder unkritisch, gefolgt von einer eingehenden rechtlichen Bewertung, ob er die entsprechenden spezifischen Anforderungen gemäß DORA erfüllt.
- Schließlich müssen alle IKT-Verträge, die aktualisiert werden müssen, geändert werden – was nur mit Zustimmung der jeweiligen Gegenpartei möglich ist und zu Vertragsverhandlungen führen kann, insbesondere wenn die Gegenpartei mit DORA nicht vertraut ist.
Die Herstellung von DORA-Vertragscompliance ist aufgrund ihres Umfangs und des Aufwands, der für die Überprüfung und Neuverhandlung komplexer Verträge innerhalb kurzer Zeit erforderlich ist, eine erhebliche Herausforderung.
Der technologiegestützte Ansatz von Deloitte Legal
Unser dreistufiger Ansatz hilft Ihrem Unternehmen, die verschiedenen Herausforderungen der DORA-Vertrasgscompliance zu meistern.
In der Vorbereitungsphase konzentrieren wir uns darauf, die in Frage kommenden Verträge zu identifizieren, den gewünschten Zielzustand zu definieren und einige rechtliche Eckpfeiler festzulegen, z. B. die Kriterien für die Entscheidung, ob ein Vertrag kritisch oder unkritisch ist. Außerdem führen wir eine erste Bewertung Ihrer Vertragslandschaft durch.
In der anschließenden Gap-Analyse führen wir eine technologiegestützte rechtliche Prüfung Ihrer relevanten Verträge durch, um den Grad ihrer DORA-Konformität zu bewerten, oder wir diskutieren andere Ansätze, wie z. B. die pauschale Änderung aller relevanten Verträge durch standardisierte oder individualisierte DORA-Anhänge. Optional kann unsere rechtliche Analyse auch auf andere wichtige Themen wie z.B. die Einhaltung der GDPR ausgeweitet werden.
Ziel der Implementierungsphase ist es, alle relevanten Verträge so zu aktualisieren, dass sie den DORA-Anforderungen entsprechen. Unser Team aus Juristen und Legal Engineers kann Sie bei der gesamten Bandbreite solcher Vertragsanpassungen unterstützen, einschließlich der Massenproduktion von standardisierten oder individualisierten DORA-Anhängen, der Beantwortung von Fragen der Vertragspartner, der Verhandlung der gewünschten Vertragsänderungen, der Koordinierung der Unterschriften und der Einspeisung der unterzeichneten Versionen in Ihr Vertragsmanagement. Wir erstellen gemeinsam mit Ihnen ein Verhandlungs- und Q&A-Playbook, um volle Transparenz darüber zu schaffen, wie wir in Ihrem Namen mit Ihren Vertragspartnern kommunizieren, und um Ihnen die volle Kontrolle darüber zu geben, wann und wie wir Themen in Ihrer Organisation eskalieren werden.
Unser Team wird in jeder Phase des Projekts von modernster Technologie unterstützt.
Sprechen Sie uns an – wir unterstützen Sie gerne beim effizienten Weg in die DORA-Vertragscompliance.
Ansprechpartner
Dr. Till Contzen
Dr. Till Contzen ist Partner bei Deloitte Legal und Leiter der Service Line Digital Law. Sein Fokus liegt auf IT Recht und Digitalisierung. Seit seiner Zulassung zum Rechtsanwalt Anfang 2012 hat Till sich auf alle mit Informationstechnologie zusammenhängenden Rechtsangelegenheiten spezialisiert. Er hat zahlreiche Mandanten bei der Modernisierung und Auslagerung von IT-Leistungen und der Digitalisierung von Geschäftsprozessen beraten. Darüber hinaus begleitet er Mandanten regelmäßig bei der Entwicklung, Implementierung und dem Vertrieb von komplexen IT-Lösungen wie ERP- und CRM-Systemen sowie die Migration in Cloud-Umgebungen und Beschaffungen im ‚Everything-as-a-Service‘ (XaaS) Bereich. Durch sein tiefgreifendes Verständnis von Technologien ist Till erfahren in der Übertragung komplexer technischer Themen in die juristische Sprache. Er berät seine Mandanten nicht nur bei den rechtlichen Herausforderungen eines Projekts, sondern auch bei der Bewältigung der zahlreichen organisatorischen, wirtschaftlichen und prozessualen Herausforderungen, mit denen diese im Laufe eines Projekts konfrontiert sind.
Klaus Gresbrand
Klaus Gresbrand arbeitet seit 2012 bei Deloitte Legal Deutschland und ist dort Partner. Zuvor arbeitete er für eine internationale Großkanzlei. Sein Spezialgebiet ist Gesellschaftsrecht, einschließlich Umwandlungsrecht. Er ist Mitglied im Japan Desk von Deloitte Legal Deutschland und Teil der Service Line Corporate/M&A. Sein Tätigkeitsschwerpunkt liegt neben der allgemeinen gesellschaftsrechtlichen Beratung im Bereich Legal Due Diligence, Transaktionen und Umstrukturierungen, einschließlich nationaler und grenzüberschreitender Verschmelzungen. Er berät ferner zum Thema Legal Technology, einschließlich Contract Lifecycle Management und Dokumentenautomation. Klaus Gresbrand ist als deutscher Rechtsanwalt zugelassen. Er studierte Rechtswissenschaften an der Universität Osnabrück. Ferner verbrachte er Auslandssemester an der Chuo Universität und der Universität Tokyo in Japan. Er spricht Deutsch, Englisch und Japanisch.
Dr. Hannes Bracht
Dr. Hannes Bracht ist seit Januar 2017 Rechtsanwalt und Partner im Frankfurter und Düsseldorfer Büro von Deloitte Legal in der Service Line Banking & Finance. Der Schwerpunkt seiner Tätigkeit liegt in der Beratung von Banken, Sparkassen, Finanz- und Zahlungsdienstleistern in allen aufsichtsrechtlichen Fragen. Zudem berät er Unternehmen außerhalb des Finanzsektors zur Vermeidung aufsichtsrechtlicher Risiken. Vor seiner Tätigkeit bei Deloitte Legal war Hannes Bracht sechs Jahre in einer auf Bank- und Bankaufsichtsrecht spezialisierten mittelständischen Rechtsanwaltskanzlei tätig. Zu seinen Kernangeboten zählen Gutachten zu aufsichtsrechtlichen Fragen, die umfassende Begleitung aufsichtsrechtlicher Verfahren (z.B. Erlaubnis-, Inhaberkontroll-, Freistellungs-, Ausnahme- und Anzeigeverfahren), die Vertragsgestaltung mit aufsichtsrechtlichem Hintergrund (z.B. Outsourcing- oder Kooperationsverträge), die Kommunikation mit Aufsichtsbehörden, die Regulatory Due Diligence, Implementierungprojekte und die Schulung von Leitungs- und Aufsichtsorganen. Neben seiner anwaltlichen Tätigkeit veröffentlicht er regelmäßig zu aufsichtsrechtlichen Themen und ist Lehrbeauftragter an der Westfälischen Wilhelms-Universität Münster. Hannes Bracht ist Fachanwalt für Bank- und Kapitalmarktrecht.
Frank Fischer, LL.M. (Univ. London)
Frank Fischer leitet als Partner den Versicherungsbereich von Deloitte Legal in Deutschland und ist Teil des deutschen Insurance Leadership Teams von Deloitte. Er ist seit über 15 Jahren als Rechtsanwalt in der Finanzindustrie tätig und berät Erst- und Rückversicherer, Versicherungsvermittler, EbAV, Banken, Finanzdienstleister und Asset Manager in allen Bereichen des Aufsichtsrechts und den Schnittstellen zum Gesellschaftsrecht und weiteren Gebieten. Regelmäßig steht er seinen Mandanten in Transaktionen, in Transformationsprojekten und in Verfahren gegenüber der BaFin zur Seite. Ein Schwerpunkt seiner Tätigkeit ist die Beratung zu Governance, TOM und Outsourcing, gerade auch von IT-Leistungen unter Berücksichtigung von MaGo/VAIT/KAIT/DORA etc. Frank war vor seiner Tätigkeit bei Deloitte Legal u.a. Rechtsanwalt in einer anderen Big4-Rechtsanwaltsgesellschaft und Assistant General Counsel eines führenden Asset Managers für institutionelle Investoren. Er hat umfassende Erfahrung bei der Lösung rechtsgebietsübergreifender Problemstellungen im Konzern sowie der Geschäftsleiter-Beratung zu Haftungs-, Struktur- und Organisationsthemen (Corporate Governance & Compliance). Frank spricht Deutsch und Englisch.