Hubspot

Set a portal ID and form in the Properties.

Anwendungsbereich

6 Min.

Ein präziser Leitfaden zur erfolgreichen Umsetzung der DORA-Compliance

Ein präziser Leitfaden zur erfolgreichen Umsetzung der DORA-Compliance

DORA ist bereits in Kraft getreten. Auch wenn die Durchsetzung nach April 2025 weiter verschärft werden dürfte, sollten Unternehmen jetzt handeln. Die Überprüfung, Verhandlung und Anpassung von Verträgen ist von zentraler Bedeutung, um die Compliance zu gewährleisten sowie finanzielle und operationelle Risiken zu vermeiden.


Gabby MacSweeney

Vice President Marketing

Anwendungsbereich

6 Min.

Ein präziser Leitfaden zur erfolgreichen Umsetzung der DORA-Compliance

DORA ist bereits in Kraft getreten. Auch wenn die Durchsetzung nach April 2025 weiter verschärft werden dürfte, sollten Unternehmen jetzt handeln. Die Überprüfung, Verhandlung und Anpassung von Verträgen ist von zentraler Bedeutung, um die Compliance zu gewährleisten sowie finanzielle und operationelle Risiken zu vermeiden.


Gabby MacSweeney

Vice President Marketing

Ein herzlicher Dank geht an Aida Kaloci und Axel Desmet vom Innovationsteam von Cresco für ihre Teilnahme an unserem Webinar DORA-Compliance nach dem Januar: Wie geht es weiter?.

DORA ist bereits in Kraft getreten. Auch wenn die Durchsetzung nach dem April 2025 an Fahrt aufnehmen dürfte, sollten Unternehmen jetzt handeln. Die Überprüfung, Verhandlung und Anpassung von Verträgen ist der Schlüssel, um die gesetzliche Konformität zu gewährleisten und finanzielle sowie operative Risiken abzuwenden.

Hier sind die wichtigsten Erkenntnisse aus dieser informativen Sitzung. Alternativ können Sie sich das Webinar hier ansehen.

Die wachsende Cyberbedrohung und die Entstehung von DORA

Im Jahr 2024 erreichten Cyberangriffe weltweit Rekordhöhen, mit einem Anstieg von 75 % im dritten Quartal im Vergleich zum Vorjahreszeitraum.  

Gleichzeitig erleben wir eine Welle neuer Regulierungsvorschriften, darunter DORA (Digital Operational Resilience Act) – ein Rahmenwerk, das darauf abzielt, die operative Belastbarkeit von Finanzunternehmen in der gesamten EU zu stärken.

Für wen gilt DORA?

DORA gilt für traditionelle Finanzinstitute wie:

  • Kreditinstitute

  • Zahlungsinstitute

  • Handelsplätze

Die Verordnung gilt gleichermaßen für moderne Finanzunternehmen, darunter:

  • Wertpapierinstituten und Vermögensverwaltungsgesellschaften

  • Anbieter von Krypto-Dienstleistungen

Wichtig ist, dass auch IKT-Drittdienstleister, die diese Finanzinstitute bedienen, indirekt unter den Anwendungsbereich von DORA fallen.

Zeitplan für die DORA-Compliance

DORA ist seit dem 17. Januar 2025 rechtsverbindlich anzuwenden. Dies war eine strikte Frist. Es gibt jedoch eine inoffizielle Übergangsphase bis zum 30. April 2025, bis zu der die nationalen Aufsichtsbehörden den EU-Behörden eine Liste der kritischen Drittdienstleister vorlegen müssen.

Bis dahin mag die Durchsetzung noch zurückhaltend sein, Unternehmen sollten ihre Compliance-Bemühungen jedoch keinesfalls aufschieben.

Warum DORA-Compliance von entscheidender Bedeutung ist

Ein Verstoß gegen DORA kann schwerwiegende Folgen haben:

  • Geldbußen von bis zu 2 % des weltweiten Gesamtumsatzes, ähnlich wie unter der DSGVO. 

  • Auswirkungen auf Zulassungen. Es wird spekuliert, dass Verstöße die PSD2- und andere Finanzdienstleistungslizenzen gefährden könnten.

Buchen Sie noch heute Ihre persönliche Produktpräsentation

Um zu erfahren, wie LEGALFLY Sie unterstützen kann, vereinbaren Sie gerne ein Gespräch mit einem unserer Experten.

Wie Sie die Kernpflichten und Herausforderungen von DORA meistern

DORA führt strenge Anforderungen für Finanzunternehmen und deren IKT-Drittdienstleister ein. Die Gewährleistung der Rechtskonformität erfordert einen strukturierten Ansatz in vier Kernbereichen: IKT-Risikomanagement, Meldung von Vorfällen, Tests der digitalen operativen Resilienz und Risikomanagement durch Dritten.

Jede dieser Pflichten erfordert eine proaktive Compliance-Strategie. Von Finanzinstituten wird erwartet, dass sie vertragliche Absicherungen stärken und eine kontinuierliche Überwachung etablieren. Verhandlungen mit IKT-Dienstleistern erweisen sich jedoch häufig als komplex, weshalb ein risikobasierter Ansatz unerlässlich ist.

Stärkung des IKT-Risikomanagements

Finanzinstitute müssen die Risiken, die von ihren IKT-Dienstleistern ausgehen, kontinuierlich bewerten und steuern. Dies umfasst:

  • Die Definition klarer Rollen und Verantwortlichkeiten in den Verträgen.

  • Die Durchführung fortlaufender Risikobewertungen, um sicherzustellen, dass Dienstleister die Resilienzstandards erfüllen.

Diese Anforderung zwingt Finanzunternehmen dazu, IKT-Dienstleister als integralen Bestandteil ihrer eigenen operativen Sicherheit zu betrachten und sicherzustellen, dass deren Systeme und Kontrollen den regulatorischen Erwartungen entsprechen.

Meldung von Vorfällen 

DORA schreibt vor, dass jeder schwerwiegende IKT-bezogene Vorfall unverzüglich an die zuständigen Behörden gemeldet werden muss. Die Einhaltung erfordert:

  • Die Einrichtung klarer Meldemechanismen in den Verträgen.

  • Die Definition von Fristen, Eskalationsprozessen und klaren Zuständigkeiten für die Berichterstattung.

Für Finanzinstitute bedeutet dies eine enge Zusammenarbeit mit den IKT-Dienstleistern, um im Ernstfall einen reibungslosen Informationsfluss zu gewährleisten. Vertragsklauseln müssen Unklarheiten ausschließen und konkrete Reaktionsprotokolle festlegen.

Prüfung der digitalen operativen Resilienz 

Resilienztests sind eine tragende Säule der DORA-Compliance und verpflichten Finanzinstitute zur regelmäßigen Überprüfung ihrer IKT-Systeme. Verträge müssen Folgendes spezifizieren:

  • Die Testhäufigkeit (mindestens jährlich oder bei Anbietern mit höherem Risikoprofil entsprechend häufiger).

  • Den Testumfang, einschließlich Penetrationstests und Notfallwiederherstellungsübungen.

  • Abhilfemaßnahmen zur Behebung von Schwachstellen, die während der Tests identifiziert wurden.

Diese Vorgaben stellen sicher, dass Finanzunternehmen in der Lage sind, Cyberbedrohungen proaktiv zu erkennen und abzuwehren, bevor sie zu schwerwiegenden Betriebsunterbrechungen führen.

Management von IKT-Drittparteienrisiken durch Verträge

DORA wirkt über die Finanzunternehmen hinaus und reguliert indirekt auch IKT-Drittdienstleister. Zur Erreichung der Konformität sollten Verträge Folgendes enthalten:

  • Ausstiegsstrategien und -klauseln, die einen reibungslosen Übergang bei der Ablösung eines Dienstleisters garantieren.

  • Regelungen zur Weitervergabe von Unteraufträgen, die festlegen, ob vor einer weiteren Auslagerung von Dienstleistungen eine vorherige Genehmigung erforderlich ist.

Die Aufsichtsbehörden erwarten von Finanzinstituten vollständige Transparenz und Kontrolle über ihre Dienstleister, um zu verhindern, dass Störungen bei einem einzelnen Anbieter das gesamte Finanzökosystem gefährden.


Herausforderungen in der Vertragsverhandlung: 
Wo Widerstand entsteht

Trotz der klaren Vorgaben von DORA sträuben sich viele IKT-Dienstleister gegen Vertragsanpassungen. Die Gründe hierfür sind:

  • Hohe Compliance-Kosten, da die Erfüllung der regulatorischen Standards zusätzliche Investitionen erfordert.

  • Kapazitätsengpässe, da es manchen Anbietern an den notwendigen Ressourcen zur Implementierung der geforderten Kontrollmechanismen fehlt.

  • Uneinigkeiten bei der Klassifizierung, wenn Anbieter bestreiten, dass sie „kritische“ Funktionen des Finanzinstituts unterstützen.

Ein risikobasierter Ansatz schafft hier Abhilfe. Konzentrieren Sie sich auf:

  • Die Erfassung aller IKT-Dienstleister, die kritische Funktionen unterstützen.

  • Die Überprüfung bestehender Verträge zur Identifizierung von Compliance-Lücken.

  • Die Verhandlung von Bedingungen, die sicherstellen, dass Anbieter die DORA-Anforderungen erfüllen, ohne übermäßige Hürden aufzubauen.

Beispielsweise forderte ein Finanzinstitut von einem IKT-Dienstleister ursprünglich drei Penetrationstests pro Jahr – was über die DORA-Mindestanforderung von einem jährlichen Test hinausging. Nach einer detaillierten Risikobewertung stellte sich heraus, dass die betreffenden Dienste nicht geschäftskritisch waren, sodass das Institut die Anforderung anpassen konnte, ohne die Resilienz zu gefährden.


Manuelle Prüfungen machen die DORA-Compliance zu einer gewaltigen Herausforderung

Die Einhaltung von DORA ist ein komplexer und risikoreicher Prozess. Aufgrund der erheblichen Haftungsrisiken ist das Thema längst auf Vorstandsebene angesiedelt. Compliance ist nicht mehr nur eine rein juristische Angelegenheit, sondern erfordert eine abteilungsübergreifende Abstimmung zwischen Rechtsabteilung, Einkauf, Vertrieb und anderen Teams.

Dennoch verlassen sich die meisten Rechtsabteilungen nach wie vor auf die manuelle Vertragsprüfung – ein zeitintensiver Prozess, der tausende Arbeitsstunden für das Lesen, Nachverhandeln und Neuentwerfen verschlingt. Dies verzögert die regulatorische Konformität, treibt die Kosten durch die Einbindung externer Kanzleien in die Höhe und erhöht das Risiko menschlicher Fehler, insbesondere bei hohen Vertragsvolumina.


KI ermöglicht eine proaktive Compliance

LEGALFLY vereinfacht die DORA-Compliance, indem es Vertragsprüfungen automatisiert, Risiken präzise identifiziert und eine kontinuierliche regulatorische Konformität sicherstellt. Es beschleunigt Vertragsprüfungen, indem es tausende Vereinbarungen in wenigen Minuten analysiert und so die Prüfzeit von Wochen auf Tage verkürzt. Durch das Erkennen nicht konformer Klauseln und das Vorschlagen DORA-konformer Formulierungen ermöglicht LEGALFLY juristischen Teams das sofortige Einpflegen von Korrekturen, was Konsistenz und Präzision garantiert.

Mehr dazu: DORA-Compliance leicht gemacht mit Legal AI

Mit maßgeschneiderten Playbooks unterstützt LEGALFLY renommierte Institute wie die KBC Bank bei der Erstellung strukturierter Richtlinien, wodurch Vertragsprüfungen sowohl für die Rechtsabteilung als auch für den Einkauf erheblich effizienter werden. Diese Playbooks stellen sicher, dass Compliance-Standards über alle Vereinbarungen hinweg einheitlich eingehalten werden. Darüber hinaus bietet LEGALFLY ein kontinuierliches Monitoring, das die Playbooks bei neuen regulatorischen Änderungen automatisch aktualisiert, wodurch sich der Aufwand für manuelle Anpassungen und der Bedarf an externen Rechtsberatern drastisch reduziert.

Über die reine Effizienzsteigerung hinaus hilft LEGALFLY Finanzinstituten dabei, Risiken proaktiv zu steuern, menschliche Fehler zu minimieren und regulatorische Bußgelder oder Betriebsstörungen effektiv zu verhindern. Indem DORA-Compliance in einen optimierten, automatisierten Prozess transformiert wird, können Organisationen kommenden regulatorischen Anforderungen mit weitaus größerer Zuversicht und Kontrolle begegnen.

Vom Antrag bis zum Ergebnis

Erfahren Sie, wie LEGALFLY juristische Arbeit end-to-end über alle Teams, Rechtsräume und Workflows hinweg steuert, ausführt und verwaltet.

Dunkler Farbverlauf-Hintergrund

Vom Antrag bis zum Ergebnis

Erfahren Sie, wie LEGALFLY juristische Arbeit end-to-end über alle Teams, Rechtsräume und Workflows hinweg steuert, ausführt und verwaltet.

Dunkler Farbverlauf-Hintergrund

Vom Antrag bis zum Ergebnis

Erfahren Sie, wie LEGALFLY juristische Arbeit end-to-end über alle Teams, Rechtsräume und Workflows hinweg steuert, ausführt und verwaltet.

Dunkler Farbverlauf-Hintergrund