Erfahrungsbericht aus einem Umsetzungsprojekt: Vertragliche DORA-Konformität im IKT-Drittparteienrisikomanagement

Die DORA (Digital Operational Resilience Act) ist eine Verordnung der Europäischen Union zur Stärkung der digitalen Resilienz im Finanzsektor und trat im Januar 2025 in Kraft. Sie betrifft Finanzinstitute und deren Dienstleister, indem sie Anforderungen an das IKT-Risikomanagement, Vorfallmeldungen, Tests und den Umgang mit Drittanbietern stellt.

Im Rahmen der Umsetzung der Verordnung (EU) 2022/2554 (DORA) wurde ein Projektteam unseres Unternehmens von einem deutschen Finanzinstitut mit der vertraglichen Absicherung gemäß DORA-Anforderungen gegenüber IKT-Drittdienstleistern beauftragt. Das Projektziel war die regulatorischen Anforderungen gemäß Art. 28 Abs. 4 DORA vollumfänglich in den aktiven Vertragsbeziehungen einzubinden und die Kommunikation mit den IKT-Drittdienstleistern zu führen sowie die Ergebnisse in Managementsystemen zu dokumentieren. Dieser Artikel ist ein Erfahrungsbericht aus der DORA-Umsetzung und stellt die Handlungsfelder, durchgeführte Maßnahmen und identifizierte Herausforderungen dar.

Eine Analyse bestehender Vertragsbeziehungen wurde in ein initiales Informationsregister überführt. Dies bildete eine erste Grundlage für den Betrachtungsumfang, welche im Laufe des Projekts fortgeschrieben wurde. Die damit verbundene Analyse der Verträge mit IT-Bezug ergab, dass jeder aktive Vertrag auf DORA-Konformität angepasst werden muss, da diese nicht die in DORA geforderten Mindestinhalte enthielten.

Im Fokus standen insbesondere:

Ziel des Projekts war es, sowohl einen Prozess zur DORA-Vertragsprüfung zu etablieren, die Mindestinhalte für die jeweiligen Vertragsvereinbarungen zu erstellen sowie die Verhandlung mit den IKT-(Informations- und Kommunikationstechnologien) Drittdienstleistern zu unterstützen als auch das Knowhow mit dem Mitarbeitenden aus dem IT-Vertragsmanagement zu teilen und diese für die operative Umsetzung zu befähigen.

a) Vertragsinventur und Kategorisierung

Es wurde ein Vertragsinventar aller aktiven IKT-bezogenen Drittparteienbeziehungen erstellt und entlang folgender Kriterien kategorisiert:

b) Entwicklung eines Vertragsstandards

In Zusammenarbeit mit der Rechtsabteilung des Unternehmens wurde ein Vertragsanhang (DORA-Addendum) entwickelt, der differenziert nach Geschäftsprozess, Abhängigkeit und Unterauftragsvergabe angewendet wird. Dieser enthält alle erforderlichen Regelungen gemäß Art. 28 Abs. 4 DORA, insbesondere:

c) Umsetzung

Die priorisierten Verträge wurden strukturiert bearbeitet – beginnend mit IKT-Drittdienstleistern, die kritische und wichtige Geschäftsprozesse mit einer mindestens wesentlichen Abhängigkeit unterstützen. In Fällen von Abweichungen beim definierten DORA-Addendum oder fehlender Einwilligung des IKT-Drittdienstleisters wurden bestehenden Risikomanagement-Prozesse bedient und Risiken bei der aktiven Vertragsbeziehung an das IT-Risikomanagement gemeldet.

Die Herstellung der vertraglichen DORA-Konformität stellt das Finanzunternehmen vor Herausforderungen bezüglich DORA-Know-How, Rollen und Verantwortlichkeiten, Datenqualität, der Kommunikation zwischen relevanten Parteien sowie der verfügbaren Personalkapazität im Regelbetrieb.

Die Aufwände können reduziert werden, wenn die Herstellung der Compliance mit technisch-organisatorischen Maßnahmen verbunden werden:

Die Umsetzung der Vertrags-Compliance gemäß des Digital Operational Resilience Act (DORA) stellt Finanzunternehmen vor erhebliche fachliche, organisatorische, personelle sowie kommunikative Herausforderungen. Auf Basis unserer Erfahrungen empfiehlt sich die Herstellung der vertraglichen DORA-Compliance zu projektieren, um das Tagesgeschäft zu entlasten und sukzessive den Regelbetrieb zur Fortschreibung der Projektergebnisse befähigen zu können.

Die systematische Validierung bestehender Vertragsdaten, der Aufbau klar definierter Rollen und Aufarbeitung von Verantwortlichkeiten entlang des Vertragslebenszyklus sowie die Integration der Anforderungen in bestehende Prüf- und Risikomanagementprozesse schaffen eine belastbare Grundlage für nachhaltige DORA-Compliance, die in den Regelbetrieb übergehen kann. Darüber hinaus ermöglicht ein standardisiertes Reporting eine transparente Steuerung des Projektfortschritts und die gezielte Einbindung relevanter operativer und strategischer Stakeholder.

Für den Projekterfolg bei der initialen Herstellung der vertraglichen DORA-Compliance ist die Datenqualität in den Vertragsmanagementsystemen von entscheidender Bedeutung. Nach unserer Erfahrung bei der Analyse von Bestandsvertragsdaten sind bis zu 10% der als aktiv gepflegten Verträge wiedererwartend inaktiv und bedürfen somit keiner weiteren DORA-Prüfung. Dieser Umstand führt zu der Notwendigkeit einer unterschiedlichen Betrachtung beim Projektreporting – Datenqualität und Projektfortschritt müssen demnach differenziert reported werden, da die Reduktion des Vertragsbestands vermeintlich keinen Fortschritt bei der Umsetzung der vertraglichen DORA-Konformität darstellt.

Es ist darauf zu achten, dass die notwendige Datenqualität gemäß abgestimmten Vorgaben durch die Projektierung erzeugt wird, als auch, dass das Bestandspersonal des Regelbetriebs zur Fortführung und Aufrechterhaltung der Datenqualität befähigt wird.

Es wird deutlich, dass die Umsetzung der vertraglichen DORA-Compliance in allen Bereichen zahlreiche Detailfragen und nicht offensichtliche operative sowie strategische Stolpersteine mit sich bringt – hier zahlt sich ein bewährter Good Practice-Ansatz für eine Projektierung bei der Herstellung der vertraglichen DORA-Compliance aus.

Gerne stehen wir Ihnen als erfahrener Ansprechpartner für einen Austausch zur Herstellung der vertraglichen DORA-Compliance – ob Finanzinstitut oder IKT-Drittdienstleister – zur Verfügung.