DORA & Outsourcing: Strengere Anforderungen an Drittanbieter und Cloud-Dienste

Die Finanzbranche steht mit der Umsetzung des Digital Operational Resilience Act (DORA) vor tiefgreifenden Veränderungen. Besonders die Nutzung von Drittanbietern und Cloud-Diensten wird durch die neuen regulatorischen Anforderungen erheblich beeinflusst. Unternehmen müssen ihre Outsourcing-Strategien anpassen, um den neuen Vorgaben gerecht zu werden.

Schärfere Anforderungen an Drittanbieter

DORA verpflichtet Finanzinstitute, die operationelle Resilienz ihrer gesamten digitalen Infrastruktur sicherzustellen. Das betrifft nicht nur interne IT-Systeme, sondern insbesondere auch externe Dienstleister. Die neuen Anforderungen beinhalten unter anderem:

• Erhöhte Sorgfaltspflichten bei der Auswahl von Dienstleistern
• Erweiterte vertragliche Anforderungen
• Erhöhte Meldepflichten und Monitoring-Anforderungen

Auswirkungen auf Cloud-Dienste

Da Banken und Finanzinstitute zunehmend auf Cloud-Dienste setzen, hat DORA hier eine besonders hohe Relevanz. Die Nutzung von Cloud-Anbietern bringt Effizienzvorteile, stellt aber auch besondere Anforderungen an die IT-Resilienz und Compliance:

• Kritische Cloud-Dienstleister unter direkter Aufsicht
• Detaillierte Vertragsanforderungen für Cloud-Nutzer
• Regelmäßige Tests der Resilienzmaßnahmen

Handlungsbedarf für Finanzinstitute

Um den neuen Anforderungen gerecht zu werden, müssen Finanzinstitute ihre Verträge mit IT-Dienstleistern und Cloud-Anbietern überprüfen und gegebenenfalls anpassen. Besonders folgende Maßnahmen sind jetzt erforderlich:

• Bestandsaufnahme bestehender Outsourcing-Verträge
• Prüfung der Einhaltung von DORA-Anforderungen durch aktuelle Anbieter
• Anpassung von SLA-Vereinbarungen, insbesondere im Bereich IT-Sicherheit und Meldepflichten
• Stärkere Einbindung von Audit- und Kontrollmechanismen in Outsourcing-Verträge
• Schulungen für interne Teams zur Überwachung der IT-Resilienz

DORA wird die Governance über Drittanbieter grundlegend verändern. Finanzinstitute, die frühzeitig handeln und ihre Outsourcing-Strategien anpassen, können nicht nur regulatorische Risiken minimieren, sondern auch ihre operationelle Widerstandsfähigkeit nachhaltig stärken.

Cliffrock als Partner für die Umsetzung

Die Einhaltung der neuen DORA-Vorgaben stellt viele Finanzinstitute vor Herausforderungen – insbesondere in der Vertragsgestaltung mit Drittanbietern. Cliffrock unterstützt Unternehmen bei der Anpassung und Prüfung ihrer Outsourcing-Verträge, um regulatorische Anforderungen sicher und effizient umzusetzen:

• Analyse bestehender Verträge auf DORA-Compliance
• Erstellung und Anpassung von Vertragsklauseln zu IT-Sicherheit, Audit- und Zugangsrechten
• Beratung zu Exit-Strategien und Risikomanagement
• Begleitung bei der Verhandlung mit Cloud- und IT-Dienstleistern

Mit unserer spezialisierten Expertise im Finanz- und IT-Recht sorgen wir dafür, dass Ihre Verträge den regulatorischen Anforderungen entsprechen – praxisnah, rechtssicher und effizient.