Die wichtigesten Punkte, die Sie wissen müssen, wenn Finanzunternehmen Ihnen als Dienstleister Fragebögen, Assesments oder Zusatzvereinbarungen senden.
Der Anlass für viele Finanzunternehmen ihre Dienstleister abzufragen und ggf. zu Zusatzvereinbarungen aufzufordern ist DORA. Hinter dem Kürzel DORA steckt die Verordnung mit dem klangvollen Namen: Verordnung (EU) 2022/2554 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über die digitale operationale Resilienz im Finanzsektor und zur Änderung der Verordnungen.
Kurz gefasst heißt das, dass Unternehmen, die in dem Sinne der Verordnung unter die Definition Finanzunternehmen fallen, verpflichtet sind Richtlinien, Maßnahmen und Verfahren zu implementieren, die die digitale operationale Resilienz stärken sollen. Dazu gehört auch, dass mit den eigenen Lieferanten mit IT-Bezug (im DORA-Kontext spricht man vom sogenannten IKT-Dienstleister) Mindestvertragsinhalte ausgehandelt sein müssen, die sicherstellen, dass das Finanzunternehmen nicht ins Schlingern kommt, wenn Sie als IKT-Dienstleister Probleme haben ihren Service zu erbringen. Deswegen kommt es aktuell dazu, dass die betroffenen Unternehmen vermehrt ihre Fragebögen und Zusatzvereinbarung an Ihre IKT-Dienstleister schicken.
Falls Sie die Mindestanforderungen einmal sehen wollen: Die BaFin hat als Aufsichtsbehörde für die Umsetzung von DORA eine Excel-Liste mit Mindestvertragsinhalten aus Sicht der betroffenen Finanzunternehmen erstellt: BaFin Mindestvertragsinhalte.
Kurz und klar: Nein. Für Sie als IKT-Dienstleister ist das Thema vor allem eine wirtschaftliche Frage. Können Sie die Anforderungen so umsetzen, dass es weiterhin unternehmerisch sinnvoll ist den Kunden zu halten? Sollten Sie allerdings die Zusatzvereinbarungen annehmen, erwachsen daraus auch die entsprechenden vertraglichen Pflichten. Es lohnt sich also hier einmal genau hinzuschauen, was genau gefordert ist und sich zu überlegen, wie die Anforderungen umgesetzt werden können. Natürlich ist es für Sie als IKT-Dienstleister legitim die Anpassungen in dem Vertrag neu zu bepreisen, schließlich entstehen Ihnen ja gegebenenfalls auch Mehraufwände.
Bewahren Sie unbedingt erst einmal Ruhe. Häufig reicht der Dialog mit dem Kunden schon. Insbesondere, wenn ihr Kunde Sie als IKT-Dienstleister eingeordnet hat, der eine sogenannte kritische oder wichtige Funktionen unterstützen soll. Prüfen Sie das zugesandte Dokument dahingehend. Unserer Erfahrung zeigt, dass viele Finanzunternehmen selbst Herausforderungen haben alle kritischen und wichtigen Funktionen im eigenen Unternehmen richtig zu identifizieren. Lieber wird die Messlatte zu hoch angesetzt um im Zweifel keinen Ärger mit der Aufsicht zu bekommen. Kritische oder wichtige Funktion ist im übrigen in der DORA wie folgt definiert:
Das sehen Sie für Ihre IKT-Dienstleistung nicht gegeben? Sprechen Sie mit dem Kunden.
Auch sehen wir bei unseren Kunden immer wieder Zusatzvereinbarungen, die zu generisch gehalten sind, weil dieses eine Dokument an alle IKT-Dienstleister geschickt werden soll. Dadurch können ausufernde Inhalte erdrückend wirken. Allerdings kann die Umsetzung, gerade wenn sie NICHT als in Zusammenhang mit kritischen oder wichtigen Funktionen gesehen werden, sehr pragmatisch sein. Hier kann ebenfalls ein gut vorbereitetes Gespräch mit dem Kunden helfen, um ausufernd klingenden Anforderungen einzufangen und zu konkretisieren.
Nun, die BaFin hat zwar vorgegeben WAS geregelt sein muss. Aber nicht das WIE. Das bedeutet jedes Finanzunternehmen wird zusammen mit dem Einkauf, der Rechtsabteilung und der Informationssicherheit eine eigene Version dieser Zusatzvereinbarung (oder dem Fragebogen) erstellen. Prüfen Sie also jedes Mal das gesamte Dokument, so manch ein Finanzunternehmen hat da ganz eigene Ideen, was die Umsetzung so einiger Punkte angeht.
Ihnen werden in der Regel folgende Mindestvertragsinhalte abverlangt:
Unserer Erfahrung zeigt, dass die größten Schmerzen häufig mit der Definition der SLAs einhergeht. Insbesondere dadurch, dass sich Ihr Kunde auch sehr wahrscheinlich die Erfüllung der SLAs (in der Regel definiert als KPI) berichten lassen möchte. Schauen Sie vorab, welche KPIs klug gewählt sind und versuchen sie die Frequenz der Berichte überschaubar halten. Eine konkrete Vorgabe ob monatlich, vierteljährlich oder jährliches Reporting gibt es in der DORA nicht. Dennoch versuchen viele Finanzunternehmen eine recht enge Berichtsfrequenz vertraglich zu fixieren. Am Ende muss die Häufigkeit und die Wahl der KPIs/SLAs dem Gesamtrisiko, dass aus Ihrer IKT-Dienstleistung erwächst entsprechen.
Ja, das Finanzunternehmen muss verankern, dass es das Recht hat einen Vertrag mit einem IKT-Dienstleister unter bestimmten Umständen zu kündigen. Dies gilt aber nur, wenn der IKT-Dienstleister gegen Gesetze oder Verträge verstößt, wenn maßgebliche Änderungen eintreten oder eine Behörde den IKT-Dienstleister nicht entsprechend beaufsichtigen kann. Gravierend ist: Es gilt ein Kündigungsrecht, wenn das Finanzunternehmen Nachweise für die Unwirksamkeit des Informationssicherheits- & IKT-Risikomanagements des IKT-Dienstleisters hat. Im Wortlaut (Artikel 28 Absatz 7 lit.c):
Wir stellen vermehrt fest, dass gerade mit den Prozessen um ISMS und Risikomanagement viele IKT-Dienstleister hadern.
Dabei kann ein geeignetes Informationssicherheitsmanagement bereits die meisten Punkte der Anforderungen abdecken. Was viele nicht wissen, es ist ein Prozess. Es dürfen Unvollkommenheiten herrschen, Dinge korrigiert werden oder auch Risiken akzeptiert werden. Aber genau das macht ein Informationssicherheitsmanagement aus. Und das wollen Ihre Kunden aus dem Finanzsektor sehen. Fachleute, die sich mit Informationssicherheit auskennen, können die Prozesse rund um Informationssicherheit und IKT-Risikomanagement und die Kommunikation mit Ihrem Kunden übernehmen und Fragebögen bearbeitet, während Sie sich weiter um das Geschäft kümmern. Falls Sie keine eigenen Ressourcen dafür schaffen können, unterstützen wir sie gerne: