Seit dem 17. Januar 2025 ist die DORA-Verordnung in Kraft, die europäische Finanzunternehmen wie Banken, Versicherungen und Wertpapierfirmen verpflichtet, erhöhte Sicherheitsmaßnahmen zu ergreifen. Doch auch deren IT-Dienstleister müssen nun den Anforderungen dieser Verordnung gerecht werden, um die digitale Resilienz sicherzustellen. Es geht darum, die Funktionsfähigkeit der Finanzunternehmen zu gewährleisten, indem die Dienstleister ein vergleichbares Niveau der digitalen Sicherheit einhalten.

Laut der DORA-Verordnung zählen IT-Dienstleister zu Unternehmen, die digitale und Datendienste über IKT-Systeme bereitstellen, einschließlich Hardware als Dienstleistung. So fallen nahezu alle Dienstleistungen, die die regelmäßige digitale Verarbeitung von Daten im Zusammenhang mit Hardware und Software betreffen, unter diese Verordnung.

Die Anforderungen an die IT-Dienstleister werden von den jeweiligen Finanzunternehmen bestimmt, die entsprechende Verträge mit ihren Dienstleistern schließen müssen. Diese Verträge müssen unter anderem Regeln zu Themen wie Unterauftragsvergabe, Standort der Dienstleistungserbringung, Umgang mit IT-Vorfällen und Informationssicherheit enthalten. Der Umfang der Anforderungen variiert je nach Dienstleistung und damit verbundenem Risiko. Besonders der Schutzbedarf der verarbeiteten Daten und die Kategorisierung der Dienstleistung als „kritische oder wichtige Funktion“ sind entscheidend.

Die größte Herausforderung für IT-Dienstleister wird voraussichtlich die Umsetzung von Standards im Bereich der Informationssicherheit und Geschäftsfortführung sein. Finanzunternehmen werden in der Regel die Einhaltung etablierter Standards wie ISO 27001 (Informationssicherheit) und ISO 22301 (Geschäftsfortführung) von ihren Dienstleistern verlangen. Auch Vorgaben für IT-Sicherheit wie automatisiertes Schwachstellenmanagement oder Penetrationstests könnten zur Pflicht werden. In diesem Kontext sollten IT-Dienstleister entweder diese Standards umsetzen oder mit den Finanzunternehmen eine frühzeitige Abstimmung treffen, falls andere Standards gewünscht sind.

Ein weiterer wichtiger Aspekt ist, dass die IT-Dienstleister sicherstellen müssen, dass ihre Sub-Dienstleister ebenfalls die gleichen Sicherheitsstandards erfüllen. In diesem Fall könnte es notwendig werden, zusätzliche Aufwände zur Koordination und Überprüfung der Sub-Dienstleister einzuplanen.

Die DORA-Verordnung verpflichtet die Finanzunternehmen zudem, bei Sicherheitslücken oder Schwächen in den IKT-Diensten von Drittanbietern entsprechende Kündigungsrechte zu vereinbaren. Besonders kritische IKT-Dienstleister, die für viele Finanzunternehmen tätig sind, werden durch Aufsichtsbehörden streng überwacht.

Die Anforderungen werden sich voraussichtlich auch weiterentwickeln, und es ist mit weiteren Regulierungsstandards zu rechnen, die zu zusätzlichen Aufwänden für die IT-Dienstleister führen könnten. Diese sollten sich daher darauf vorbereiten, neue Anforderungen zu erfüllen und gegebenenfalls nachzuverhandeln.

Für die IT-Dienstleister, die diese Anforderungen nicht umsetzen können, könnte dies zu einem Wettbewerbsnachteil führen, da Finanzunternehmen zunehmend spezialisierte Dienstleister bevorzugen werden, die ein hohes Sicherheitsniveau bieten.