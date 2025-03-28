DORA legt technische Anforderungen für Finanzunternehmen und IKT-Anbieter in vier Bereichen fest:

IKT-Risikomanagement und -Governance

Reaktion auf Vorfälle und Berichterstellung

Testen der digitalen operationellen Resilienz

Risikomanagement anderer Anbieter

Ein fünfter Bereich umfasst den Informationsaustausch, der im Gegensatz zu den anderen vier Bereichen zwar empfohlen, aber nicht zwingend vorgeschrieben ist.

Von Finanzunternehmen, die in den Geltungsbereich von DORA fallen, wird erwartet, dass sie eine aktive Rolle beim Management von IKT-Drittanbieterrisiken übernehmen. Bei der Auslagerung kritischer und wichtiger Funktionen sollen Finanzinstitute spezielle vertragliche Vereinbarungen aushandeln, die unter anderem Ausstiegsstrategien, Prüfungen und Leistungsziele für Datenzugänglichkeit, Integrität und Sicherheit betreffen. Unternehmen dürfen keine Verträge mit IKT-Anbietern, die diese Anforderungen nicht erfüllen können, abschließen. Die EZB und die national zuständigen Behörden sind befugt, Verträge, die nicht den Vorschriften entsprechen, auszusetzen oder zu kündigen. Die Europäische Kommission prüft derzeit die Möglichkeit, standardisierte Vertragsklauseln zu entwerfen, mit denen Unternehmen und IKT-Anbieter sicherstellen können, dass ihre Vereinbarungen DORA-konform sind.

Finanzunternehmen müssen auch ihre IKT-Abhängigkeiten von Drittanbietern abbilden und sicherstellen, dass sich ihre kritischen und wichtigen Funktionen nicht zu stark auf einen einzelnen Anbieter oder eine kleine Gruppe von Anbietern konzentrieren.

Kritische IKT-Drittanbieter unterliegen der direkten Aufsicht der zuständigen ESAs. Die Europäische Kommission arbeitet die Kriterien zur Bestimmung der kritischen Anbieter noch aus. Kritischen Anbietern wird eine der ESAs als führende Aufsichtsstelle zugewiesen. Neben der Durchsetzung der DORA-Anforderungen bei kritischen Anbietern sind die leitenden Aufsichtspersonen befugt, Anbietern den Abschluss von Verträgen mit Finanzunternehmen oder anderen IKT-Anbietern zu untersagen, die die DORA-Anforderungen nicht erfüllen.