Die neue DORA-Verordnung (Digital Operational Resilience Act) bringt wesentliche Änderungen für Finanzunternehmen mit sich. Besonders betroffen sind die Bereiche IT-Governance und das Management von Drittanbietern, insbesondere Cloud-Dienstleistern.
In der Präsenzsitzung der VAB-Arbeitsgruppe IT- und Informationssicherheit am 9. Oktober 2024 hielt Dr. Markus Escher, Rechtsanwalt und Partner bei GSK Stockmann, einen Vortrag über die Anforderungen nach der DORA-Verordnung zu Drittdienstleistern im Konzern. Dabei beleuchtete er insbesondere folgende Punkte:
- – Merkmale und Vorliegen einer IKT-Drittdienstleistung
- – Problematik bei gruppeninterner IKT-Drittdienstleistung
- – Betrachtung des Bezugs von IKT-Dienstleistungen unter DORA von Muttergesellschaft oder anderen Konzerneinheiten im In- und Ausland
- – Komplexität aufgrund der Regulierung durch den DORA RTS zu Subdienstleistern und den IST Informationsregister
- – Identifikation und Anforderungen an kritische oder wichtige Funktionen eines Instituts nach DORA
- – (obligatorische) Vertragsinhalte mit IKT-Drittdienstleistern