Was DORA verlangt
DORA trat im Januar 2025 als EU-Recht in Kraft. Banken, Versicherer, Investmentfirmen und Zahlungsdienstleister müssen nun das Risiko durch jeden Technologieanbieter, den sie nutzen, aktiv steuern. Drei Regeln sind dabei besonders wichtig.
Pflichtklauseln im Vertrag (Artikel 30). Jeder Vertrag mit einem Technologieanbieter muss vier Punkte abdecken: Prüfrechte, Fristen für Störungsmeldungen, Ausstiegsszenarien und Leistungsziele. Diese Klauseln sind nicht optional.
Jährliche Prüfungen (Artikel 28). Unternehmen müssen jeden wesentlichen Anbieter mindestens einmal im Jahr überprüfen. Ein Anbieter gilt als „wesentlich", wenn sein Ausfall den normalen Betrieb unterbrechen würde. Anonymisierungstools, die in Compliance-Prozessen eingesetzt werden, fallen in diese Kategorie.
Anbieterliste (Artikel 28(3)). Unternehmen müssen eine aktuelle Liste aller wesentlichen Drittanbieterverträge führen. Die Liste muss für jeden Eintrag Sicherheitsnachweise enthalten.
Jährliche Prüfungen für Dutzende von Anbietern sind zeitaufwendig. Eine individuelle Prüfung — von Grund auf neu — dauert schätzungsweise 40–80 Stunden pro Anbieter. Eine niederländische Bank mit 50 wesentlichen Anbietern sieht sich jährlich bis zu 4.000 Stunden Prüfarbeit gegenüber. Das entspricht zwei Vollzeitkräften, die sich ausschließlich mit Anbieterprüfungen beschäftigen.
ISO 27001 reduziert den Prüfaufwand
Die ISO 27001-Zertifizierung bietet Unternehmen einen schnelleren Weg durch die jährliche Prüfpflicht von DORA. Die Zertifizierungsstelle führt jedes Jahr ein Überwachungsaudit durch. Alle drei Jahre findet ein vollständiges Rezertifizierungsaudit statt. Das Zertifikat hat ein Ablaufdatum. Es bleibt nur gültig, solange die jährlichen Prüfungen bestanden werden.
Gemäß der jährlichen Prüfpflicht von DORA kann ein Unternehmen einmal im Jahr das aktuelle ISO 27001-Zertifikat des Anbieters einholen und das Datum überprüfen. Ein gültiges Datum bedeutet, dass eine unabhängige Prüfstelle die 93 Sicherheitsmaßnahmen des Anbieters in den vergangenen zwölf Monaten kontrolliert hat. Das Unternehmen trägt dies in die Anbieterliste ein. Die Prüfung ist abgeschlossen.
Der Zeitgewinn ist erheblich. Eine niederländische Bank, die ein zertifiziertes Anonymisierungstool prüft, benötigt nur wenige Stunden für die Überprüfung. Dieselbe Prüfung von Grund auf dauert Wochen. Bei 20 zertifizierten Drittanbietern kann die jährliche Einsparung bis zu 1.200 Stunden betragen. Diese Zeit kann für andere Aufgaben genutzt werden.
Warum Datenschutz-Tools in den Geltungsbereich fallen
Datenschutz- und Anonymisierungstools fallen unter DORA, wenn ein Unternehmen sie zur Verarbeitung von Kundendaten, zur Einhaltung der DSGVO oder zur Bearbeitung von KYC-Dokumenten einsetzt. Wenn das Tool ausfällt und das Unternehmen keine DSGVO-konforme Ausgabe erzeugen kann, ist es ein wesentlicher Drittanbieter unter DORA. Es muss jedes Jahr geprüft werden.
Unser DSGVO-Compliance-Leitfaden erläutert die Regeln zur Datensparsamkeit. Siehe auch ISO 27001 nachgelagerte Compliance-Vorteile und ISO 27001 Anbieterprüfungs-Shortcuts für weitere Informationen dazu, wie Zertifizierung den Compliance-Aufwand senkt.