DORAs Verpflichtungen für ICT-Anbieter
Das EU-Gesetz über digitale operationale Resilienz (DORA), das im Januar 2025 in Kraft tritt, verlangt von Finanzinstituten — Banken, Versicherungsunternehmen, Investmentgesellschaften, Zahlungsdienstleistern — die Implementierung strenger Programme zum Risikomanagement von ICT-Drittanbietern. Wichtige Anforderungen:
Verpflichtende vertragliche Bestimmungen (Artikel 30): DORA legt verpflichtende Klauseln für Verträge mit ICT-Drittanbietern fest, einschließlich Bestimmungen für vollen Zugang, Inspektions- und Prüfungsrechte; Fristen für die Vorfallbenachrichtigung; Ausstiegsstrategien; und Leistungsstandards.
Jährliche Bewertungen (Artikel 28): Finanzinstitute müssen eine Sorgfaltspflicht für alle wesentlichen ICT-Drittanbieter mindestens jährlich durchführen. "Wesentlich" ist weit gefasst — jeder ICT-Anbieter, dessen Störung die Abläufe erheblich beeinträchtigen würde, einschließlich Anonymisierungstools, die in Compliance-Workflows verwendet werden.
Register für ICT-Drittanbieter (Artikel 28(3)): Finanzinstitute müssen ein Register aller wesentlichen ICT-Drittanbietervereinbarungen führen und aktualisieren, einschließlich Sicherheitsdokumentation.
Die Verwaltung jährlicher Neubewertungen von Dutzenden von ICT-Anbietern ist betrieblich kostspielig. Die typische Schätzung für eine unstrukturierte individuelle Bewertung: 40–80 Stunden pro Anbieter und Jahr. Für eine niederländische Bank mit 50 wesentlichen ICT-Anbietern entsprechen die jährlichen Bewertungen 2.000–4.000 Stunden Compliance-Team-Zeit — das entspricht ein bis zwei Vollzeitmitarbeitern, die ausschließlich der Anbieterbewertung gewidmet sind.
Die ISO 27001-Jahresbewertung-Abkürzung
Der Wert der ISO 27001-Zertifizierung für die DORA-Compliance liegt in ihrer jährlichen Überwachungsstruktur. Die Zertifizierungsstelle führt jährlich Überwachungsaudits und alle drei Jahre Rezertifizierungsaudits durch. Die Zertifizierung bleibt gültig, solange die Überwachungsaudits die fortlaufende Compliance bestätigen. Das Zertifikat selbst hat ein Ablaufdatum.
Für die jährliche Bewertungsverpflichtung von DORA kann ein Finanzinstitut den Standard "durchgeführte Sorgfaltspflicht" erfüllen, indem es das aktuelle ISO 27001-Zertifikat des Anbieters jährlich abruft und dessen Gültigkeit überprüft. Das Zertifikat zeigt, dass eine unabhängige Prüfungsstelle die 93 Sicherheitskontrollen des Anbieters im vergangenen Jahr bewertet hat. Diese Nachweise sind im Register für ICT-Drittanbieter dokumentiert.
Eine niederländische Bank, die DORA unterliegt, kann einen ISO 27001-zertifizierten Anonymisierungsanbieter bewerten, indem sie die Gültigkeit des Zertifikats überprüft — was Stunden statt Wochen in Anspruch nimmt. Die Bank spart 60 Stunden Bewertungszeit pro Anbieter und Jahr. Bei 20 ISO 27001-zertifizierten Anbietern in ihrem Register entspricht die jährliche Einsparung 1.200 Stunden — genug, um erhebliche Compliance-Ressourcen neu zuzuweisen.
DORAs Relevanz für Datenschutz-Tools
Datenschutz- und Anonymisierungstools sind ICT-Anbieter im Rahmen von DORAs Geltungsbereich für Finanzinstitute, die sie zur Verarbeitung von Kundendaten, zur Einhaltung der DSGVO, zur Vorbereitung von regulatorischen Einreichungen oder zur Handhabung von KYC-Dokumentationen verwenden. Ein Anonymisierungstool, das Kundendaten verarbeitet, ist ein wesentlicher ICT-Anbieter, wenn seine Störung die Institution daran hindern würde, die Anforderungen an die Datenminimierung gemäß der DSGVO einzuhalten oder DSGVO-konforme regulatorische Einreichungen zu erstellen.
Quellen: