LinkedIn Icon
Das Magazin als PDF - Hier klicken
Jetzt Newsletter abonnieren

Schritt für Schritt Die Dora-Checkliste für Vermögensverwalter

Seit Januar gilt die Dora-Verordnung, von der auch Vermögensverwalter betroffen sind. Daniel Widmann und Florian Elsinghorst von der Kanzlei Pinsent Masons haben eine Checkliste für Vermögensverwalter zusammengestellt, mit der sie überprüfen können, ob sie Dora richtig umsetzen.  

, in  Regulierung // Lesedauer: 9 Minuten

Daniel Widmann und Florian Elsinghorst (links): Die beiden Rechtsanwälte haben eine Dora-Checkliste für Vermögensverwalter zusammengestellt.

Daniel Widmann und Florian Elsinghorst (rechts): Die beiden Rechtsanwälte haben eine Dora-Checkliste für Vermögensverwalter zusammengestellt. Foto: Pinsent Masons

Die Dora-Verordnung – Dora steht für Digital Operational Resilience Act – ist seit dem 17. Januar 2025 anwendbar – ab diesem Zeitpunkt sind die Anforderungen der Dora von allen Finanzunternehmen zu erfüllen. Die meisten Finanzunternehmen befinden sich noch mitten in der aufwendigen Umsetzung der Dora-Anforderungen. In einer Checkliste skizzieren wir die wichtigsten Regelungsbereiche, die Vermögensverwalter bei der Umsetzung der Dora berücksichtigen sollten, und geben wertvolle Praxitipps.

Als umfassende, finanzsektorübergreifende europäische Regulierung für die Themen digitale operationale Resilienz, IKT-Risiken und Cybersicherheit, bedeutet Dora einen hohen Umsetzungsaufwand für die betroffenen Finanzunternehmen.

Vermögensverwalter werden, wie auch andere Finanzunternehmen, bei ihren Umsetzungsstrategien priorisieren müssen. Sonst droht die Gefahr, sich bei der Umsetzung in Detailfragen zu verlieren. Die zentralen Bestandteile der Dora – also rechtskonforme Governanceregelungen, robuste IKT-Risikomanagementsysteme, ein gut gemanagtes IKT-Drittparteienrisiko – erfordern ein weitsichtiges Projektmanagement, das stets die übergeordneten Zusammenhänge im Blick behält. 

Bei ihren Dora-Umsetzungsprojekten sollten Vermögensverwalter stets die Verhältnismäßigkeit der Maßnahmen berücksichtigen, so dass die Umsetzung der Dora zur Größe und zum Gesamtrisikoprofil des jeweiligen Unternehmens passt.

Die nachfolgende Checkliste soll einen ersten Überblick über die wichtigsten Anforderungen der Dora für Vermögensverwalter geben, bei der Überwachung der Dora-Anforderungen helfen und bei der Dora-Umsetzung unterstützen:

A. IKT-Risikomanagement (Artikel 5 bis 16 der Dora)
 

1. Erstellung eines IKT-spezifischen, internen Governance- und Kontrollrahmens (u.a. DOR-Strategie, weitere Strategien, Leit- und Richtlinien, Verfahren sowie IKT-Protokolle und -Tools)

Praxistipp: Der IKT-spezifischen Governance- und Kontrollrahmen sollte von Anfang an als Teil der (Gesamt-)Governance des Unternehmens gedacht, entworfen und dokumentiert werden.

  1. Identifizierung aller IKT-Drittdienstleistungen

    Praxistipp: Einführung eines Sourcing-Management-System, damit der Abschluss beziehungsweise die Erneuerung von Verträgen mit IKT-Drittdienstleistern (siehe hierzu unten Management des IKT-Drittparteienrisikos) von allen Abteilungen beachtet und dokumentiert wird.

  2. Einordnung und Bewertung der IKT-Drittdienstleistungen als „kritische oder wichtige Funktionen“ (kwF)

    Praxistipps: Es handelt sich bei der jeweiligen IKT-Dienstleistung um eine „kritische oder wichtige Funktion“ (Artikel 3, Nummer 22 der Dora), wenn eine der folgenden vier Fragen mit ja beantwortet werden kann:

    1. Würde ein Ausfall der Funktion die finanzielle Leistungsfähigkeit des Finanzunternehmens erheblich beinträchtigen?
    2. Würde ein Ausfall der Funktion die Solidität oder Fortführung der Geschäftstätigkeiten und Dienstleistungen des Finanzunternehmens erheblich beeinträchtigen?
    3. Würde die unterbrochene, fehlerhafte oder unterbliebene Leistung der Funktion die fortdauernde Einhaltung der Zulassungsbedingungen und -verpflichtungen des Finanzunternehmens erheblich beeinträchtigen?
    4. Würde die unterbrochene, fehlerhafte oder unterbliebene Leistung der Funktion die fortdauernde Einhaltung der sonstigen Verpflichtungen des Finanzunternehmens nach dem anwendbaren Finanzdienstleistungsrecht erheblich beeinträchtigen?

  3. Erarbeitung von Gegenmaßnahmen und Maßnahmen zur Wiederherstellung der Funktion der IKT-Drittdienstleistungen bei Ausfall

2. Schulung und Sensibilisierung von Mitarbeitern

Praxistipp: Die Bedeutung von Dora muss allen Fachbereichen bekannt sein. Dora-relevante Dienstleistungen werden in der Regel nicht ausschließlich über den Fachbereich IT unter Einbeziehung von Legal eingekauft, sondern gegebenenfalls auch über HR oder Finance.

B. Management des IKT-Drittparteienrisikos (Artikel 1, 5 und Artikel 28 bis 30 der Dora)

1. Erstellung eines IKT-Drittparteienrisikomanagements

Praxistipp: Die sektorspezifischen Auslagerungsanforderungen sind bis auf Weiteres zu beachten, sie bestehen parallel und komplementär zur Dora. Eine Harmonisierung der Anforderungen an das IKT-Drittparteienrisikomanagement unter Dora und der sektoralen Anforderungen an Auslagerungen wird von der Bafin „aufsichtsseitig“ angestrebt – dies ist allerdings noch nicht erfolgt.

  1. Ermittlung der Abhängigkeit vom jeweiligen IKT-Drittdienstleister
     
  2. Ermittlung der potenziellen Risiken aus Vertragsbeziehung mit IKT-Drittdienstleister

2. Anpassungen von Bestands- und Neuverträgen mit IKT-Drittanbietern

Praxistipp: Die Bafin hat Umsetzungshinweise veröffentlicht, die auch eine Übersicht der Mindestvertragsinhalte, die beaufsichtigten Unternehmen mit IKT-Drittdienstleistern vereinbaren müssen, enthalten.

  1. Erstellung eines Templates für Dora-Vertragsanpassungen

    Praxistipp: In der Praxis hat sich gezeigt, dass es sinnvoller ist, einen Dora-Anpassungsvertrag zu erstellen, als bestehende Vertragswerke wie beispielsweise AGBs punktuell anzupassen, um auf diese Weise eine Dora-Konformität zu erreichen.

  2. Verhandlung und Vornahme der notwendige Dora-Vertragsanpassungen mit IKT-Drittdienstleistern

    Praxistipps: Da verschiedenste Fachbereiche Verträge verhandeln beziehungsweise abschließen und damit einkaufen oder beschaffen, die als IKT-Drittdienstleistungen zu qualifizieren sind, sollte zum Beispiel mit einem Sourcing-Management-System sichergestellt werden, dass die Dora-Anforderungen bei Vertragsabschlüssen beziehungsweise -verhandlungen berücksichtigt werden.

    Ausreichende Vorlaufzeit sollte für Vertragsverhandlungen mit IKT-Drittdienstleistern eingeplant werden. Teilweise sind den IT-Dienstleistern die Dora-Anforderungen nicht bekannt, so dass vor Verhandlung zunächst Aufklärung betrieben werden muss.

C.    Meldepflichten und Informationsregister (Artikel 28, Absatz 3 der Dora)

1. Dokumentation aller vertraglichen Vereinbarungen mit IKT-Drittdienstleistern 

Praxistipp: Finanzunternehmen müssen sich bei der Erstellung der Informationsregister an den Vorgaben der Europäischen Aufsichtsbehörden (ESAs) orientieren. Mit der Umsetzung des Informationsregister sollte frühzeitig begonnen werden. Insbesondere hat sich gezeigt, dass viele der benötigten Informationen bei Finanzunternehmen nicht vorliegen, sondern von den IKT-Drittdienstleistern zur Verfügung gestellt werden müssen. 

2. Identifizierung aller IKT-Drittdienstleister anhand LEI-Nummer oder EU-ID

3. Einordnung aller IKT-Drittdienstleister entsprechend den Kategorien des Informationsregisters

4. Nur für kritische oder wichtige Funktionen: Auflistung sämtlicher Unterauftragnehmer im Zusammenhang mit der IKT-Drittdienstleistung

5. Jährlicher Bericht an die zuständige Behörde

Praxistipp: Die (technische) Anforderung – beispielsweise zum Strukturdatensatz – sollten frühzeitig verstanden und die technischen Rahmenbedingungen geschaffen werden, um die Berichtspflicht fristgerecht erfüllen zu können. Die Übermittlung der Register an die Bafin erfolgt über die Melde- und Veröffentlichungsplattform MVP der Bafin. Hierfür muss jedes Finanzunternehmen seine vorgesehenen Melderinnen und Melder für das Fachverfahren „Digital Operational Resilience Act (Dora)“ freischalten lassen.

6. Nur für kritische oder wichtige Funktionen: Meldung von beabsichtigten vertraglichen Vereinbarungen

Praxistipp: Finanzunternehmen müssen die Bafin „zeitnah“ über jede geplante vertragliche Vereinbarung über die Nutzung von IKT-Dienstleistungen zur Unterstützung von kwF sowie in dem Fall, dass eine Funktion kritisch oder wichtig geworden ist, informieren. Hierfür soll das bekannte MVP-Fachverfahren „Anzeige von Auslagerungen“ angepasst werden.

D. Behandlung, Klassifizierung und Berichterstattung IKT-bezogener Vorfälle (Artikel 17 bis 24 Dora)

1. Überwachung, Protokollierung und ggf. Meldung von IKT-bezogenen Vorfällen

Praxistipp: Sämtliche IKT-bezogenen Vorfälle müssen von Finanzunternehmen gemäß den in Artikel 18 der Dora genannten Kriterien klassifiziert werden. Wird ein Vorfall als schwerwiegend klassifiziert, so unterliegt er der Meldepflicht. Die Meldepflicht besteht insbesondere auch für schwerwiegende zahlungsbezogene Betrieb- und Sicherheitsvorfälle. Hierunter fallen Vorfälle, die sich negativ auf die Bereitstellung von zahlungsbezogenen Diensten auswirken.

2. Klassifizierung und Bewertung des IKT-bezogenen Vorfalls

Praxistipp: Die von der EU-Kommission veröffentlichten technischen Regulierungsstandards (RTS) zu Kriterien für die Klassifizierung von IKT-bezogenen Vorfällen legen das Verfahren fest.

3. Meldung an Bafin über schwerwiegende IKT-bezogene Vorfälle innerhalb der Meldefristen (Erstmeldung, Zwischenmeldung, Abschlussbericht)

Praxistipps: Der aktuelle Entwurf der RTS zum Meldewesen schwerwiegender IKT-bezogene Vorfälle sieht folgende Meldefristen vor:

  • Erstmeldung: 4 Stunden nachdem der IKT-bezogener Vorfall als schwerwiegend klassifiziert wurde und spätestens 24 Stunden nachdem der IKT-Vorfall erkannt wurde.
  • Zwischenmeldung: 72 Stunden nachdem der IKT-bezogener Vorfall als schwerwiegend klassifiziert wurde.
  • Abschlussbericht: 1 Monat nachdem der IKT-bezogener Vorfall als schwerwiegend klassifiziert wurde

Um die knappen Meldefristen einzuhalten, muss der Meldeprozess analysiert und verstanden sowie erprobt und die Zuständigkeiten klar zugeteilt sein, um bei einem „richtigen“ IKT-bezogenen Vorfall entsprechend schnell handeln zu können. 

Die Beschreibung des Vorfalls in der Erstmeldung an die Bafin soll die folgenden Fragen beantworten:

  • Was ist passiert?
  • Welche Services sind betroffen?
  • Welche Auswirkungen hat der Vorfall auf Kundinnen und Kunden, Gegenparteien oder andere Finanzmarktakteure?
  • Dauert der Vorfall noch an und falls ja, wie lange wird er vorrausichtlich noch andauern?
  • Liegt dem Vorfall vermutlich eine böswillige Handlung zugrunde?
  • Wie gravierend ist der Vorfall aus Sicht des Finanzinstituts zum Zeitpunkt der Meldungsabgabe? Einschätzung des Schweregrades: sehr niedrig, niedrig, mittel, hoch, sehr hoch
  • Sind nachhaltige Auswirkungen auf das Finanzunternehmen, seine Kundschaft oder gar den Finanzmarkt zu erwarten – oder sind diese bereits sichtbar?
  • Ist es wahrscheinlich, dass andere Finanzunternehmen von diesem Vorfall betroffen sind?

E. Testen der digitalen operationalen Resilienz einschließlich Threat-led Penetration Testing (TLPT) (Artikel 24 bis 27 Dora)

1. Etablierung eines risikobasierten, proportionalen Testprogramms

Praxistipp: Nach Ansicht der Bafin soll ein solches Testprogramm zum Beispiel Open-Source-Software analysieren, die Netzsicherheit und die physische Sicherheit in den Finanzunternehmen prüfen sowie Gap-Analysen, szenariobasierte Tests, Kompatibilitätstests oder Penetrationstests umfassen.

2. TLPT

Praxistipp: Die erweiterten Tests auf Basis von TLPT gelten nur für eine kleine Anzahl an Finanzunternehmen, die von der Bafin durch einen Identifikationsbescheid über ihre Verpflichtung zur Durchführung eines TLPT informiert werden. Die Kriterien sind in Artikel 26 Abschnitt 8 Unterabschnitt 3 der Dora beschrieben und werden in dem technischen Regulierungsstandard (RTS) zu TLPT spezifiziert.

Über die Gastautoren:

Florian Elsinghorst ist Rechtsanwalt bei Pinsent Masons. Er berät Mandanten zu regulatorischen sowie zu gesellschafts- und handelsrechtlichen Fragen. Elsinghorst ist spezialisiert auf regulierte Industrien, insbesondere auf den Energie- und Versicherungssektor. Er arbeitete zuvor bei Heuking Kühn Lüer Wojtek.

Daniel Widmann ist Rechtsanwalt bei Pinsent Masons. Widmann ist spezialisiert auf Digitalisierungsprojekte, Cloud- und komplexe DSGVO-Themen, sowie Online-Marketing. Er arbeitet seit 2016 bei Pinsent Masons.

Wie hat Ihnen der Artikel gefallen?
Danke für Ihre Bewertung
Leser bewerteten diesen Artikel durchschnittlich mit 0 Sternen
Senden Sie hier vertraulich Hinweise oder Fragen an die Redaktion
Lesen Sie auch