Alles Legal #101: Was DORA beim IT-Einkauf verlangt

Shownotes

Finanzunternehmen, die mit externen IT-Dienstleistern arbeiten, müssen sich auf umfassende neue Regelungen einstellen. Der Digital Operational Resilience Act (DORA) bringt klare Anforderungen an Auswahl, Bewertung und Überwachung von Drittanbietern. Und das betrifft nicht nur Cloud-Anbieter oder Entwickler, sondern auch Telekommunikationsdienste und andere digitale Services.

Juristin Josefine Spengler von Annerton erklärt im Podcast, was genau unter IKT-Drittparteien fällt und wie man als Unternehmen den Überblick behält. Denn der Katalog der betroffenen Dienstleistungen ist breit – von Projektmanagement über Datenhosting bis zur Hardware-Bereitstellung. Eine Risikoanalyse hilft dabei, diese Dienstleistungen korrekt einzuordnen.

DORA: Auch Verträge mit großen Tech-Anbietern müssen überprüft werden Auch vertraglich gibt es klare Vorgaben. Je nachdem, ob eine Dienstleistung als „kritisch wichtig“ oder nicht eingestuft wird, gelten unterschiedliche Mindestinhalte. Das betrifft unter anderem Regelungen zu Datenschutz, Auditrechten, Exit-Strategien oder Notfallplänen. Selbst bestehende Verträge müssen jetzt überprüft und angepasst werden.

Dabei reicht es nicht, die Verantwortung an die Rechtsabteilung zu delegieren. Die Umsetzung der DORA-Vorgaben erfordert eine enge Zusammenarbeit aller relevanten Abteilungen. Wer mit großen Tech-Anbietern wie Hyperscalern zusammenarbeitet, steht unterdessen jetzt vor schwierigen Verhandlungen.

Spengler rät zu einer realistischen Einschätzung der Risiken und zur internen Absicherung durch zusätzliche Maßnahmen. Perfekte Verträge erwartet die Aufsicht nicht – wohl aber nachvollziehbare, dokumentierte Fortschritte. Wie eine erste pragmatische Bestandsaufnahme aussehen kann und wie man gezielt priorisiert, verrät sie im Gespräch mit Payment & Banking.

🎧 Jetzt in die Folge reinhören – und erfahren, wie man mit Struktur und Augenmaß den Überblick im DORA-Dschungel behält.