|

|

Reading Time 2 Min

Was DORA beim IT-Einkauf verlangt

Josefine Spengler erklärt DORA-Anforderungen ans Risikomanagement

Josefine Spengler von Annerton erklärt in der neuen Folge von „Alles Legal – Fintech-Recht kompakt“, Welche Anforderungen DORA an Finanzunternehmen beim Einkauf von IT-Dienstleistungen stellt. Warum der Begriff IKT-Drittparteien weit gefasst ist, welche Vertragsinhalte nun Pflicht sind – und wie man trotz Komplexität pragmatisch ins Handeln kommt.

Finanzunternehmen, die mit externen IT-Dienstleistern arbeiten, müssen sich auf umfassende neue Regelungen einstellen. Der Digital Operational Resilience Act (DORA) bringt klare Anforderungen an Auswahl, Bewertung und Überwachung von Drittanbietern. Und das betrifft nicht nur Cloud-Anbieter oder Entwickler, sondern auch Telekommunikationsdienste und andere digitale Services.

Rechtsanwältin und Fachanwältin für IT-RechtJosefine Spengler von Annerton erklärt im Podcast, was genau unter den Begriff der “IKT-Drittparteien” fällt und wie man als Unternehmen den Überblick behält. Denn der Katalog der betroffenen Dienstleistungen ist breit – von Projektmanagement über Datenhosting bis zur Hardware-Bereitstellung. Eine Risikoanalyse hilft dabei, diese Dienstleistungen korrekt einzuordnen.

DORA: Auch Verträge mit großen Tech-Anbietern müssen überprüft werden

Auch vertraglich gibt es klare Vorgaben. Je nachdem, ob eine Dienstleistung als „kritisch wichtig“ oder nicht eingestuft wird, gelten unterschiedliche Mindestinhalte. Das betrifft unter anderem Regelungen zu Datenschutz, Auditrechten, Exit-Strategien oder Notfallplänen. Selbst bestehende Verträge müssen jetzt überprüft und angepasst werden.

Dabei reicht es nicht, die Verantwortung an die Rechtsabteilung zu delegieren. Die Umsetzung der DORA-Vorgaben erfordert eine enge Zusammenarbeit aller relevanten Abteilungen. Wer mit großen Tech-Anbietern wie Hyperscalern zusammenarbeitet, steht unterdessen jetzt vor schwierigen Verhandlungen. 

Josefine Spengler rät zu einer realistischen Einschätzung der Risiken und zur internen Absicherung durch zusätzliche Maßnahmen. Perfekte Verträge erwartet die Aufsicht nicht – wohl aber nachvollziehbare, dokumentierte Fortschritte. Wie eine erste pragmatische Bestandsaufnahme aussehen kann und wie man gezielt priorisiert, verrät sie im Gespräch mit Payment & Banking.

🎧 Jetzt in die Folge reinhören – und erfahren, wie man mit Struktur und Augenmaß den Überblick im DORA-Dschungel behält.

Autor

  • Dana hat an der Universität Greifswald Betriebswirtschaftslehre studiert und war fast zwei Jahrzehnte lang als Marketingleiterin bei der TOP Sportmarketing Berlin GmbH tätig. Dort spielte sie eine Schlüsselrolle in der Öffentlichkeitsarbeit für den Olympiastützpunkt Berlin e.V. und in der Organisation verschiedener Olympiakampagnen. Seit Juni 2022 setzt sie ihre Expertise als Beraterin und Projektmanagerin bei GOLT Coaching ein. Seit August 2023 stärkt sie das Team von Payment & Banking als Senior Manager Marketing.

Weitere interessante Beiträge