Im Zuge der DORA-Anforderungen müssen Finanzunternehmen ihre Verträge mit IKT-Dienstleistern überprüfen und gegebenenfalls anpassen. Durch ein überarbeitetes Vertragswerk und eine praktische Checkliste erleichtert die PASS Consulting Group ihren Kunden diese Aufgabe.
Die im Juni veröffentlichte und im September nochmals aktualisierte Aufsichtsmitteilung der BaFin zur DORA-Umsetzung im IKT-Risikomanagement und IKT-Drittparteienrisikomanagement definiert einen Katalog von Mindestinhalten, die sich in Auslagerungsverträgen wiederfinden müssen. Die PASS Consulting Group verfügt als Teil ihrer Strategie bereits seit mehreren Jahren über ein modulares Vertragswerk, das standardisierte Bausteine für Leistungsvereinbarungen mit Finanzunternehmen enthält: von Projektleistungen über Lizenzierungen bis hin zu Cloud Services. Regulatorische Konformität steht dabei selbstverständlich im Fokus – zuletzt wurde das Vertragswerk 2017 aufwändig an die Anforderungen von BAIT und VAIT angepasst.
DORA Vertrags-Compliance
Einhergehend mit der Präzisierung der DORA-Regulierungsstandards wurden diese Vertragsvorlagen nun erneut umfangreich überarbeitet. Dabei erwies sich eine Excel-Liste der BaFin als wertvolle Hilfestellung. Diese enthält 76 Punkte aus DORA selbst sowie aus zwei relevanten technischen Regulierungsstandards (RTS), deren Umsetzung in einem Vertragswerk überprüft und "abgehakt" werden kann.
Zur Vereinfachung von Vertragsprüfungen stellt PASS seinen Kunden eine Version dieser BaFin-Liste zur Verfügung, in der zu jedem der 76 Punkte angegeben ist, an welcher Stelle des aktuellen Vertragswerks bzw. wodurch die genannte Anforderung erfüllt wird.
Um auch ältere Bestandsverträge mit überschaubarem Aufwand DORA-konform zu machen, hat PASS gemeinsam mit seinen Rechtsanwälten einen Nachtrag erstellt, in dem zu jedem dieser 76 Punkte entweder eine vorrangig geltende Vereinbarung oder ein Verweis auf Ziffern der im Nachtrag ebenfalls enthaltenen Anlagen angegeben ist. Durch diesen pragmatischen Lösungsvorschlag, der mögliche Unsicherheiten auf Kundenseite reduzieren soll, können die meisten älteren Verträge Konformität zu DORA erreichen, ohne dass es eines komplett neuen Vertrags bedarf. Kunden müssen sich im Nachgang von ihren Anwälten die DORA-Compliance und damit Rechtssicherheit attestieren lassen, dieser Aufwand reduziert sich jedoch dadurch, dass nicht betroffene Klauseln (z.B. Service-/Leistungsdetails, kommerzielle Parameter) unberührt bleiben.
Mehr Informationen: