IKT-Zusatzvereinbarung DORA

Seit dem 17. Jänner 2025 gilt die EU-Verordnung 2022/2554 über die digitale operationale Resilienz im Finanzsektor (Digital Operational Resilience Act - DORA) für den gesamten Finanzsektor und stellt hohe Anforderungen an die digitale Widerstandsfähigkeit.

DORA sieht u.a. Mindestvertragsinhalte vor, die beaufsichtigte Unternehmen des Finanzsektors mit IKT-Drittdienstleistern vereinbaren müssen. Dies stellt betroffene Unternehmen – Kunden im Finanzsektor und deren Dienstleister – oft vor große Herausforderungen (Aussenden umfangreicher, komplexer Vertragswerke, die auf beiden Seiten Ressourcen binden und letztendlich oft nur zu Haftungsverschiebungen statt zu echtem Mehrwert für mehr Cyberresilienz führen). Nach der DORA-Verordnung sind IKT-Dienstleistungen digitale Dienste und Datendienste, die über IKT-Systeme einem oder mehreren internen oder externen Nutzern dauerhaft bereitgestellt werden, einschließlich Hardware als Dienstleistung und Hardwaredienstleistungen, wozu auch technische Unterstützung durch den Hardwareanbieter mittels Software- oder Firmwareaktualisierungen gehört, mit Ausnahme herkömmlicher analoger Telefondienste.

Diese Mindestinhalte sind nun für sog. nicht-kritische oder nicht-wichtige IKT-Dienstleistungen mit einer Standardvorlage einer Zusatzvereinbarung umrissen, die eine Arbeitsgruppe des KSÖ (Kompetenzzentrum Sicheres Österreich) in Zusammenarbeit mit dem Fachverband Telekom-Rundfunk und dem Fachverband UBIT entwickelt hat und die gemeinsam mit dem KSÖ gestern im Rahmen des Rechts- und Technologiedialogs bei uns im Haus präsentiert wurde (Als kritisch gilt die Dienstleistung eines IKT-Anbieters dann, wenn sie z.B. nur ganz schwer zu ersetzen ist und ihr Ausfall die wesentlichen Geschäftsprozesse von Banken lahmlegt. Nach internen Diskussionen gehen wir zwar davon aus, dass die Services der TK-Branche in der Regel als unkritisch gelten. Die Einstufung obliegt jedoch den Banken und ist auch Gegenstand der Überprüfungen durch deren Aufsichtsbehörden.)

Dieses Muster einer Zusatzvereinbarung ist eine Brutto-Vertragsvorlage für IKT-Drittdienstleister, die je nach Anwendungsfall angepasst und erweitert werden kann und ist eine Basis für Dienstleister, die keine „kritischen oder wichtigen“ Funktionen unterstützen. Sie kann auch kommerziell kostenlos genutzt werden.

Haftungsausschluss:

Die Zusatzvereinbarung wurde in einer KSÖ-Arbeitsgruppe gemeinsam mit Finanzwirtschaft, dem Fachverband UBIT und Fachverband Telekommunikations- und Rundfunkunternehmungen konsensual ausgearbeitet, es handelt sich um eine unverbindliche Hilfestellung, Ergänzung und Anpassung individuell erstellter Verträge.

Alle Angaben erfolgen trotz sorgfältigster Bearbeitung ohne Gewähr. Eine Haftung der Wirtschaftskammern Österreichs, des KSÖ oder der Mitglieder der Arbeitsgruppe ist ausgeschlossen. Bei allen personenbezogenen Bezeichnungen gilt die gewählte Form für alle Geschlechter!