#39: Navigieren im DORA-Dschungel

Lisa: Lisa Hallo und herzlich willkommen zu einer neuen Folge von Follow the Wide Rabbit, dem Link11 IT Security Podcast. Mein Name ist Lisa Fröhlich, bin Unternehmenssprecherin bei Link11 und es freut mich natürlich, dass ihr auch heute wieder dabei seid, mit mir in den digitalen Kaninchenbau, Cybersicherheit abzusteigen und euch die Zeit dafür nehmt, diesen mit mir zu erkunden. Auch, ja. Wir haben ja nicht nur aktuelle Cyberbedrohungsthemen, sondern eben auch regulatorische Themen. Und auch wenn es ein vermeintlich trockenes Thema geht, freue ich mich wahnsinnig auf eine spannende Diskussion heute. Es geht nämlich den Digital Operational Resilience Act oder kurz einfach nur DORA, der sozusagen seit diesem Jahr verbindlich für Finanzinstitute gilt. Und ja, ich habe mir dazu heute einen echten Experten eingeladen. Das ist Dr. Thorsten Henrich. Thorsten ist Rechtsanwalt und Fachanwalt für Informationstechnologierecht und ein absoluter Experte, was IT-Compliance, Informationssicherheit und Risikomanagement angeht. er bringt mehr als 20 Jahre Erfahrung mit aus der Cloud- und Hosting-Branche und kennt sich natürlich super aus, was Regulierungen wie DORA und NIS-2 angeht. Thorsten, vielen, vielen Dank, dass du heute mein Gast bist. Bevor wir die Fragen rund DORA diskutieren und uns einen Weg durch diesen Regulierungsdschungel bahnen, stelle ich doch bitte kurz unseren Hörerinnen und Hörern vor.

Thorsten Hennrich: Thorsten Hennrich Ja, Lisa, erstmal ganz herzlichen Dank für die Einladung. Ich freue mich sehr, bei diesem tollen Podcast hier dabei zu sein. Und wir hoffen mal, dass wir dieses doch, wie du ja sagtest, etwas trockene Thema DORA versuchen, bisschen lebendig zu gestalten und vielleicht auch ein bisschen nahbarer zu machen für den ein oder anderen Zuseher von dem Podcast hier. Zu meiner Person, wie du ja sagtest, ich bin Rechtsanwalt, Fachanwalt für Informationstechnologierecht, beheimatet in Frankfurt am Main, wo ich auch arbeite und befasse mich seit vielen Jahren mit diversen Themen im IT-Recht, insbesondere im Kontext Cloud Computing, Datenschutz, Rechenzentren, Rechenzentrumsverträgen und ja, das ist so ein bisschen das, was ich den ganzen Tag mache. Und DORA ist natürlich jetzt gerade im letzten Jahr, auch im Vorlauf auf den 17. Januar diesen Jahres, was genau dieses Datum ist, kommen wir dann später dazu, ist das natürlich ein sehr, sehr wichtiges Thema geworden. Und wir haben sehr viele Verträge auch mit DORA begleitet und verhandelt. Und dann wurden die auch zwischen den jeweiligen Parteien erfolgreich abgeschlossen.

Lisa: Lisa Ja, spannend. Also Hintergrund unseres Gesprächs ist ja auch sozusagen, überall erleben wir die steigende Bedrohungslage durch Cyberattacken und IT-Ausfälle. Das nimmt ja sozusagen permanent zu und wird über alle Branchen hinweg wahrgenommen von den Unternehmen und sie sind auch betroffen. Das gilt natürlich auch für das Finanzsystem und DORA explizit soll ja im Grunde zumindest das ist das, was mir so an dieser Regulierung gefällt, die digitale Widerstandsfähigkeit sicherstellen und vor allen Dingen die Stabilität des ganzen Finanzsystems stärken und eben auch sozusagen die vielen verschiedenen nationalen Anforderungen, die es ja für Banken, Versicherungen und auch Zahlungsdienstleister angeht, sozusagen vereinheitlichen. Deswegen freue ich mich wahnsinnig, dass du dir die Zeit nimmst und ich dir dazu jetzt ein paar spannende Fragen stellen kann. Wie gesagt, in den letzten Jahren haben sich natürlich auch verstärkt nationale Regelwerke etabliert, die sozusagen darauf abgezielt haben, dass eben die IT oder die IT-Infrastrukturen von Bankenversicherern, Zahlungsdienstleistern stabiler, sicherer und resilienter werden. Jetzt ist es aber so, dass ja die EU in vielerlei Hinsicht, das gilt jetzt nicht nur für die kritische Infrastruktur mit NIS 2, sondern eben auch für die Finanzinstitute oder das Finanzsystem.

Thorsten Hennrich: Thorsten Hennrich Mhm.

Lisa: Lisa da die Zügel ein bisschen straffer zieht und gesagt hat, Mensch, anstatt hier viele nationale Regelwerke zu etablieren und in die Anwendung zu bringen, schaffen wir sozusagen mit DORA, also dem Digital Operation Resilience Act, einen einzigen Standard, der eben das Ganze vereinheitlicht. Doch kannst uns ein bisschen erklären, was genau hinter DORA steckt oder warum war eigentlich der Schritt, dieser Vereinheitlichung notwendig.

Thorsten Hennrich: Thorsten Hennrich Ja, also die Vereinheitlichung erkennt man oder insbesondere die Vereinheitlichung, dass Finanzsektor-weit ein einheitlicher Rahmen in ganz Europa geschaffen werden sollte, sieht man daran, dass die Europäische Kommission das Rechtsinstrument einer Verordnung gewählt hat. Die Verordnung ist direkt und unmittelbar an allen Mitgliedstaaten gültig. Also anders als zum Beispiel die Richtlinie.

Lisa: Lisa Mhm. Mhm. muss nicht umgesetzt werden.

Thorsten Hennrich: Thorsten Hennrich wo es noch eines nationalen Umsetzungsaktes bedarf. Von daher, weil gerade wie du ja sagtest, Cyberrisiken oder die Stärkung, wir reden hier über den Resilience Act, die Stärkung gegenüber Cyberrisiken und Vorfällen dieser Informations- und Kommunikationstechnologie, wie es ja heißt, dieser IKT, weil das eines dieser zentralen Herausforderungen und Themen unserer Zeit ist, hat man gesagt, okay, wir überlassen das jetzt nicht nur den nationalen Gesetzgeber mit verschiedenen Umsetzungsgesetzen. Wir haben ja auch hier noch die BAIT, VAIT und so weiter, alles auf nationaler Ebene, noch diverse andere Regelungen. Wir haben die IT-Sicherheit ja auch nicht nur in der DORA drin, die gibt es ja auch noch in verschiedenen anderen Gesetzen.

Lisa: Lisa Hmm.

Thorsten Hennrich: Thorsten Hennrich vielleicht soll irgendwo ein Datenschutz, DSGVO Artikel 32 ist ja auch noch mit in Bezug genommen, sondern wir wollen jetzt hier für den Finanzsektor eine Regelung schaffen, die europaweit gilt und den Finanzsektor weiter stärkt gegen diese Cyberrisiken. Deswegen ist auch so ein bisschen, das sagt auch die BaFin, das sagen auch andere, das übergreifende Kernelement von DORA, das IKT-Risikomanagement. Die zentralen Themen in dem Zusammenhang sind natürlich dann die Cybersicherheit, IKT-Risiken und die digitale, operationale Resilienz. ja, es geht halt auch darum, wenn man jetzt auch sich die ganzen nationalen anderen Regelungen anschaut, vor allem auch darum, erst mal Doppelregelungen zu vermeiden. Deswegen stellt sich jetzt dann auch erst mal die Folgefrage quasi Wie sieht es denn aus mit BAIT, VAIT und den anderen Themen? In welchem Verhältnis bewegen sich denn diese auch dann zur DORA?

Lisa: Lisa werden die aufgelöst, also werden die quasi inDORA übergehen. Ich kann mir nicht vorstellen, dass die auf ewig parallel gültig sind. Das macht doch eigentlich gar keinen Sinn.

Thorsten Hennrich: Thorsten Hennrich Nein, werden sie auch nicht. die BaFin hat mit Wirkung, genau zu dem Beginn von DORA, sie auch ihre Rundschreiben in Bezug auf die kapitalverwaltungsaufsichtlichen Anforderungen an die IT, also die KIIT. Die versicherungsaufsichtlichen Anforderungen an die IT, das sind diese VAIT. und die Zahlungsdienste aufsichtlichen Anforderungen an die IT von Zahlungs- und E-Geldinstituten, das waren die berühmten ZAIT, die wurden aufgehoben und dann durch DORA ersetzt. Also da war es das Ziel, jeden Fall Doppelregelungen zu vermeiden. Von daher, das ist auch jetzt eine der großen Herausforderungen an die Unternehmen, auch den Shift zu machen. Was ändert sich durch DORA? Was kommt auch denn durch DORA hinzu? Denn wir haben auch bei DORA zahlreiche Anforderungen, die sich so in den VAIT und anderen Regelungen nicht wiederfinden. Eins sollte man sich allerdings noch merken, während die KAIT, VAIT, ZAIT alle jetzt aufgehoben wurden. Wir haben bei den BAIT eine Schrittweise-Aufhebung dieser ganzen Dokumente.

Lisa: Lisa Das sind die bankenrechtlichen.

Thorsten Hennrich: Thorsten Hennrich dieser ganzen Anforderungen der BaFin. Weil hier auch zu Make Long Story Short vereinfacht gesprochen nicht alle Institute und alle Sachen sofort von DORA abgedeckt waren, hat man da jetzt so eine mehr oder über verschiedene Schritte hinweg eine Lösung entwickelt, wie dann die BAIT aufgehoben werden. Und Ziel ist halt bis spätestens 31.12.2026. dass dann auch die BAIT vollumfänglich aufgehoben sind. Aber auch hier vereinfacht lässt sich schon mal sagen, all die Unternehmen, die ohnehin auch schon DORA unterliegen, für die gelten in den zentralen Bereichen die BAIT so nicht mehr, die wurden ersetzt quasi und da enthält die DORA-Verordnung quasi alle maßgeblichen Regelungen in dem Bereich.

Lisa: Lisa Mhm.

Lisa: Lisa Ja, jetzt ist es ja so, dass sozusagen zum einen, ja, wie du gesagt hast, DORA sozusagen auch umfassendes Informations-, Kommunikations-, Telekommunikations-, Risikomanagement und vor allen Dingen auch das Thema Governance in den Mittelpunkt rückt. Und soweit ich weiß, werden auch die Aufgaben des Managements in DORA erweitert. Da können wir vielleicht nachher nochmal kurz darauf eingehen. Und es gibt neue Anforderungen an Überwachung, Kontrolle und Berichterstattung von den Risiken, soweit ich das weiß. Und vor allen Dingen, was ja DORA von den anderen bankenrechtlichen oder versicherungsrechtlichen Aufsichtsregeln sozusagen unterscheidet, ist ja im Grunde auch, dass die Anforderungen in DORA sehr klar formuliert sind, was denn eigentlich Unternehmen umsetzen müssen. Trotzdem, und es dann kannst du vielleicht bisschen so aus dem Nähkästchen plaudern, ist es ja so, dass sich viele Unternehmen schwertun, die DORA umzusetzen, weil es eben doch mehr als ein reines Compliance-Projekt ist und eben entsprechende Herausforderungen mit sich bringt. Was sind denn aus deiner Erfahrung die größten Stolpersteine aus der Praxis?

Thorsten Hennrich: Thorsten Hennrich Ja.

Thorsten Hennrich: Thorsten Hennrich Ja, also die größten Herausforderungen sind in der Tat, dass jetzt Unternehmen sich sowohl intern oder ja mit Blick auf den internen IT, IKT, Governance-Rahmen, sagen wir es mal so herum und Kontrollrahmen neu aufzustellen haben, dort zu schauen haben, wie haben sie sich aufzustellen. Was ist hier Neues aus den Bereichen DORA? Was trifft mich? Aber es betrifft nicht nur die internen Wage, sondern es betrifft auch zum Beispiel das IKT-Trittparteien-Risikomanagement. Also man muss sich dann auch noch die Verträge anschauen mit den ganzen Cloud-Provider und sonstigen Dritten, die im Wege vom IT-Outsourcing eingeschaltet werden. Also von daher, wenn man es jetzt am Anfang zum Einstieg erst mal macht, vereinfacht gesehen interne Anforderungen, aber auch

Lisa: Lisa Mhm.

Lisa: Lisa Mhm, mhm.

Thorsten Hennrich: Thorsten Hennrich interne Anforderungen mit Wirkung mit Bezug auf externe Dritte und auf die Verträge mit diesen externen Dritten. Und dann, je nachdem, wie wesentlich oder kritisch deren Funktion ist, gibt es dann auch weitere Anforderungen an die Verträge. Aber wir können von daher gerne erst mal mit den internen Anforderungen ein bisschen anfangen und dann uns zu den externen hinbewegen.

Lisa: Lisa Mhm.

Lisa: Lisa Ja, so wie ich dich jetzt verstanden habe, schreibt DORA keine technischen Standards vor wie ISO-Normen zum Beispiel. Da geht es eben auch, wie du schon gesagt hast, angemessene Maßnahmen und die entsprechenden Prozesse. Und die Unternehmen, so wie ich das verstanden habe, das selbst beurteilen, welche Schutzmaßnahmen für ihre individuelle Risikolage angemessen sind. Das ist ja auf der einen Seite schon ein breiteres Feld und eine sehr offene, sage ich jetzt mal, Interpretationsspielwiese, die das da bietet. Das fordert natürlich viel Eigenverantwortung von den Unternehmen, die eben ihre Risiken realistisch einschätzen müssen und eben geeignete Maßnahmen eigenständig definieren. Zum anderen gibt es sicherlich auch eine Orientierung für DORA an Best Practices, wie jetzt beispielsweise die ISO 27001, wo wo sich entsprechende Unternehmen auch orientieren können, was so gefordert, was gemacht werden muss. ja, vor allen Dingen glaube ich, was ja auch eine schwierige oder eine Herausforderung sein kann für Unternehmen, ist eben auch so diese Nachweis- und Dokumentationspflicht, die mit den ganzen Themen sozusagen einhergeht, weil das ist ja eigentlich oft auch ein Riesenaufwand, wenn man sich so Prozesse anguckt, die dann auch noch entsprechend zu dokumentieren, die Maßnahmen richtig zu dokumentieren.

Thorsten Hennrich: Thorsten Hennrich Hmm.

Lisa: Lisa Wenn DORA jetzt keine Checkliste vorgibt, sondern eben auch individuelle Lösungen verlangt, kannst du da noch mal kurz so ein ein paar Beispiele geben, die so konkret dir einfallen, wie Unternehmen entsprechend diese internen Prozesse, die du genannt hast, oder die internen Vorgaben, wie die damit umgehen und was sozusagen da auch DORA bedeutet im Einzelnen? Hast du da mal ein konkretes Beispiel, wie sich das darstellt?

Thorsten Hennrich: Thorsten Hennrich Ja, das sind verschiedene Fragen in einer Frage mit drin. Also fangen wir vielleicht erst einmal ganz kurz dort an, warum ist das so abstrakt formuliert und vielleicht jetzt nicht so konkret, wie man es gerne hätte. Denn wir kennen das auch aus der DSGVO heraus, dass diese berühmte Technologie-Neutralität, die nicht nur hinter DORA steht, sondern auch hinter zahlreichen anderen Regelungen. DORA

Lisa: Lisa Mhm.

Lisa: Lisa Mhm.

Thorsten Hennrich: Thorsten Hennrich gilt halt für die Finanzunternehmen, die ja im Fokus dieser Regelungen stehen und die auch der Aufsicht entsprechend unterliegen. Und diese Finanzunternehmen sind ja ganz unterschiedlich aufgebaut. Das eine jetzt vereinfacht gesprochen, mag ein sehr großes Konzernunternehmen sein mit diversen verbundenen Unternehmen als Tochtergesellschaften.

Lisa: Lisa Hmm.

Lisa: Lisa Ja, ja.

Thorsten Hennrich: Thorsten Hennrich Das andere mag vielleicht ein etwas kleineres Unternehmen sein, was dennoch aber auch in der Finanzbranche tätig ist und deswegen auch der Aufsicht unternehmen.

Lisa: Lisa Ich denke an Beispiele wie die Deutsche Bank und beispielsweise Metzler als Privatbank. Das sind zwei komplett unterschiedliche Bankformate oder Finanzinstitute, die aber den gleichen Regularien unterliegen. Also, da sind natürlich ...

Thorsten Hennrich: Thorsten Hennrich Ja, genau.

Thorsten Hennrich: Thorsten Hennrich Genau, das geht sogar von der Deutschen Bank und Metzler weg, bis hin vielleicht jetzt zu kleineren Start-ups, IT-Start-ups, die jetzt hier mit innovativen Modellen tätig sind. hier, also wenn sie der Aufsicht unterliegen, müssen auch die sich natürlich an DORA halten. Und man muss dann halt auch auf die Drittparteien schauen, die jetzt zwar nicht unmittelbar DORA verpflichtet sind, also ein Softwareanbieter, der jetzt einen

Lisa: Lisa Mhm. Ja.

Thorsten Hennrich: Thorsten Hennrich von mir aus für den HA-Bereich eine Lösung entwickelt. Der ist jetzt erstmal eine ganz normale Software zur Verwaltung von Mitarbeitern in einem Unternehmen, der unterliegt jetzt erstmal nicht der DORA. Aber wenn er diese Lösung auch gegenüber Finanzunternehmen anbietet und diese Finanzunternehmen diese Lösung dann einsetzen, dann kann er natürlich auch sehr schnell mittelbar unterliegen. Er muss jetzt nicht

Lisa: Lisa Mmh.

Lisa: Lisa Mhm.

Lisa: Lisa Na ja.

Thorsten Hennrich: Thorsten Hennrich intern sich so aufstellen, wie jetzt ein Finanzunternehmen sich aufzustellen hat mit Risikomanagementsystem und so weiter. Aber er hat mittelbar über die Verträge mit ihm auch bestimmte Anforderungen zu erfüllen. Und diese Abstraktheit dieser, sagen wir mal, auch etwas generalisierende Ansatz.

Lisa: Lisa Mhm.

Thorsten Hennrich: Thorsten Hennrich Der findet sich sowohl in Bezug auf die unmittelbaren internen Anforderungen wieder, aber auch in Bezug auf die Verträge mit den Drittdienstleistern im Wege des IT-Outsourcings. Da haben wir auch eher ein bisschen die abstrakteren Begriffe. Und auch hier Technologie-Neutralität. Man muss das halt dann

Lisa: Lisa Mhm.

Thorsten Hennrich: Thorsten Hennrich sich anschauen, in welcher Branche ist das Unternehmen tätig, was gibt es denn an allgemeinen Empfehlungen am Markt für diese ganzen Bereiche. Da kann es natürlich sein, dass auch die BaFin zum Beispiel, die auch zahlreiche weitere Dokumente jetzt schon veröffentlicht hat, im Bereich DORA, da gibt es Aufsichtsmitteilungen, Hinweise zur Umsetzung von DORA und IKT-Risikomanagement.

Lisa: Lisa Mhm.

Thorsten Hennrich: Thorsten Hennrich Die muss man sich natürlich dann einmal anschauen. Da wird es schon ein bisschen konkreter. Und in vielen Fällen muss man dann auch gerade, wenn es so generalisierende Begriffe geht, wie allgemeine IT-Sicherheit, technische, organisatorische Maßnahmen und ähnliche Begriffe, wie wir sie auch aus dem Datenschutz kennen, da muss man dann im Zweifel auch auf die Branchenstandards irgendwann dann zurückfallen.

Lisa: Lisa Mhm.

Lisa: Lisa Mhm. Mhm. Mhm.

Thorsten Hennrich: Thorsten Hennrich wie wir sie ja kennen, hier BSI, IT-Grundschutz-Kompendien und so weiter. Auch diese Gedanken dann daraus können dort in der DORA oder bei der Umsetzung von DORA von Relevanz sein, wenn jetzt in der DORA-Verordnung an sich nichts ganz so Konkretes dazu drinsteht und geregelt ist.

Lisa: Lisa Ja, ja. Ich denke, das ist auf jeden Fall ja auch für die Unternehmen immer eine Hilfestellung. Das ist eben auch für bestimmte kritische Infrastrukturen. Ich glaube, wie gesagt, die die Kommunen, Behörden, Institutionen oder die sind ja auch ausgenommen, beispielsweise von NIS-2. Aber da ist ja jetzt auch gerade in der Diskussion, dass die eben alle den BSI-Grundschutz sozusagen umsetzen müssen. Und ich glaube, das ist für viele, gerade für viele Kommunen eine unfassbar große Herausforderung, mal abgesehen davon, dass einfach keine Fachkräfte da sind, die sozusagen die Umsetzung da fördern. Jetzt hast du mehrfach diese Technologie-Neutralität angesprochen und kannst du kurz erklären, was das bedeutet? weil das ja im Zusammenhang mit DORA scheinbar auch eine größere oder grundsätzlich, sag ich mal, im Zusammenhang mit IT, IT-Sicherheit und Finanzsystem eine größere Sache zu sein scheint. Vielleicht kannst du das einfach noch mal unseren Hörerinnen und Hörern kurz erläutern, was genau sich dahinter verbirgt.

Thorsten Hennrich: Thorsten Hennrich Der Gedanke dahinter ist natürlich, dass eine Regelung nicht für ganz spezielle Dienstleister alle Vorgaben erfüllen kann. Deswegen geht man ein, zwei Schritte zurück, auf eine abstraktere Ebene und verwendet Begriffe. Das findet man aber auch in Gesetzen wieder, zum Beispiel in der DSGVO, mit technischen organisatorischen Maßnahmen.

Lisa: Lisa Mhm.

Thorsten Hennrich: Thorsten Hennrich Das steht so in der DSGVO drin. Ähnliche Begriffe finden sich auch in der DORA wieder. Was genau diese technisch- organisatorischen Maßnahmen sind, das kann sich von Unternehmen zu Unternehmen unterscheiden. Und wie wir hier vor ein paar Minuten hatten, es gibt große Finanzunternehmen, es kann kleinere geben. Die einen sind zum Beispiel eher digital unterwegs, haben dort verschiedene Plattformen, andere haben andere Geschäftsmodelle.

Lisa: Lisa Mhm.

Thorsten Hennrich: Thorsten Hennrich Dann muss man sich immer deren Prozesse anschauen und deren jeweiligen Anforderungen. Geht es da zum Beispiel nur Regelungen in Bezug auf die reine IT-Infrastruktur, ist aber auch die Software noch zu berücksichtigen, welche Software gelangt zum Einsatz, wie kann es dort auch mit Schnittstellen und so weiter aussehen. Und das kann und das will auch eigentlich die DORA nicht von vorneherein regeln und festlegen, sondern

Lisa: Lisa Na klar.

Thorsten Hennrich: Thorsten Hennrich Da muss man natürlich ein bisschen Handlungsspielraum mit auf den Weg geben. die, ja, die Auffüllung oder die Unterfütterung dieses Handlungsspielraums mit konkreten Normen, das erfolgt dann, wie gesagt, durch Handreichung, Mitteilung der BaFin oder durch andere Maßnahmen in dem Sektor.

Lisa: Lisa Mhm.

Lisa: Lisa Jetzt hast du ja zu Recht sozusagen die Lieferkette in der Finanzindustrie angesprochen und nicht ohne Grund legt DORA einen besonderen Schwerpunkt sozusagen auf das Management von Risiken aus der Zusammenarbeit eben mit Drittanbietern. Und du hast es auch schon kurz angerissen. Tatsächlich ist es so, dass selbst Unternehmen, die jetzt vielleicht auf den ersten Blick selbst gar keine Beziehungen oder ja Prozesse haben, die jetzt finanzwirtschaftlich relevant wären, aber eben Finanzinstituten Dienstleistungen und Services zur Verfügung stellen, die müssen ja auch im Grunde sozusagen am Ende des Tages DORA-konform sein. Jetzt hatten wir im Vorgespräch auch gesprochen, dass vor allen Dingen da ja sicherlich auch große Verunsicherung auf Seiten der Drittanbieter herrscht auf der einen Seite. Auf der anderen Seite sind natürlich auch gerade große Finanzinstitute oder Unternehmen häufig von sozusagen Angriffe über die Lieferkette betroffen. Das ist ja jetzt nichts, was irgendwie vom Himmel fällt oder nur einmal im Schaltjahr vorkommt, sondern das sehen wir ja recht häufig. Ich erinnere da nur einen großen Vorfall in Nordrhein-Westfalen und der hat wirklich sehr lange sehr viele Kommunen und Dinge einfach lahmgelegt, weil sozusagen ein zentraler IT-Dienstleister angegriffen wurde oder eben unter einem großen IT-Ausfall gelitten hat. CrowdStrike ist auch ein Beispiel, wo man sieht, okay, was hat das für Auswirkungen, wenn sozusagen in der Lieferkette irgendwo ein Rädchen nicht ins andere greift. Jetzt ist es ja so, und das würde mich interessieren, alle Verträge mit Dienstleistern unterliegen ja eigentlich immer spezifischen Anforderungen. Und gibt es da irgendwas, was sozusagen DORA im Bereich, also im Zusammenhang mit der Zusammenarbeit mit Trittanbietern besonders ins Zentrum stellt? Oder was konkret bedeutet das denn für die aktuelle Vertragsgestaltung und eben auch die laufende Kontrolle von den Drittanbietern? Ich bin sicher, dass ihr da in eurer Praxis und du als Rechtsanwalt gerade mit solchen Dingen, was Vertragsangelegenheiten angeht, sicherlich einiges zu tun haben.

Thorsten Hennrich: Thorsten Hennrich Ja, gerade bei den Verträgen mit den Trittdienstleistern kommen wir natürlich ganz besonders ins Spiel hinein, weil da gibt es ja teilweise neue Herausforderungen, die bis dahin führen können, dass Verträge nachzuverhandeln sind. Also, mal vereinfacht, wenn man zum Beispiel jetzt noch mal intern schaut, so IKT-Risikomanagement, Aufbau eines Vorfalls, Meldewesens oder irgendwelche Tests.

Lisa: Lisa Mhm. Mhm.

Thorsten Hennrich: Thorsten Hennrich der digitalen, operationellen Resilienz, Basistests. Das sind natürlich eher die technischen Abteilungen, die das Ganze dann intern im Unternehmen verantworten und durchführen. Und dann dort Schwachstellen-Scans, Performance-Tests, Last-Tests und so weiter durchführen. sind auch die technischen Abteilungen spezialisiert. Dafür haben die das Know-how und da sind die auch erfahren, wie als Anwälte.

Lisa: Lisa Mhm.

Lisa: Lisa Ja, ja.

Thorsten Hennrich: Thorsten Hennrich unterstützen natürlich auch bei dieser internen Umsetzung und helfen damit auch die so die wichtigsten Eckpunkte zu finden und die IT-Abteilung dort auch anzuleiten, dass sie genau wissen, worauf müssen sie den Fokus legen, was müssen sie sich anschauen, wozu sind sie verpflichtet nach DORA. Aber dieses ganze IKT-Risikomanagement hört natürlich nicht nur an der Türschwelle des Unternehmens auf, sondern man muss halt wollen.

Lisa: Lisa Hmm...

Thorsten Hennrich: Thorsten Hennrich IT-Outsourcing im klassischen Sinne macht und bestimmte Leistungen auf Dritte auslagert im Wege des IT-Outsourcings, dann muss man auch sich diese Drittparteien anschauen und muss halt diese Drittparteien auch so aufstellen, dass sie auch gewissen DORA-Anforderungen entsprechen. Und dann kommen wir nämlich auch zu der Frage, die du damit quasi gestellt hast.

Lisa: Lisa Mhm.

Lisa: Lisa Mhm. Mhm.

Thorsten Hennrich: Thorsten Hennrich Wie muss denn diese Zusammenarbeit mit den Drittanbietern überarbeitet werden? Wie sind diese Trittparteien Risiken einzuschätzen, zu bewerten? Man muss sich nach DORA, es ist auch wichtig, dass man schon, also wenn man jetzt einen Vertrag abschließen möchte, dass man halt dann schon ex ante davor eine Risikobewertung macht, wie so eine Art Judiziere Prüfung durchführt.

Lisa: Lisa Mhm.

Thorsten Hennrich: Thorsten Hennrich Welche Funktionen und Aufgaben soll denn dieser Drittanbieter übernehmen? Was soll denn alles auf ihn aussehen, Lager?

Lisa: Lisa Kurze Zwischenfrage an der Stelle, kurze Zwischenfrage, weil es mir gerade durch den Kopf schießt. Wer prüft das? Prüft quasi das Finanzinstitut? Also wer macht die Due Diligence? Gibt es da dann auch wieder Drittanbieter, die für die Bank die Dienstleister durchchecken oder machen das die Finanzinstitute, die den Drittanbieter beauftragen selbst? Also, weil das ist doch ein riesen Aufwand.

Thorsten Hennrich: Thorsten Hennrich Ja.

Lisa: Lisa prozessual, organisatorisch, oder?

Thorsten Hennrich: Thorsten Hennrich Also per se trifft die DORA jetzt das Finanzunternehmen. Das heißt, die müssen das Ganze durchführen, wenn das Finanzunternehmen jetzt der Meinung ist, wir haben hier nicht ausreichend Know-how im Hause oder diese Leistung, ausgelagert wird, ist so speziell, wir können die gar nicht so im Detail überblicken oder hinreichend genau bewerten, dann kann dafür natürlich auch noch ein Berater eingeschaltet werden, ob das jetzt die Anwälte sind aus rechtlicher Hinsicht oder noch ein technischer Berater, ein Auditor in Bereich der besonderen Erfahrung, dem Tätigkeitsbereich des einen Unternehmens hat alles möglich. Ja, da kann sich ein Unternehmen natürlich auch dabei unterstützen lassen. Aber die Pflicht trifft erst mal das Unternehmen und dann muss die Geschäftsführung oder der CTO muss dann entscheiden, können wir das selbst machen? Haben wir ausreichendes Know-how oder brauchen wir hierfür Unterstützung? Mhm.

Lisa: Lisa Mhm. Ja, das finde ich nämlich auch spannend, weil es geht ja dann am Ende des Tages, wenn es trotz aller Vorsicht, trotz aller Maßnahmen, trotz aller Widerstandsfähigkeit und trotz aller Resilienz sozusagen doch zu einem Angriff und zu einem Vorfall kommt, stehen ja auch immer Haftungsfragen im Raum. Das würde wahrscheinlich hier den Rahmen dieses Podcasts sprengen, aber ich bin immer sozusagen auch, ja, da dran interessiert, rauszufinden, wenn ich als Finanzinstitut quasi einen Drittdienst leiste und natürlich sind viele Institute von Drittanbietern abhängig, weil sie das, du hast es gesagt, das Know-how vielleicht nicht im Haus haben, die Ressourcen vielleicht nicht in Haus haben, die IT-Sicherheitslösung vielleicht nicht in Haus selber programmieren können etc., pp., dann sind die natürlich von Drittanbietern abhängig. Und dann ist es natürlich auch wichtig, dass entsprechende Vorgaben und entsprechende Maßnahmen ja auch gecheckt werden, die Trittanbieter, also dass nicht über den Trittanbieter eben dieser Sicherheitsvorfall eintreten kann oder nicht. Und dann sollte das passieren, ist ja dann immer die Frage, wer haftet denn am Ende dafür? Ist das derjenige, der es geprüft hat? Ist das der Trittanbieter? Das sind ja alles so Fragen,

Thorsten Hennrich: Thorsten Hennrich Also, es ist.

Thorsten Hennrich: Thorsten Hennrich Ja, Haftungsthema ist jetzt, das ist schon ein sehr komplexes Thema. Wir bewegen uns damit so ein bisschen natürlich von DORA weg. Aber das bestimmt sich zunächst erst mal nach den Verträgen, die abgeschlossen wurden, im Verhältnis zwischen Finanzunternehmen und dem Dienstleister. Wenn da jetzt was nicht funktionieren soll, dann schaut man sich für Gewährleistung, Haftung natürlich den Vertrag dort

Lisa: Lisa Mhm.

Lisa: Lisa Mhm, ja, okay. Also das ist immer die Basis, dann passt das ja. Mhm.

Thorsten Hennrich: Thorsten Hennrich hat jetzt ein Berater nicht ordnungsgemäß unterstützt und da einen groben Fehler begangen, irgendwas übersehen, dann stellt sich die Frage natürlich Haftungsfall, ja oder nein, im Verhältnis zu dem jeweiligen Berater. Dann natürlich auch die Organe des Finanzunternehmens. Das wäre dann so eine Frage, vereinfacht jetzt Geschäftsführerhaftung und so weiter, DIN-O-Versicherung.

Lisa: Lisa Ja klar.

Thorsten Hennrich: Thorsten Hennrich liegt das alles dort, ist das davon gedeckt oder nicht? Hat man es versäumt, DORA rechtzeitig anzugehen, alles Erforderliche in die Wege geleitet oder nicht? Das sind natürlich dann die Folgefragen, wenn es irgendwann mal dazu kommen sollte, dass da irgendwo was nicht ganz so gepasst hat. Aber da muss man sich dann ganz normal, ganz klassisch die jeweiligen

Lisa: Lisa Mmh. Ja.

Thorsten Hennrich: Thorsten Hennrich Vertragsbeziehungen anschauen. Dann auch die Frage, liegt überhaupt ein Haftungsfall vor? Welcher Grad an Fahrlässigkeit ist anzulegen? Leichte Fahrlässigkeit, grobe Fahrlässigkeit, eventuell sogar Vorsatz? Ist das Ganze von der Versicherung gedeckt? Muss ich Meldungen an die Versicherung machen? Ist es die normale Haftpflichtversicherung? Ist es von der DNO-Versicherung gedeckt? Aber die Fragen sollte man am Anfang

Lisa: Lisa Mhm. Mhm.

Thorsten Hennrich: Thorsten Hennrich Natürlich im Hinterkopf haben, aber da geht es jetzt weniger dann darum, die DORA-Verträge zu verhandeln, sondern das sind die ganz normalen Beauftragungen des jeweiligen Unternehmens. Aber unabhängig von diesen Haftungsregelungen, die ja plus minus in jedem Vertrag mit einem Dienstleister mit drin ist, ist das spannende Thema natürlich. Und da hat nämlich DORA, und das sollten wir vielleicht unseren Zuhörern auch noch kurz mit auf den Weg geben, nämlich so eine

Lisa: Lisa Mhm. Ja. Ja, ja, ja.

Thorsten Hennrich: Thorsten Hennrich eine, ja, so ein Test mit drin, man sich, oder eine Fragestellung, die man sich fragen soll, weil nicht jedes Unternehmen es gleich nach DORA zu verpflichten. Und man muss sich dann nämlich auch anschauen, ob die betroffene IKT-Dienstleistung eine kritische oder eine wichtige Funktion erfolgt. deswegen, hat, kann ich nur sagen, pauschal, man hat hier ein Outsourcing und irgendein Dienstleister erbringt Leistung.

Lisa: Lisa Mhm. Mhm.

Lisa: Lisa Hm, ja, okay. Ja, okay, das wird nochmal differenziert.

Thorsten Hennrich: Thorsten Hennrich Da muss ich halt auch anschauen, ist das für mich als Finanzunternehmen eine sogenannte kritische oder wichtige Funktion? Weil neben den allgemeinen Anforderungen, die für alle Dienstleister gelten, die hier für ein Finanzunternehmen tätig sind, gibt es im Falle von einer Übernahme oder Auslagerung kritischer oder wichtiger Funktion halt noch gesonderte Anforderungen.

Lisa: Lisa Mhm.

Thorsten Hennrich: Thorsten Hennrich gibt es in Artikel 30 zum Beispiel der DORA-Verordnung noch mit dem dritten Absatz bestimmte Anforderungen, die dann in den Verträgen auch noch umzusetzen sind. Und das wäre auch zum Beispiel ein interessantes Haftungsthema. Was ist, wenn man das da nicht umgesetzt hat? Aber wichtig ist, und ich glaube auch für die, genau, für unsere Zuhörer hier, also

Lisa: Lisa Ich sehe, wie... Der Rattenschwanz ist lang.

Thorsten Hennrich: Thorsten Hennrich Wenn man sich das Ganze anschaut oder auch sich überlegt, was ist an Verträgen erforderlich? Es gibt nicht den einen DORA-Vertrag. Man muss sich immer anschauen, welche Funktion übernimmt dieser Dienstleister. Ist es eine kritische oder wichtige Funktion? Welche Anforderungen treffen mich dann als Unternehmen nach der DORA? Und dann muss ich mir die jeweiligen Anforderungen anschauen. Und diese dann umsetzen. Und dann kommen wir wieder ganz an den Anfang, dass viele dieser Anforderungen natürlich nicht jetzt schon auf dem Detaillevel sind, dass wir konkrete Maßnahmen davon ableiten können, sondern das ist halt auch manchmal noch sehr vage, sehr generalistisch. Und da muss man schauen, es da schon zum Beispiel Aufsichtsmitteilungen der BaFin, die das schon ein bisschen unterfüttern, konkretisieren. Kann man diese verwenden? Gibt es da andere Empfehlungen in dem Kontext?

Lisa: Lisa Mhm.

Thorsten Hennrich: Thorsten Hennrich oder was wird sonst am Markt üblicherweise verwendet oder in Bezug genommen, derartige Anforderungen umzusetzen.

Lisa: Lisa Ja, also wie gesagt, der Rattenschwanz ist lang, DORA verlangt unheimlich viel und das in relativ kurzer Zeit. Also der Startschuss ist ja 2024 gefallen und du hast es gesagt, bis Ende 2026 werden sozusagen die bestehenden nationalen Regularien abgelöst. Jetzt zum Abschluss unserer Folge würde ich gerne noch mal von dir, würde ich dich gerne bitten, noch mal so bisschen zu gegenüberzustellen, was auf der einen Seite die größten Herausforderungen sind, denen sich jetzt die Finanzinstitute stellen müssen und auf der anderen Seite vielleicht kannst du noch mal so einen positiven Abschlussausblick geben, welche Erfolgsfaktoren lassen sich denn auf der anderen Seite identifizieren? Gibt es da vielleicht auch schon mal das ein oder andere Beispiel, wo eben die DORA-Umsetzung bereits super geklappt hat?

Thorsten Hennrich: Thorsten Hennrich Also sie muss ja funktionieren und klappen. Also wenn ich da eins kurz korrigieren darf. Also DORA ist Ende Dezember 2022 im Amtsblatt veröffentlicht worden, gilt aber seit dem 17. Januar 2025. Das heißt alle Unternehmen, Finanzunternehmen, mussten sich im Vorlauf auf den Januar 2025 mit dem Thema schon auseinandergesetzt haben. Deswegen hat man auch gerade so Ende letzten Jahres eine große DORA-Welle gesehen, dass dann viele, die vielleicht jetzt nicht schon gleich von Tag 1 tätig gewesen sind, dass dann da so bisschen Hektik aufkam. So, die Frist ist dann doch jetzt schon deutlich schneller nahegekommen, als wir dachten. Der Januar kommt ja jetzt schon sehr bald und dann mussten da schnell noch DORA-Vereinbarungen genau abgeschlossen werden.

Lisa: Lisa Beschäftigen,

Lisa: Lisa Ja, ja.

Lisa: Lisa Der berühmte letzte Drücker.

Thorsten Hennrich: Thorsten Hennrich Und das hat vor allem auch diese IKT-Trittdienstleister betroffen, die dann von heute auf morgen quasi mit DORA-Zusatzvereinbarungen überflutet wurden und dann natürlich sich auch bei uns gemeldet haben. Wie setzt man denn das Ganze, weil der eine hat natürlich sich eher ein bisschen an die Anforderungen von Artikel 30 oder dem ganzen fünften Kapitel der DORA-Verordnung gehalten. Andere haben das bewusst oder unbewusst auch dazu genutzt, noch mit ein anderen Themen die Dienstleister zu überfallen und das gleich mit reinzuschreiben in die ganzen Verträge. Da muss man sich auch so bisschen anschauen, was ist denn jetzt überhaupt zwingend nach DORA und nach den delegierenden Rechtsakten, die hinter DORA noch stehen, erforderlich. Von daher ist jetzt gerade zum Jahreswechsel einiges los gewesen und von daher wir haben auch

Lisa: Lisa Mhm. Mhm. Ja, ja.

Lisa: Lisa passiert.

Thorsten Hennrich: Thorsten Hennrich durchaus positive Erfahrungen gemacht. Also die zentralen Themen, wie ich ja gesagt hatte, ist vor allem diese Etablierung eines IKT-Risikomanagements, Vorfallmeldewesen, Prozesse sind festzulegen, die Vorfälle sind zu klassifizieren, ein Berichtswesen ist zu etablieren, es sind Sicherheitsrichtlinien zu überarbeiten. Man muss auch da nicht immer von Null anfangen, aber man muss halt schauen, was wird von DORA noch zusätzlich on top gefordert. Und man muss dann halt das sowohl intern entsprechend aufstellen, als auch wenn es die Trittdienstleister betrifft, dort die Verträge nachziehen. Und ich glaube, dass das Positive, was man dem Ganzen abgewinnen kann, ist, dass es

Lisa: Lisa Hmm.

Thorsten Hennrich: Thorsten Hennrich die meisten Unternehmen auch wirklich innerhalb der Frist sehr gut geschafft haben, Ganze unter Dach und Fach zu bekommen, auch wenn das gar nicht so einfach war, weil es bisher nur die Verordnung gab, es gab noch keine Best Practices, wir hatten noch nicht jetzt hier fünf oder zehn Jahre Erfahrung mit DORA gehabt. Und sowohl Anwälte, Rechtsabteilung, die Rechtsabteilung und Anwaltskanzlei in der Finanzunternehmen.

Lisa: Lisa Mmh, mmh.

Thorsten Hennrich: Thorsten Hennrich Alle mussten sich halt in das Thema einarbeiten und hatten das sehr gut hinbekommen. jetzt unabhängig von dieser ganzen rechtlichen Sicherheit hat sich auch gezeigt, dass viele Finanzunternehmen jetzt DORA nicht nur so als eine lästige Pflicht begriffen haben, sondern auch so als eine Chance gesehen haben, überhaupt mal diese ganzen bestehenden Prozesse auf ein neues Level zu heben. Weil wir alle wissen, mit DORA

Lisa: Lisa Mmh.

Lisa: Lisa Mhm. Mhm.

Thorsten Hennrich: Thorsten Hennrich ist nicht Ende der Fahnenstange. Also NIST 2, das nationale Umsetzungsgesetz steht vor der Tür und die ganzen IT-Sicherheitsthemen nehmen ja auch in den nächsten Jahren immer weiter zu und sind ja auch von immer aktuellerer Bedeutung, wie du ja auch eingangs gesagt hattest. Und von daher Unternehmen haben das also durchaus auch positiv aufgegriffen und sich dann auch mal hingesetzt und sind das ganze Thema angegangen, auch wenn natürlich der eine oder andere hier und dort geflucht hat, was das Ganze jetzt alles hier noch an zusätzlichen Overhead bedeutet. Und es muss natürlich auch Kapazitäten, Ressourcen freigeräumt werden. Aber das war in der gerade zum Ende des letzten Jahres durchaus eine sehr spannende Zeit gewesen und Es gilt jetzt vor allem auch weiter in die Zukunft zu schauen, weil auch DORA, die Verträge sind ja auch fortlaufend irgendwann auch mal anzupassen, Stand der Technik. Die Leistungen, die von Drittanbietern bezogen werden, die werden sich ja auch hier und dort ein bisschen ändern. Vielleicht kommen auch neue Leistungen dazu. Also man ist ja dann da auch

Lisa: Lisa Mhm.

Thorsten Hennrich: Thorsten Hennrich ganz normal in diesem berühmten Lifecycle drin einer Vertragsbeziehung und muss dann natürlich auch immer auch diese ganzen DORA-Themen immer mal wieder auf den Prüfstand stellen. Also von daher, es bleibt auch spannend in dem Bereich.

Lisa: Lisa Das ist doch ein schöner Schlusssatz. Es bleibt spannend in dem Bereich. Was ich auf jeden Fall für unsere Hörerinnen und Hörer mitnehme ist, dass es sozusagen auch regulatorisch als Chance Also ich bin ja auch da ein großer Fan von nicht immer alles sozusagen negativ zu sehen. Also ich habe so eine schöne Karte hier bei mir hängen, da steht drauf, du kriegst die Welt nicht besser gemeckert. Also, es ist einfach wichtig, die Dinge, da sind, auch anzupacken. Und deswegen vielen Dank, Thorsten, dass du dir die Zeit genommen hast und uns da mal so bisschen mit in die DORA und deren Umsetzungen und die Herausforderungen für Unternehmen in der Finanzbranche mitgenommen hast. Ja, an der Stelle bleibt mir wie immer noch ein Danke an euch zu richten, dass ihr wieder dabei wart mit mir im Kaninchenbau abgestiegen seid und wenn euch die Folge gefallen hat, dann lasst gerne ein Like da oder abonniert den Podcast, da freue ich mich drüber. Ansonsten empfehlt das weiße Kaninchen gern euren Freunden, Familien und Kollegen. Wie immer wünsche ich euch einen schönen Tag und an der Stelle bleibt mir wie immer nur zu sagen, Keep calm and get protected. Thorsten, vielen Dank und mach's gut. dann. Ciao.