DORA-Verordnung — Digitale operationale Resilienz im Finanz

Q: Gilt DORA auch für kleine Versicherungsvermittler und Fintechs?

Versicherungsvermittler, Rückversicherungsvermittler und Versicherungsvermittler in Nebentätigkeit, die Kleinstunternehmen oder KMU sind, sind vom Geltungsbereich ausgenommen [Art. 2 Abs. 3 Buchstabe e]. Fintechs — etwa Zahlungsinstitute oder E-Geld-Institute — fallen hingegen vollständig unter DORA, es sei denn sie sind nach den einschlägigen Richtlinien ausgenommen [Art. 2 Abs. 1 Buchstaben b, d]. Für Kleinstunternehmen (< 10 Personen, < 2 Mio. EUR Umsatz) gilt ein vereinfachter IKT-Risikomanagementrahmen nach Art. 16.

Q: Was genau muss bei einem schwerwiegenden IKT-Vorfall gemeldet werden?

Finanzunternehmen müssen der zuständigen Behörde eine Erstmeldung, bei Statusänderungen eine Zwischenmeldung und nach Abschluss der Ursachenanalyse eine Abschlussmeldung übermitteln [Art. 19 Abs. 4]. Die Klassifizierung erfolgt anhand von sechs Kriterien: Anzahl betroffener Kunden, Dauer, geografische Ausbreitung, Datenverluste, Kritikalität betroffener Dienste und wirtschaftliche Auswirkungen [Art. 18 Abs. 1]. Bei Auswirkungen auf finanzielle Interessen der Kunden sind diese unverzüglich zu informieren [Art. 19 Abs. 3].

Q: Was sind bedrohungsorientierte Penetrationstests (TLPT) und wer muss sie durchführen?

TLPT simulieren reale Angriffstaktiken an Live-Produktionssystemen kritischer Funktionen [Art. 3 Nr. 17]. Die zuständige Behörde bestimmt, welche Finanzunternehmen TLPT durchführen müssen, basierend auf Wirkungsfaktoren, Finanzstabilitätsrisiken und IKT-Risikoprofil [Art. 26 Abs. 8]. Pflichtige Institute müssen TLPT mindestens alle drei Jahre durchführen, wobei jeder dritte Test einen externen Tester erfordert [Art. 26 Abs. 1, Abs. 8]. Bedeutende Kreditinstitute nach SSM dürfen ausschließlich externe Tester einsetzen [Art. 26 Abs. 8 Unterabsatz 2].

Q: Welche Anforderungen stellt DORA an IKT-Drittdienstleisterverträge?

Alle Verträge mit IKT-Drittdienstleistern müssen Mindestklauseln enthalten, darunter Funktionsbeschreibung, Datenstandorte, Datenschutz, Dienstleistungsgüte, Kündigungsrechte und Pflicht zur Zusammenarbeit mit Aufsichtsbehörden [Art. 30 Abs. 2]. Für Verträge, die kritische oder wichtige Funktionen unterstützen, gelten verschärfte Anforderungen: vollständige SLA mit quantitativen Zielen, Auditrechte, TLPT-Beteiligung und verbindliche Ausstiegsstrategien mit Übergangszeitraum [Art. 30 Abs. 3]. Vor Vertragsabschluss sind eine Risikoanalyse und eine Prüfung des IKT-Konzentrationsrisikos durchzuführen [Art. 28 Abs. 4, Art. 29].

Q: Was passiert mit kritischen IKT-Drittdienstleistern, die ihren Sitz außerhalb der EU haben?

IKT-Drittdienstleister mit Sitz in einem Drittland, die als kritisch eingestuft wurden, müssen innerhalb von zwölf Monaten nach der Einstufung ein Tochterunternehmen in der Union gründen — andernfalls dürfen Finanzunternehmen ihre Dienste nicht mehr nutzen [Art. 31 Abs. 12]. Die federführende Überwachungsbehörde kann bei Nichteinhaltung ein tägliches Zwangsgeld von bis zu 1 % des durchschnittlichen weltweiten Tagesumsatzes verhängen [Art. 35 Abs. 6–8].

Q: Wie verhält sich DORA zur NIS2-Richtlinie?

DORA ist lex specialis gegenüber NIS2: Finanzunternehmen, die nach nationalem NIS2-Umsetzungsrecht als wesentliche oder wichtige Unternehmen eingestuft wurden, unterliegen für die Zwecke von NIS2 Art. 4 den DORA-Anforderungen als sektorspezifischem Unionsrechtsakt [Art. 1 Abs. 2]. DORA geht damit vor, soweit die Anforderungen das gleiche Thema betreffen.

Q: Welche Rolle spielt das Leitungsorgan nach DORA?

Das Leitungsorgan trägt die letztendliche Verantwortung für das IKT-Risikomanagement [Art. 5 Abs. 2 Buchstabe a]. Es muss die IKT-Risikostrategie genehmigen, Budgets zuweisen, Revisionspläne überprüfen, Geschäftsfortführungspläne genehmigen und regelmäßig spezielle IKT-Schulungen absolvieren [Art. 5 Abs. 2 Buchstaben b–h, Abs. 4]. Diese persönliche Pflichtenbindung kann nicht delegiert werden.

Kann unser Cloud-Ausfall morgen den Entzug der Banklizenz nach sich ziehen — und wer im Haus muss das heute noch verhindern?

Seit dem 17. Januar 2025 müssen alle EU-Finanzunternehmen die DORA-Anforderungen an IKT-Risikomanagement, Vorfallmeldung und Drittparteiensteuerung vollständig erfüllen — bei Nichteinhaltung drohen verwaltungsrechtliche Sanktionen durch die zuständige Aufsichtsbehörde, und das Leitungsorgan trägt die persönliche Letztverantwortung [Art. 5 Abs. 2].

Kurzantwort

Die Verordnung (EU) 2022/2554 (DORA) schafft einen einheitlichen EU-Rechtsrahmen für die digitale operationale Resilienz des gesamten Finanzsektors [Art. 1 Abs. 1]. Sie verpflichtet Finanzunternehmen, einen umfassenden IKT-Risikomanagementrahmen einzurichten und laufend zu überprüfen [Art. 6], schwerwiegende IKT-bezogene Vorfälle an die zuständige Behörde zu melden [Art. 19], regelmäßig Tests der digitalen operationalen Resilienz durchzuführen [Art. 24–25] und das Risiko aus IKT-Drittdienstleisterverträgen systematisch zu steuern [Art. 28]. Kritische IKT-Drittdienstleister unterliegen zudem einer direkten EU-Überwachung durch die federführende Europäische Aufsichtsbehörde [Art. 31–33].

Betroffen

DORA gilt für 21 Kategorien von Finanzunternehmen: Kreditinstitute, Zahlungsinstitute, E-Geld-Institute, Wertpapierfirmen, Versicherungs- und Rückversicherungsunternehmen, zentrale Gegenparteien, Zentralverwahrer, Handelsplätze, Anbieter von Krypto-Dienstleistungen, Verwalter alternativer Investmentfonds, Verwaltungsgesellschaften, Ratingagenturen, Schwarmfinanzierungsdienstleister und weitere [Art. 2 Abs. 1 Buchstaben a bis t]. Zusätzlich fallen IKT-Drittdienstleister in den Geltungsbereich [Art. 2 Abs. 1 Buchstabe u]. Ausgenommen sind u. a. Verwalter alternativer Investmentfonds unter der Registrierungsschwelle, kleine Versicherungsvermittler (KMU), Einrichtungen der betrieblichen Altersversorgung mit weniger als 15 Versorgungsanwärtern und Postgiroämter [Art. 2 Abs. 3]. Für Kleinstunternehmen (< 10 Personen, < 2 Mio. EUR Umsatz) gilt ein vereinfachter IKT-Risikomanagementrahmen [Art. 16].

Frist

Die DORA-Verordnung gilt vollständig seit dem 17. Januar 2025 [Art. 64]. Alle Finanzunternehmen müssen seitdem den IKT-Risikomanagementrahmen eingerichtet haben, Vorfallmeldeprozesse operativ betreiben und das IKT-Drittparteien-Informationsregister führen. Bedrohungsorientierte Penetrationstests (TLPT) sind mindestens alle drei Jahre durchzuführen [Art. 26 Abs. 1]. Der IKT-Risikomanagementrahmen ist mindestens jährlich zu überprüfen [Art. 6 Abs. 5]. Das Informationsregister zu IKT-Drittdienstleistern ist jährlich an die Aufsichtsbehörde zu melden [Art. 28 Abs. 3].

Risiko

DORA selbst legt keine bezifferten Bußgeldobergrenzen fest, sondern verpflichtet die Mitgliedstaaten, wirksame, verhältnismäßige und abschreckende verwaltungsrechtliche Sanktionen und Abhilfemaßnahmen zu normieren [Art. 50 Abs. 3]. Die zuständigen Behörden können Unterlassungsanordnungen, Korrekturmaßnahmen und öffentliche Bekanntmachungen mit Namensnennung erlassen [Art. 50 Abs. 4]. Für kritische IKT-Drittdienstleister kann die federführende Überwachungsbehörde ein tägliches Zwangsgeld von bis zu 1 % des durchschnittlichen weltweiten Tagesumsatzes verhängen, für maximal sechs Monate [Art. 35 Abs. 6–8]. In Deutschland ist die BaFin die zuständige Aufsichtsbehörde.

Belege

Rechtsstand

• In Kraft
• Stand 2026-04-17
• Konsolidierte Fassung vom 27.12.2022

Primärquellen

• EUR-Lex — Volltext der DORA-Verordnung
• BaFin — Bundesanstalt für Finanzdienstleistungsaufsicht
• European Banking Authority (EBA) — European Banking Authority

Was jetzt zu tun ist

Legal / DPO

•Stellen Sie sicher, dass das Leitungsorgan seine Letztverantwortung für IKT-Risiken formell übernimmt, die Strategie für die digitale operationale Resilienz genehmigt und regelmäßig IKT-Schulungen absolviert — bei Versäumnissen haftet das Leitungsorgan persönlich [Art. 5 Abs. 2, Abs. 4].
•Überprüfen Sie alle bestehenden IKT-Drittdienstleisterverträge auf die Mindestvertragsklauseln nach Art. 30 Abs. 2–3, insbesondere Zugangs- und Auditrechte, Ausstiegsstrategien und Kündigungsrechte bei Sicherheitsdefiziten [Art. 28 Abs. 7, Art. 30].
•Implementieren Sie den dreistufigen Vorfallmeldeprozess (Erstmeldung, Zwischenmeldung, Abschlussmeldung) an die zuständige Aufsichtsbehörde und stellen Sie sicher, dass Kunden bei finanziellen Auswirkungen unverzüglich informiert werden [Art. 19 Abs. 1, Abs. 3–4].

Compliance

•Errichten Sie ein vollständiges Informationsregister über alle IKT-Drittdienstleisterverträge auf Unternehmens- und Konzernebene, unterschieden nach kritischen und nicht-kritischen Funktionen, und melden Sie es jährlich an die Aufsichtsbehörde [Art. 28 Abs. 3].
•Dokumentieren Sie den IKT-Risikomanagementrahmen umfassend und stellen Sie die jährliche Überprüfung sicher — bei schwerwiegenden Vorfällen oder aufsichtlichen Feststellungen ist eine sofortige Überprüfung erforderlich [Art. 6 Abs. 5].
•Bewerten Sie das IKT-Konzentrationsrisiko: Identifizieren Sie Abhängigkeiten von nicht ohne Weiteres ersetzbaren IKT-Drittdienstleistern und dokumentieren Sie die Ergebnisse vor jedem Vertragsabschluss [Art. 29 Abs. 1].

IT / Security

•Implementieren Sie Erkennungsmechanismen mit mehreren Kontrollebenen und automatisierten Alarmschwellen für IKT-bezogene Vorfälle, einschließlich Cyberangriffe, und testen Sie diese regelmäßig [Art. 10 Abs. 1–2].
•Erstellen, testen und pflegen Sie IKT-Geschäftsfortführungspläne und IKT-Reaktions- und Wiederherstellungspläne, einschließlich Szenarien für Cyberangriffe und Umstellung auf redundante Kapazitäten — Tests mindestens jährlich [Art. 11 Abs. 4, Abs. 6].
•Führen Sie ein Programm für Tests der digitalen operationalen Resilienz ein, das jährliche Schwachstellenscans und Penetrationstests für alle kritischen Systeme umfasst — für TLPT-pflichtige Institute alle drei Jahre bedrohungsorientierte Penetrationstests an Live-Systemen [Art. 24 Abs. 6, Art. 26 Abs. 1–2].

Product / Engineering

•Ermitteln und klassifizieren Sie alle IKT-gestützten Unternehmensfunktionen, Informations- und IKT-Assets sowie deren Abhängigkeiten und überprüfen Sie diese Inventare mindestens jährlich [Art. 8 Abs. 1, Abs. 4–6].
•Dokumentieren Sie Richtlinien und Verfahren für Datensicherung (Backup), Wiedergewinnung und Wiederherstellung auf der Grundlage der Kritikalität der Daten und testen Sie diese regelmäßig mit physisch und logisch getrennten Systemen [Art. 12 Abs. 1–3].
•Richten Sie ein IKT-Änderungsmanagement ein, das alle Änderungen an Software, Hardware, Firmware und Sicherheitsparametern kontrolliert erfasst, testet, genehmigt, implementiert und überprüft [Art. 9 Abs. 4 Buchstabe e].

Wichtige Begriffe

Digitale operationale Resilienz: Fähigkeit eines Finanzunternehmens, seine operative Integrität und Betriebszuverlässigkeit aufzubauen, zu gewährleisten und zu überprüfen, indem es das gesamte Spektrum an IKT-bezogenen Fähigkeiten sicherstellt [Art. 3 Nr. 1].
IKT-bezogener Vorfall: Ein nicht geplantes Ereignis, das die Sicherheit der Netzwerk- und Informationssysteme beeinträchtigt und nachteilige Auswirkungen auf Verfügbarkeit, Authentizität, Integrität oder Vertraulichkeit hat [Art. 3 Nr. 8].
Schwerwiegender IKT-bezogener Vorfall: Ein IKT-Vorfall mit umfassenden nachteiligen Auswirkungen auf Netzwerk- und Informationssysteme, die kritische oder wichtige Funktionen des Finanzunternehmens unterstützen [Art. 3 Nr. 10].
IKT-Drittparteienrisiko: IKT-bezogenes Risiko, das im Zusammenhang mit der Nutzung von IKT-Dienstleistungen durch Drittdienstleister oder deren Unterauftragnehmer entsteht [Art. 3 Nr. 18].
TLPT (Threat-Led Penetration Testing): Bedrohungsorientierte Penetrationstests, die Taktiken und Verfahren realer Angreifer nachbilden und einen kontrollierten Red-Team-Test der kritischen Live-Produktionssysteme ermöglichen [Art. 3 Nr. 17].
Kritische oder wichtige Funktion: Funktion, deren Ausfall die finanzielle Leistungsfähigkeit, die Solidität oder die Fortführung der Geschäftstätigkeit eines Finanzunternehmens erheblich beeinträchtigen würde [Art. 3 Nr. 22].
IKT-Konzentrationsrisiko: Exposition gegenüber einzelnen oder verbundenen kritischen IKT-Drittdienstleistern, die zu Abhängigkeiten führt und die Fähigkeit gefährden könnte, kritische Funktionen zu erfüllen [Art. 3 Nr. 29].
Kritischer IKT-Drittdienstleister: Ein IKT-Drittdienstleister, der von den ESA gemäß Art. 31 auf Basis systemischer Relevanz, Substituierbarkeit und Abhängigkeitsgrad als kritisch eingestuft wurde [Art. 3 Nr. 23].

Häufige Fragen

Gilt DORA auch für kleine Versicherungsvermittler und Fintechs?

Versicherungsvermittler, Rückversicherungsvermittler und Versicherungsvermittler in Nebentätigkeit, die Kleinstunternehmen oder KMU sind, sind vom Geltungsbereich ausgenommen [Art. 2 Abs. 3 Buchstabe e]. Fintechs — etwa Zahlungsinstitute oder E-Geld-Institute — fallen hingegen vollständig unter DORA, es sei denn sie sind nach den einschlägigen Richtlinien ausgenommen [Art. 2 Abs. 1 Buchstaben b, d]. Für Kleinstunternehmen (< 10 Personen, < 2 Mio. EUR Umsatz) gilt ein vereinfachter IKT-Risikomanagementrahmen nach Art. 16.

Was genau muss bei einem schwerwiegenden IKT-Vorfall gemeldet werden?

Finanzunternehmen müssen der zuständigen Behörde eine Erstmeldung, bei Statusänderungen eine Zwischenmeldung und nach Abschluss der Ursachenanalyse eine Abschlussmeldung übermitteln [Art. 19 Abs. 4]. Die Klassifizierung erfolgt anhand von sechs Kriterien: Anzahl betroffener Kunden, Dauer, geografische Ausbreitung, Datenverluste, Kritikalität betroffener Dienste und wirtschaftliche Auswirkungen [Art. 18 Abs. 1]. Bei Auswirkungen auf finanzielle Interessen der Kunden sind diese unverzüglich zu informieren [Art. 19 Abs. 3].

Was sind bedrohungsorientierte Penetrationstests (TLPT) und wer muss sie durchführen?

TLPT simulieren reale Angriffstaktiken an Live-Produktionssystemen kritischer Funktionen [Art. 3 Nr. 17]. Die zuständige Behörde bestimmt, welche Finanzunternehmen TLPT durchführen müssen, basierend auf Wirkungsfaktoren, Finanzstabilitätsrisiken und IKT-Risikoprofil [Art. 26 Abs. 8]. Pflichtige Institute müssen TLPT mindestens alle drei Jahre durchführen, wobei jeder dritte Test einen externen Tester erfordert [Art. 26 Abs. 1, Abs. 8]. Bedeutende Kreditinstitute nach SSM dürfen ausschließlich externe Tester einsetzen [Art. 26 Abs. 8 Unterabsatz 2].

Welche Anforderungen stellt DORA an IKT-Drittdienstleisterverträge?

Alle Verträge mit IKT-Drittdienstleistern müssen Mindestklauseln enthalten, darunter Funktionsbeschreibung, Datenstandorte, Datenschutz, Dienstleistungsgüte, Kündigungsrechte und Pflicht zur Zusammenarbeit mit Aufsichtsbehörden [Art. 30 Abs. 2]. Für Verträge, die kritische oder wichtige Funktionen unterstützen, gelten verschärfte Anforderungen: vollständige SLA mit quantitativen Zielen, Auditrechte, TLPT-Beteiligung und verbindliche Ausstiegsstrategien mit Übergangszeitraum [Art. 30 Abs. 3]. Vor Vertragsabschluss sind eine Risikoanalyse und eine Prüfung des IKT-Konzentrationsrisikos durchzuführen [Art. 28 Abs. 4, Art. 29].

Was passiert mit kritischen IKT-Drittdienstleistern, die ihren Sitz außerhalb der EU haben?

IKT-Drittdienstleister mit Sitz in einem Drittland, die als kritisch eingestuft wurden, müssen innerhalb von zwölf Monaten nach der Einstufung ein Tochterunternehmen in der Union gründen — andernfalls dürfen Finanzunternehmen ihre Dienste nicht mehr nutzen [Art. 31 Abs. 12]. Die federführende Überwachungsbehörde kann bei Nichteinhaltung ein tägliches Zwangsgeld von bis zu 1 % des durchschnittlichen weltweiten Tagesumsatzes verhängen [Art. 35 Abs. 6–8].

Wie verhält sich DORA zur NIS2-Richtlinie?

DORA ist lex specialis gegenüber NIS2: Finanzunternehmen, die nach nationalem NIS2-Umsetzungsrecht als wesentliche oder wichtige Unternehmen eingestuft wurden, unterliegen für die Zwecke von NIS2 Art. 4 den DORA-Anforderungen als sektorspezifischem Unionsrechtsakt [Art. 1 Abs. 2]. DORA geht damit vor, soweit die Anforderungen das gleiche Thema betreffen.

Welche Rolle spielt das Leitungsorgan nach DORA?

Das Leitungsorgan trägt die letztendliche Verantwortung für das IKT-Risikomanagement [Art. 5 Abs. 2 Buchstabe a]. Es muss die IKT-Risikostrategie genehmigen, Budgets zuweisen, Revisionspläne überprüfen, Geschäftsfortführungspläne genehmigen und regelmäßig spezielle IKT-Schulungen absolvieren [Art. 5 Abs. 2 Buchstaben b–h, Abs. 4]. Diese persönliche Pflichtenbindung kann nicht delegiert werden.

Werkzeuge & Vorlagen

KI-generierte Compliance-Hilfen

Vorschau

Gap-Checks

SOPs

Vorlagen

Entscheidungen

1. Gap-Analyse Checkliste

Hat das Leitungsorgan die letztendliche Verantwortung für das Management der IKT-Risiken formal übernommen und entsprechende Leitlinien (z.B. für Datenintegrität, Rollenverteilung) eingeführt?

Art. 5 Abs. 2|Governance und Organisation

Existiert ein solider, umfassender und gut dokumentierter IKT-Risikomanagementrahmen, der jährlich und bei schwerwiegenden Vorfällen überprüft wird?

Art. 6 Abs. 1, Abs. 5|IKT-Risikomanagement

Wurde eine Strategie für die digitale operationale Resilienz, einschließlich der Festlegung der Risikotoleranz, vom Leitungsorgan verabschiedet?

Art. 6 Abs. 8|IKT-Risikomanagement

2. SOP-Vorlagen

SOP: Meldung schwerwiegender IKT-bezogener VorfälleArt. 17, 18, 19, 20

Zweck: Diese SOP stellt die rechtzeitige, konsistente und vollständige Meldung von schwerwiegenden IKT-bezogenen Vorfällen an die zuständige Aufsichtsbehörde gemäß DORA sicher. Sie dient der Orientierung und ist keine Rechtsberatung.

Geltungsbereich: Diese SOP gilt für alle Mitarbeiter, die an der Erkennung, Analyse, Verwaltung und Meldung von IKT-bezogenen Vorfällen beteiligt sind.

Schritte:

1
Erkennung und erste Bewertung eines potenziellen IKT-bezogenen Vorfalls.
Verantwortlich: IKT-Betrieb / SOC-Team | Output: Erstes Incident-Ticket mit allen verfügbaren Informationen.
2
Klassifizierung des Vorfalls anhand der Kriterien in Art. 18 DORA (Anzahl betroffener Kunden, Dauer, geografische Ausbreitung, Datenverluste, Kritikalität der Dienste, wirtschaftliche Auswirkungen).
Verantwortlich: Incident-Manager / IKT-Sicherheitsbeauftragter | Output: Dokumentierte Klassifizierungsentscheidung ('Schwerwiegender IKT-bezogener Vorfall: Ja/Nein').
3
Bei Klassifizierung als 'schwerwiegend': Unverzügliche interne Eskalation an das Krisenmanagement und das Leitungsorgan.
Verantwortlich: IKT-Sicherheitsbeauftragter | Output: Protokollierte Information an die Geschäftsleitung.
4
Erstellung und Übermittlung der Erstmeldung an die zuständige Aufsichtsbehörde unter Verwendung der von den ESA vorgegebenen Vorlage und innerhalb der festgelegten Frist (gemäß RTS nach Art. 20).
Verantwortlich: Compliance Officer / Meldewesen-Beauftragter in Abstimmung mit IKT-Sicherheitsbeauftragtem | Output: Versandbestätigung der Erstmeldung.
5
Erstellung und Übermittlung von Zwischenmeldungen, sobald sich der Status des Vorfalls erheblich ändert oder neue wichtige Informationen verfügbar sind.
Verantwortlich: Incident-Manager / Compliance Officer | Output: Versandbestätigung der Zwischenmeldung(en).
6
Nach Abschluss der Ursachenanalyse: Erstellung und Übermittlung der Abschlussmeldung, die die Ursachenanalyse und die tatsächlichen Auswirkungen beziffert.
Verantwortlich: IKT-Sicherheitsbeauftragter / Compliance Officer | Output: Versandbestätigung der Abschlussmeldung.
7
Durchführung einer Post-Incident-Analyse zur Identifizierung von Verbesserungspotenzialen (Lessons Learned).
Verantwortlich: IKT-Sicherheitsbeauftragter | Output: Post-Incident-Report mit Handlungsempfehlungen.

Prüffrequenz: Jährlich sowie nach jedem schwerwiegenden Vorfall.

3. Textbausteine

Vertragsklausel: Audit- und Inspektionsrechte bei kritischen IKT-DrittdienstleisternArt. 30 Abs. 3 lit. e

Anwendungsfall: Zur Aufnahme in Verträge mit IKT-Drittdienstleistern, die IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen erbringen.

1. Der IKT-Drittdienstleister gewährt dem Finanzunternehmen, einem vom Finanzunternehmen beauftragten unabhängigen Dritten sowie der für das Finanzunternehmen zuständigen Aufsichtsbehörde (nachfolgend 'die Prüfungsberechtigten') uneingeschränkte Zugangs-, Inspektions- und Auditrechte. Diese Rechte beziehen sich auf alle für die Erbringung der vertragsgegenständlichen Dienstleistung relevanten Geschäftsräume (einschließlich Hauptverwaltungen und Betriebszentren), IKT-Systeme, Informationen und Daten. 2. Die Ausübung dieser Rechte zielt darauf ab, die Einhaltung der vertraglichen Vereinbarungen und der Anforderungen der Verordnung (EU) 2022/2554 (DORA) durch den IKT-Drittdienstleister zu überprüfen. 3. Die Prüfungsberechtigten haben das Recht, vor Ort Kopien relevanter Unterlagen anzufertigen. Der IKT-Drittdienstleister verpflichtet sich zur uneingeschränkten Zusammenarbeit während der Inspektionen und Audits. 4. Das Finanzunternehmen wird den IKT-Drittdienstleister über geplante Audits oder Inspektionen mit angemessener Frist informieren, es sei denn, eine sofortige Prüfung ist aufgrund eines Sicherheitsvorfalls oder einer Anweisung der Aufsichtsbehörde erforderlich. 5. Die Kosten für Audits durch das Finanzunternehmen oder einen von ihm beauftragten Dritten trägt das Finanzunternehmen, es sei denn, das Audit deckt einen wesentlichen Vertragsbruch durch den IKT-Drittdienstleister auf. In diesem Fall trägt der IKT-Drittdienstleister die angemessenen Kosten des Audits. 6. Der IKT-Drittdienstleister verpflichtet sich, auch mit der federführenden Überwachungsbehörde gemäß Kapitel V, Abschnitt II der Verordnung (EU) 2022/2554 uneingeschränkt zusammenzuarbeiten, sollte er als kritischer IKT-Drittdienstleister eingestuft werden.

+10 Gap-Checks, 1 SOPs, 2 Vorlagen warten auf Sie

7 Tage kostenlos testen

KI-generierte Compliance-Hilfen. Keine Rechtsberatung. Bitte mit Rechtsabteilung abstimmen.