IT Governance20. Juni 202612 min

DORA Art. 30 für IT-Dienstleister: Welche Vertragsklauseln du akzeptieren musst — und welche nicht

DORA wird fast immer aus Sicht der regulierten Banken und Versicherer erklärt. Aber unterschrieben werden die DORA-Verträge von jemand anderem: dem IT-Dienstleister. Wenn du Software, Cloud, Managed Services oder Beratung an Finanzunternehmen lieferst, landen die Pflichten aus Artikel 30 der Verordnung (EU) 2022/2554 in deinem Vertrag — ob du verhandelst oder nicht. Dieser Leitfaden zeigt aus Anbietersicht, welche Klauseln du akzeptieren musst, wo du verhandeln kannst und wie du ins Informationsregister deines Kunden kommst.

R&D

R&D Team

Alev-B Research & Development

Die unsichtbare Hälfte von DORA

Über DORA ist viel geschrieben worden — fast alles davon für die regulierten Finanzunternehmen. Banken, Versicherer, Zahlungsdienstleister und Wertpapierfirmen finden zahllose Leitfäden, die ihnen erklären, wie sie ihre Resilienz aufbauen, ihre Drittparteienrisiken steuern und ihr Informationsregister führen. Was kaum jemand erklärt: Die Verträge, die DORA verlangt, werden zu zweit unterschrieben. Auf der anderen Seite sitzt der IKT-Drittdienstleister — und für den ist die Quellenlage im Netz erstaunlich dünn.

Der Digital Operational Resilience Act, die Verordnung (EU) 2022/2554, gilt seit dem 17. Januar 2025 unmittelbar in allen EU-Mitgliedstaaten. Anders als bei einer Richtlinie braucht es keine nationale Umsetzung — die Verordnung wirkt direkt. Für die Finanzunternehmen ist das eine harte Pflicht. Für ihre IT-Dienstleister ist es ein Vertragsphänomen: Die regulatorischen Anforderungen treffen euch nicht über ein Gesetz, sondern über die Verträge, die eure Kunden euch jetzt vorlegen.

Wir betrachten DORA in diesem Beitrag deshalb bewusst aus der Anbieterperspektive. Wenn du Cloud-Hosting, Software-as-a-Service, Managed Services, Rechenzentrumsleistungen oder spezialisierte IT-Beratung an Finanzunternehmen verkaufst, bist du ein IKT-Drittdienstleister im Sinne der Verordnung. Die rechtliche Würdigung deines konkreten Vertrags gehört in die Hände einer Kanzlei — aber die Logik der Klauseln, die Verhandlungsspielräume und die operativen Konsequenzen kannst du verstehen, bevor du unterschreibst. Genau das leistet dieser Leitfaden.

Der wichtigste Satz vorab: Du wirst nicht mehr gefragt, ob du DORA-Klauseln akzeptierst. Du wirst gefragt, ob du den Auftrag willst. Wer die Pflichtklauseln aus Artikel 30 nicht erfüllen kann oder will, fliegt aus der Lieferantenliste — denn ohne sie darf das Finanzunternehmen den Vertrag gar nicht schließen. Wer sie versteht, kann an den richtigen Stellen verhandeln und an den falschen Stellen Zeit sparen.

Bin ich überhaupt ein IKT-Drittdienstleister?

Der Anwendungsbereich von DORA für Dienstleister ist breiter, als viele annehmen. Die Verordnung definiert IKT-Dienstleistungen umfassend: digitale Dienste und Datendienste, die dauerhaft über IKT-Systeme für einen oder mehrere interne oder externe Nutzer bereitgestellt werden. Das umfasst weit mehr als klassisches Hosting.

Praktisch heißt das: Wenn du als Anbieter eine der folgenden Leistungen an ein Finanzunternehmen erbringst, bist du mit hoher Wahrscheinlichkeit ein IKT-Drittdienstleister und musst dich auf DORA-Verträge einstellen. Die folgende Liste ist eine Orientierung, keine abschließende rechtliche Einordnung — diese ergibt sich aus deinem konkreten Leistungsbild.

Eine besondere Kategorie sind die „kritischen IKT-Drittdienstleister" (CTPPs), die von den europäischen Aufsichtsbehörden direkt benannt und beaufsichtigt werden. Das betrifft nur sehr große, systemrelevante Anbieter. Die übergroße Mehrheit der Dienstleister ist nicht kritisch im Sinne dieser Sonderaufsicht, aber sehr wohl von den vertraglichen Pflichten aus Artikel 30 erfasst — über die Verträge ihrer Finanzkunden.

  • Cloud-Computing-Dienste (IaaS, PaaS, SaaS) — von der Infrastruktur bis zur fertigen Fachanwendung
  • Software-Entwicklung und -Wartung, sofern die Software produktiv im Finanzbetrieb läuft
  • Managed Services, Rechenzentrums- und Hosting-Leistungen, Netzwerk- und Konnektivitätsdienste
  • Datenanalyse-, Daten-Hosting- und Datenverarbeitungsdienste
  • Spezialisierte IT-Beratung und Implementierungsleistungen mit dauerhaftem Systemzugriff
  • Sicherheitsdienste wie SOC-Betrieb, Monitoring oder Identity-Management

Artikel 30: Die Pflichtklauseln, die in deinen Vertrag müssen

Das Herzstück für Dienstleister ist Artikel 30 der Verordnung (EU) 2022/2554. Er listet auf, welche Bestandteile eine vertragliche Vereinbarung über die Nutzung von IKT-Dienstleistungen zwingend enthalten muss. Das ist keine Empfehlung und keine Verhandlungsmasse: Ohne diese Bestandteile darf das Finanzunternehmen den Vertrag nicht abschließen. Artikel 30 unterscheidet dabei zwischen Anforderungen, die für alle IKT-Verträge gelten, und zusätzlichen, strengeren Anforderungen für Dienste, die kritische oder wichtige Funktionen des Finanzunternehmens unterstützen.

Diese Unterscheidung ist für dich als Anbieter zentral: Liefert dein Dienst eine kritische oder wichtige Funktion, gelten die strengeren Klauseln — etwa vollständige Service-Level-Beschreibungen mit präzisen quantitativen und qualitativen Zielwerten, weitreichende Audit- und Zugangsrechte und detaillierte Exit-Strategien. Liefert dein Dienst eine unterstützende, nicht-kritische Funktion, gilt der Grundkatalog. Die Einstufung trifft das Finanzunternehmen, nicht du — aber sie bestimmt, wie streng dein Vertrag wird.

Die folgende Übersicht übersetzt die zentralen Pflichtbestandteile des Artikel 30 in das, was sie für dich als Anbieter konkret bedeuten. Sie ersetzt nicht die Lektüre des Verordnungstexts bei EUR-Lex, aber sie macht aus dem Gesetzestext eine Verhandlungs-Landkarte.

Pflichtbestandteil (Art. 30)Was es für dich als Anbieter bedeutetGilt verschärft bei kritischer/wichtiger Funktion
Klare LeistungsbeschreibungVollständige, eindeutige Beschreibung aller bereitgestellten IKT-Dienste und Funktionen — Vager Scope ist nicht mehr zulässigJa — inkl. ob Subdienste erlaubt sind und unter welchen Bedingungen
Datenstandort & DatenverarbeitungAngabe der Standorte (Länder/Regionen), an denen Daten verarbeitet und gespeichert werden; Pflicht zur Vorab-Information bei VerlagerungJa — Standortänderungen können zustimmungspflichtig werden
Verfügbarkeit, Integrität, Vertraulichkeit, DatenschutzVertragliche Zusicherung von Schutzniveaus für die Daten des Finanzunternehmens, inkl. personenbezogener DatenJa — meist mit messbaren Zielwerten unterlegt
Service Level Agreements (SLAs)Bei nicht-kritischen Diensten: Beschreibung der Service-Level. Bei kritischen Diensten: präzise quantitative und qualitative Leistungsziele mit ReaktionszeitenJa — vollständige, messbare SLAs mit definierten Reaktions- und Wiederherstellungszielen
Incident-Unterstützung & MeldungPflicht, das Finanzunternehmen bei IKT-Vorfällen zu unterstützen und es über Vorfälle zu informieren, die seine Dienste betreffen — ohne Zusatzkosten oder zu vorab vereinbarten KostenJa — definierte Meldewege und Unterstützung bei behördlicher Vorfallmeldung
Audit-, Zugangs- & InspektionsrechteDas Finanzunternehmen, seine benannten Prüfer und die zuständige Aufsicht erhalten umfassende Rechte auf Zugang, Inspektion und Audit deiner relevanten Systeme und RäumlichkeitenJa — uneingeschränkte Rechte, inkl. Vor-Ort-Audits und voller Kooperation
Mitwirkung an Resilienz-TestsPflicht zur Teilnahme an bzw. Unterstützung von Sicherheitsbewusstseins- und Resilienz-Testprogrammen des FinanzunternehmensJa — Einbindung in das bedrohungsorientierte Testprogramm (TLPT) kann verlangt werden
Subunternehmer-TransparenzOffenlegung, ob und welche Subunternehmer kritische/wichtige Funktionen unterstützen; Bedingungen für die WeitervergabeJa — Vorab-Information und ggf. Widerspruchs-/Zustimmungsrecht bei Wechsel von Sub-Dienstleistern
Kündigungs- & Exit-RechteDefinierte Kündigungsgründe und -fristen zugunsten des Finanzunternehmens, u. a. bei Verstößen, Aufsichtsanordnungen oder Schwächen im RisikomanagementJa — plus vollständige Exit-Strategie und Übergangsunterstützung
Exit-Strategie & DatenrückgabeBei kritischen/wichtigen Funktionen: angemessene Übergangsfrist, in der du den Dienst weiterführst, sowie geordnete Rückgabe/Migration aller Daten in einem nutzbaren FormatJa — Exit-Plan ist Pflichtbestandteil, keine Kür

Audit- und Zugangsrechte: Was du wirklich gewährst

Die Audit- und Zugangsrechte sind für viele Dienstleister der unangenehmste Teil von Artikel 30 — und der am häufigsten missverstandene. Die Verordnung verlangt, dass das Finanzunternehmen, ein von ihm beauftragter Dritter und die zuständige Aufsichtsbehörde das uneingeschränkte Recht auf Zugang, Inspektion und Audit der Systeme, Prozesse und Räumlichkeiten erhalten, die für die erbrachte Leistung relevant sind. Bei kritischen oder wichtigen Funktionen sind diese Rechte besonders weitreichend und umfassen auch Vor-Ort-Audits.

Was viele Anbieter zunächst beunruhigt: Bedeutet das, dass jeder Bankkunde jederzeit unangekündigt in mein Rechenzentrum spazieren darf? Nein. Die Verordnung erlaubt, die Modalitäten vertraglich auszugestalten — Ankündigungsfristen, Vertraulichkeitsregeln, Verhältnismäßigkeit und die Begrenzung auf die für die Leistung relevanten Bereiche sind verhandelbar. Was nicht verhandelbar ist, ist die Existenz des Rechts an sich und die Tatsache, dass die Aufsichtsbehörde am Ende nicht ausgesperrt werden darf.

Ein in der Praxis entscheidender Hebel für Anbieter mit vielen Finanzkunden sind anerkannte Drittparteien-Zertifizierungen und Pool-Audits. Statt jedem Kunden ein eigenes Vor-Ort-Audit zu gewähren, kannst du verhandeln, dass standardisierte Prüfberichte (etwa anerkannte Sicherheits- und Kontroll-Audits durch unabhängige Prüfer) den Großteil der Audit-Anforderung abdecken und Vor-Ort-Audits auf begründete Ausnahmefälle beschränkt bleiben. Die Aufsicht akzeptiert solche poolbaren Nachweise ausdrücklich als Mittel, um die Belastung beider Seiten zu reduzieren — aber sie ersetzen das Aufsichts-Zugangsrecht nicht.

Akzeptieren musst du: das Audit-Recht selbst, vollen Aufsichtszugang und Kooperationspflicht. Verhandeln kannst du: Ankündigungsfristen, die Anerkennung von Pool-Audits und Zertifikaten, die Begrenzung auf relevante Systeme und faire Kostenteilung bei zusätzlichen Vor-Ort-Audits.

Das Informationsregister: Wie du in die Liste deines Kunden kommst

Jedes Finanzunternehmen muss nach DORA ein Informationsregister über alle vertraglichen Vereinbarungen zur Nutzung von IKT-Dienstleistungen führen. In diesem Register taucht jeder Dienstleister auf — also auch du. Für dich als Anbieter ist das relevant, weil dein Kunde von dir genau die Daten braucht, die er in dieses Register einträgt und an seine Aufsicht meldet.

Die europäischen Aufsichtsbehörden — die EBA für Banken, die EIOPA für Versicherer und die ESMA für Wertpapierfirmen — haben über gemeinsame technische Standards das Format des Informationsregisters vereinheitlicht. In Deutschland hat die BaFin die nationale Erhebung koordiniert. Das erste reguläre Meldefenster für das Informationsregister lief vom 9. bis zum 30. März 2026 — die Finanzunternehmen mussten ihre Register in diesem Zeitraum an die BaFin übermitteln. Das bedeutet: Wenn du Finanzkunden hast, hast du im Frühjahr 2026 sehr wahrscheinlich Datenanfragen bekommen, und dieses Meldefenster wird sich regelmäßig wiederholen.

Konkret braucht dein Kunde von dir typischerweise eine Reihe strukturierter Stammdaten, um dich korrekt ins Register einzutragen. Ein Dienstleister, der diese Angaben sauber, aktuell und in der erwarteten Form bereithält, ist für seine Finanzkunden spürbar einfacher zu führen — und genau das ist ein Wettbewerbsvorteil, wenn der Kunde seine Lieferantenliste konsolidiert.

  1. 1Eindeutige Identifikatoren: Deine Unternehmens-Identifikatoren wie der Legal Entity Identifier (LEI), sofern vorhanden, sowie vollständige Firmierung und Sitz.
  2. 2Leistungsbeschreibung und IKT-Dienstleistungstyp: Eine klare, der vereinbarten Taxonomie entsprechende Einordnung des Dienstes, den du erbringst.
  3. 3Funktion kritisch oder nicht: Die Information, ob dein Dienst eine kritische oder wichtige Funktion des Finanzunternehmens unterstützt — das treibt die Strenge der Vertragsklauseln.
  4. 4Datenstandorte: Die Länder/Regionen, in denen Daten verarbeitet und gespeichert werden, sowie der Standort der Leistungserbringung.
  5. 5Subunternehmer-Kette: Angaben zu den Subdienstleistern, die kritische/wichtige Funktionen unterstützen — die Kette muss bis zu einer relevanten Tiefe nachvollziehbar sein.
  6. 6Vertragseckdaten: Beginn, Laufzeit, Kündigungsfristen und die Einordnung, ob es sich um einen Vertrag über eine kritische oder wichtige Funktion handelt.

Verhandlungsleitplanken: Was du akzeptierst, was du zurückweist

Die wertvollste Fähigkeit für einen IT-Dienstleister im DORA-Zeitalter ist, sauber zu trennen zwischen dem, was nicht verhandelbar ist, weil die Verordnung es zwingend vorschreibt, und dem, was sehr wohl Verhandlungsmasse ist, weil die Verordnung nur das Ziel, nicht den genauen Mechanismus festlegt. Wer alles abnickt, gibt unnötig Spielraum auf. Wer pauschal blockt, verliert den Auftrag, weil sein Kunde ohne die Pflichtklauseln gar nicht abschließen darf.

Die folgende Leitplanke ist eine Faustregel aus der Praxis, keine Rechtsberatung. Sie hilft dir, das Gespräch mit dem Einkauf und der Rechtsabteilung deines Finanzkunden auf die Punkte zu fokussieren, an denen es wirklich etwas zu gewinnen gibt.

Das musst du akzeptieren (nicht verhandelbar)

Die Existenz von Audit-, Zugangs- und Inspektionsrechten für Kunde, beauftragte Prüfer und Aufsicht. Du kannst die Modalitäten gestalten, aber nicht das Recht streichen.

Die Kooperationspflicht gegenüber der zuständigen Aufsichtsbehörde — die Aufsicht darf nicht vertraglich ausgesperrt werden.

Die Pflicht, das Finanzunternehmen bei IKT-Vorfällen zu unterstützen und es über relevante Vorfälle zu informieren.

Eine vollständige Leistungsbeschreibung sowie die Angabe der Datenstandorte. Vage Scope-Definitionen sind unter DORA nicht mehr tragfähig.

Bei kritischen/wichtigen Funktionen: eine Exit-Strategie mit angemessener Übergangsfrist und geordneter Datenrückgabe in einem nutzbaren Format.

Kündigungsrechte des Finanzunternehmens für die in der Verordnung genannten Gründe, etwa schwerwiegende Verstöße oder behördliche Anordnungen.

Das kannst du verhandeln (Gestaltungsspielraum)

Ankündigungsfristen und die praktische Ausgestaltung von Vor-Ort-Audits — inklusive der Anerkennung von Pool-Audits und unabhängigen Drittparteien-Zertifizierungen statt individueller Einzel-Audits.

Die konkreten SLA-Zielwerte, Reaktions- und Wiederherstellungszeiten — sie müssen messbar sein, aber die Höhe ist Verhandlungssache und sollte zu deiner realen Leistungsfähigkeit passen.

Die Kostenverteilung für über das Standardmaß hinausgehende Audit-, Unterstützungs- und Testleistungen.

Die Länge der Exit-Übergangsfrist und der Umfang der Migrationsunterstützung — angemessen, aber nicht unbegrenzt.

Haftungsobergrenzen und Verhältnismäßigkeitsklauseln, soweit sie die Pflichtbestandteile nicht aushöhlen.

Die Tiefe der Subunternehmer-Offenlegung und die Ausgestaltung von Informations- bzw. Zustimmungsrechten bei Wechseln in der Subkette.

Hier solltest du vorsichtig sein (rote Flaggen)

Pauschale, unbegrenzte Audit-Rechte „jederzeit ohne Ankündigung" ohne jede Modalität — das ist über das Pflichtmaß hinaus und du darfst Ausgestaltung verlangen.

Unbegrenzte Exit-Übergangspflichten ohne Kostenregelung — eine angemessene Frist ist Pflicht, eine unbefristete Weiterleistung zum Altpreis nicht.

Durchgriffsklauseln, die dir die volle Haftung für jeden Subunternehmer ohne Verhältnismäßigkeit aufbürden — Transparenz ja, unbegrenzte Erfolgshaftung nein.

Vertragsstrafen, die an SLA-Zielwerte gekoppelt sind, die du operativ gar nicht zuverlässig erreichen kannst — lieber realistische Werte vereinbaren als unhaltbare Versprechen.

So machst du dich zum bevorzugten DORA-Lieferanten

Aus der Pflicht lässt sich ein Vorteil machen. Finanzunternehmen konsolidieren ihre Lieferantenbasis unter DORA spürbar — jeder Dienstleister erzeugt Register-, Audit- und Steuerungsaufwand. Wer diesen Aufwand für seinen Kunden klein hält, wird zum bevorzugten Anbieter, während andere aus der Liste fallen. Die folgenden Schritte machen dich aus Anbietersicht DORA-fit, bevor der nächste Vertrag oder die nächste Datenanfrage kommt.

  1. 1Leistungsbild dokumentieren: Erstelle eine präzise, eindeutige Beschreibung deiner IKT-Dienste, der Datenstandorte und der unterstützten Funktionen — genau die Angaben, die in das Informationsregister deines Kunden müssen.
  2. 2Subunternehmer-Kette offenlegen: Halte eine aktuelle Liste deiner relevanten Subdienstleister bereit, inklusive der Frage, welche davon kritische/wichtige Funktionen berühren. Diese Transparenz wird vertraglich verlangt — biete sie proaktiv an.
  3. 3Audit-Nachweise poolen: Investiere in anerkannte, unabhängige Sicherheits- und Kontroll-Audits, die du allen Finanzkunden als Pool-Nachweis anbieten kannst. Das reduziert individuelle Vor-Ort-Audits und ist ein echtes Verkaufsargument.
  4. 4Exit-Plan vorbereiten: Definiere im Vorfeld, wie eine geordnete Migration und Datenrückgabe in einem nutzbaren Format ablaufen würde, inklusive Übergangsfrist. Ein fertiger Exit-Plan signalisiert Reife und beschleunigt Verhandlungen.
  5. 5Incident-Meldewege festlegen: Lege fest, über welchen Kanal, in welcher Frist und mit welchem Informationsumfang du Finanzkunden über relevante Vorfälle informierst — und übe diesen Weg, bevor der erste Ernstfall kommt.
  6. 6SLA-Realismus prüfen: Gleiche deine zugesagten Service-Level mit deiner tatsächlichen, gemessenen Leistungsfähigkeit ab. Realistische, einhaltbare SLAs sind unter DORA wertvoller als ambitionierte, die du im Ernstfall reißt.

Quellen und weiterführende Verweise

Dieser Beitrag stützt sich auf den Originaltext der Verordnung und offizielle Aufsichtsquellen. Die rechtliche Würdigung deines konkreten Vertrags gehört in die Hände einer Kanzlei.

  • DORA — Verordnung (EU) 2022/2554, inkl. Artikel 30 (EUR-Lex, konsolidierte Fassung): https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A32022R2554
  • Technische Regulierungsstandards zur Untervergabe von IKT-Diensten für kritische oder wichtige Funktionen — Delegierte Verordnung (EU) 2024/1773 (EUR-Lex): https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A32024R1773
  • BSI — Aufsicht über die regulierte Wirtschaft und digitale Resilienz (verwandter NIS-2/KRITIS-Kontext): https://www.bsi.bund.de/DE/Themen/Regulierte-Wirtschaft/NIS-2-regulierte-Unternehmen/nis-2-regulierte-unternehmen_node.html
  • heise online — laufende Berichterstattung zu DORA und digitaler operationaler Resilienz: https://www.heise.de/thema/DORA

Die wichtigsten Erkenntnisse

  • DORA (Verordnung (EU) 2022/2554) gilt seit dem 17. Januar 2025 unmittelbar. IT-Dienstleister sind nicht direkt reguliert, werden aber über die Verträge ihrer Finanzkunden zu denselben Pflichten gebunden.
  • Artikel 30 listet die Pflichtbestandteile jedes IKT-Vertrags auf — ohne sie darf das Finanzunternehmen gar nicht abschließen. Bei kritischen/wichtigen Funktionen gelten verschärfte Klauseln (volle SLAs, Exit-Strategie, weitreichende Audit-Rechte).
  • Audit-, Zugangs- und Inspektionsrechte für Kunde und Aufsicht sind nicht verhandelbar — die Modalitäten (Ankündigung, Pool-Audits, anerkannte Zertifikate) aber sehr wohl.
  • Jeder Dienstleister landet im Informationsregister seines Finanzkunden; das erste reguläre Meldefenster an die BaFin lief vom 9. bis 30. März 2026. Wer saubere Stammdaten bereithält, ist leichter zu führen.
  • Die Kunst liegt in der Trennung: Pflichtklauseln akzeptieren, Modalitäten, SLA-Werte, Kostenteilung und Exit-Fristen verhandeln, unbegrenzte Audit-/Haftungsklauseln als rote Flaggen behandeln.

Weiterlesen

Häufig gestellte Fragen

DORA reguliert direkt die Finanzunternehmen, nicht dich. Du wirst aber über Artikel 30 vertraglich an dieselben Anforderungen gebunden: Dein Finanzkunde darf den Vertrag nur abschließen, wenn er die Pflichtklauseln enthält, und reicht sie damit an dich weiter. Praktisch erfüllst du DORA also nicht als Gesetz, sondern als Vertrag. Eine Ausnahme bilden die wenigen als kritisch eingestuften Drittdienstleister, die direkt unter europäische Aufsicht fallen — das betrifft nur sehr große, systemrelevante Anbieter. Die rechtliche Einordnung deines konkreten Falls gehört in eine Kanzlei.

Nicht verhandelbar sind: das Audit-, Zugangs- und Inspektionsrecht für Kunde, beauftragte Prüfer und Aufsichtsbehörde; die Kooperationspflicht gegenüber der Aufsicht; die Unterstützungs- und Informationspflicht bei IKT-Vorfällen; eine vollständige Leistungs- und Datenstandortbeschreibung; die Kündigungsrechte des Finanzunternehmens für die in der Verordnung genannten Gründe; und bei kritischen oder wichtigen Funktionen eine Exit-Strategie mit Datenrückgabe. Verhandelbar sind hingegen die Ausgestaltung dieser Pflichten — Fristen, Modalitäten, SLA-Zielwerte, Kostenteilung und die Anerkennung von Pool-Audits.

Nein. Die Verordnung verlangt, dass Audit-, Zugangs- und Inspektionsrechte bestehen und die Aufsicht nicht ausgesperrt wird. Sie erlaubt aber, die Modalitäten vertraglich auszugestalten: Ankündigungsfristen, Vertraulichkeit, Verhältnismäßigkeit und die Begrenzung auf relevante Systeme sind verhandelbar. In der Praxis kannst du zudem anerkannte unabhängige Prüfberichte und Pool-Audits anbieten, sodass individuelle Vor-Ort-Audits auf begründete Ausnahmen beschränkt bleiben. Das Recht selbst und der Aufsichtszugang bleiben jedoch bestehen.

Jedes Finanzunternehmen führt nach DORA ein Informationsregister über alle IKT-Vertragsbeziehungen und meldet es an seine Aufsicht. In Deutschland koordiniert die BaFin die Erhebung; das erste reguläre Meldefenster lief vom 9. bis 30. März 2026. Dein Kunde trägt dich in dieses Register ein und braucht dafür strukturierte Stammdaten von dir: eindeutige Identifikatoren (etwa den LEI), eine Leistungsbeschreibung samt IKT-Dienstleistungstyp, die Information ob dein Dienst eine kritische oder wichtige Funktion stützt, die Datenstandorte, die Subunternehmer-Kette für kritische Funktionen und die Vertragseckdaten.

Artikel 30 enthält einen Grundkatalog für alle IKT-Verträge und einen verschärften Katalog für Dienste, die eine kritische oder wichtige Funktion des Finanzunternehmens unterstützen. Bei kritischen/wichtigen Funktionen kommen unter anderem hinzu: vollständige, messbare Service-Level mit präzisen Leistungs- und Wiederherstellungszielen, weitreichendere Audit- und Vor-Ort-Rechte, eine ausdrückliche Exit-Strategie mit angemessener Übergangsfrist und geordneter Datenrückgabe sowie strengere Anforderungen an die Offenlegung und Steuerung von Subunternehmern. Die Einstufung, ob deine Funktion kritisch ist, trifft das Finanzunternehmen — sie bestimmt aber maßgeblich, wie streng dein Vertrag wird.

Finanzunternehmen konsolidieren ihre Lieferantenbasis unter DORA, weil jeder Dienstleister Register-, Audit- und Steuerungsaufwand erzeugt. Wer diesen Aufwand klein hält, wird zum bevorzugten Anbieter: ein sauber dokumentiertes Leistungsbild, eine offengelegte Subunternehmer-Kette, anerkannte poolbare Sicherheits- und Kontroll-Audits, ein vorbereiteter Exit-Plan, definierte Incident-Meldewege und realistische, einhaltbare SLAs. Diese sechs Punkte machen dich für deine Finanzkunden spürbar einfacher führbar — und genau das entscheidet, wer auf der Lieferantenliste bleibt.

DORAIKT-DrittdienstleisterArt. 30VertragsklauselnAudit-RechteCompliance

Bereit für Ihr Assessment?

Nutzen Sie unsere interaktiven Templates, um den Reifegrad Ihrer IT-Organisation zu messen — mit automatischen Scores, KI-Empfehlungen und professionellen PDF-Reports.