DORA und Softwareanbieter: Wer trägt welche Verantwortung?
DORA wird häufig auf zwei verkürzte Aussagen reduziert: Entweder müsse der Softwareanbieter nun jede regulatorische Anforderung erfüllen, oder DORA betreffe ausschließlich das Finanzunternehmen. Beides greift zu kurz.
Die Verordnung (EU) 2022/2554 über die digitale operationale Resilienz im Finanzsektor gilt seit dem 17. Januar 2025.[1] Die primäre aufsichtsrechtliche Verantwortung bleibt beim Finanzunternehmen. Gleichzeitig verlangt DORA eine deutlich engere Steuerung von IKT-Drittdienstleistern und verbindliche Vertragsinhalte. Für kritische Anbieter kommt eine direkte europäische Überwachung hinzu.
Auslagerung verlagert die Verantwortung nicht
Art. 28 Abs. 1 Buchst. a DORA stellt klar, dass ein Finanzunternehmen auch beim Bezug externer IKT-Dienstleistungen vollständig für die Einhaltung seiner Pflichten verantwortlich bleibt.[1]
Das Unternehmen muss das IKT-Drittparteienrisiko als Bestandteil seines IKT-Risikomanagements steuern. Dazu gehören eine Strategie, eine Leitlinie für Dienste zur Unterstützung kritischer oder wichtiger Funktionen und ein Informationsregister über IKT-Vertragsbeziehungen.[1, Art. 28 Abs. 2–3]
Vor einem Vertragsschluss sind unter anderem zu prüfen:
- Bedeutung der unterstützten Funktion,
- aufsichtsrechtliche Voraussetzungen,
- operationelle, Sicherheits- und Konzentrationsrisiken,
- Eignung und Informationssicherheitsstandards des Anbieters,
- Interessenkonflikte,
- Risiken von Unterauftragnehmern und Drittstaaten.
Das Finanzunternehmen kann diese Bewertung nicht durch einen allgemeinen Hinweis auf ein Zertifikat oder die Eigenverantwortung des Lieferanten ersetzen.
DORA wirkt über Verträge auf Anbieter
Art. 30 DORA verlangt, dass Rechte und Pflichten schriftlich, eindeutig und zusammen mit den Service Levels festgehalten werden.[1][5]
Für Vertragsvereinbarungen über die Nutzung von IKT-Dienstleistungen im Anwendungsbereich der DORA sind insbesondere folgende Punkte zu regeln:
- vollständige Beschreibung von Leistungen und Funktionen,
- die nach Art. 30 Abs. 2 Buchst. a erforderlichen Angaben zur Unterauftragsvergabe,
- Orte der Leistungserbringung, Datenverarbeitung und Speicherung,
- Anforderungen an Verfügbarkeit, Authentizität, Integrität und Vertraulichkeit,
- Datenzugang, Wiederherstellung und Rückgabe,
- Service Levels und deren Aktualisierung,
- Unterstützung bei IKT-Vorfällen,
- Zusammenarbeit mit Aufsichts- und Abwicklungsbehörden,
- Kündigungsrechte und Kündigungsfristen.
Bei Diensten für kritische oder wichtige Funktionen kommen insbesondere konkrete Regelungen dazu, ob und unter welchen Bedingungen wesentliche Teile untervergeben werden dürfen, sowie messbare Service Levels, Meldepflichten, getestete Notfallpläne, Sicherheitsmaßnahmen, Mitwirkung an Threat-Led Penetration Tests und weitreichende Zugangs-, Inspektions- und Auditrechte.[1, Art. 30 Abs. 2 Buchst. a und Abs. 3]
Für gewöhnliche IKT-Drittdienstleister werden die operativen DORA-Anforderungen grundsätzlich über DORA-konforme Verträge des Finanzunternehmens konkretisiert. Ob hierfür eine Vertragsänderung erforderlich ist, hängt auch vom Inhalt und von der Auslegung des bestehenden Vertrags ab. Für als kritisch eingestufte IKT-Drittdienstleister tritt daneben das unmittelbare unionsrechtliche Überwachungsregime nach Art. 31 ff. DORA.
Exit-Fähigkeit ist Teil der Resilienz
DORA verlangt bei kritischen oder wichtigen Funktionen dokumentierte und getestete Ausstiegsstrategien.[1, Art. 28 Abs. 8] Das Unternehmen muss Alternativen, Übergangspläne und die Fortführung seiner Funktionen berücksichtigen.
Der Vertrag soll deshalb nicht nur den Normalbetrieb regeln. Datenportabilität, Unterstützung beim Übergang, angemessene Übergangszeiträume und klare Kündigungsrechte sind Teil der Resilienz. Ein technisch funktionierender Dienst kann aufsichtsrechtlich problematisch bleiben, wenn Abhängigkeiten nicht steuerbar sind oder ein Anbieterwechsel praktisch unmöglich wäre.
Unterauftragnehmer und Konzentrationsrisiken
Art. 29 DORA verlangt eine Bewertung von Konzentrationsrisiken und Unterauftragsketten.[1] Relevant sind etwa geringe Ersetzbarkeit, die Bündelung mehrerer kritischer Dienste bei einem Anbieter, Drittlandrisiken, Datenschutz, Insolvenz sowie lange oder intransparente Subunternehmerketten.
Die Delegierte Verordnung (EU) 2025/532 konkretisiert die Bewertung von Unterauftragsvergaben bei Diensten für kritische oder wichtige Funktionen.[2] Für Anbieter bedeutet das: Eine technisch zulässige Untervergabe kann trotzdem nicht akzeptabel sein, wenn Transparenz, Kontrollrechte oder Ausstiegsfähigkeit fehlen.
Als kritisch eingestufte Anbieter unterliegen dem europäischen Überwachungsrahmen
Nach Art. 31 DORA können die Europäischen Aufsichtsbehörden IKT-Drittdienstleister als kritisch einstufen. Maßgeblich sind unter anderem systemische Auswirkungen, die Bedeutung der belieferten Finanzunternehmen, Abhängigkeiten und Ersetzbarkeit.[1]
Im November 2025 veröffentlichten die ESAs die erste Liste mit 19 kritischen IKT-Drittdienstleistern.[3] Für jeden wird eine federführende Überwachungsbehörde bestimmt. Im besonderen DORA-Oversight-Framework kann sie unter anderem Informationen verlangen, Untersuchungen und Vor-Ort-Inspektionen durchführen sowie Empfehlungen zu Governance, Sicherheit, Vorfällen, Tests, Datenportabilität und Unterauftragsrisiken aussprechen.[1, Art. 35 und 37–42]
Diese direkte Überwachung betrifft nicht jeden Softwarelieferanten. Sie zeigt aber, dass „DORA richtet sich nie an den Anbieter“ ebenfalls falsch wäre.
Verlangt DORA kostenlose Zusatzleistungen?
DORA enthält keine allgemeine Regel, nach der ein Anbieter jede regulatorisch motivierte Erweiterung kostenlos entwickeln muss. Art. 30 regelt erforderliche Vertragsinhalte, nicht pauschal die Vergütung zukünftiger Softwareentwicklung.
Besonders aufschlussreich ist Art. 30 Abs. 2 Buchst. f: Unterstützung bei einem IKT-Vorfall muss entweder ohne zusätzliche Kosten oder zu vorab festzusetzenden Kosten vereinbart werden.[1] Die Verordnung lässt damit ausdrücklich unterschiedliche Vergütungsmodelle zu.
Ob eine konkrete Anpassung bereits geschuldet ist, hängt insbesondere ab von:
- Leistungsbeschreibung und vereinbartem Verwendungszweck,
- zugesagter regulatorischer Konformität,
- Service Levels,
- Update-, Wartungs- und Pflegeklauseln,
- Change- und Compliance-Klauseln,
- Mangelbegriff und Vertragstyp.
BaFin hat früh auf die notwendige Nachverhandlung von IKT-Drittdienstleisterverträgen hingewiesen.[4] Nachverhandlung ist etwas anderes als eine automatische, kostenlose Vertragsänderung.
Was beide Seiten praktisch tun sollten
Finanzunternehmen sollten ihre IKT-Bezüge klassifizieren, Informationsregister und Kritikalitätsbewertungen pflegen, Vertragslücken priorisieren und Exit-Pläne testen.
Anbieter sollten transparent bestimmen, welche DORA-relevanten Leistungen sie standardmäßig anbieten und welche gesondert vereinbart werden müssen. Dazu gehören Subunternehmerinformationen, Datenstandorte, Incident-Unterstützung, Auditmodelle, Datenrückgabe, Resilienztests und Übergangsleistungen.
Der Konflikt entsteht häufig nicht durch DORA selbst, sondern durch unklare Altverträge. Wer Leistungsumfang, Kosten und Mitwirkung erst im Vorfall diskutiert, hat zu spät verhandelt.
Fazit
DORA lässt die primäre Verantwortung beim Finanzunternehmen, bindet IKT-Drittdienstleister aber über Due Diligence, Verträge, Überwachung und Exit-Anforderungen eng ein. Kritische Anbieter können zusätzlich direkt europäisch überwacht werden.
DORA macht aus jedem Softwarelieferanten keine Finanzaufsichtsbehörde. Sie macht aber aus IKT-Verträgen ein zentrales Instrument der operationalen Resilienz.
Fachliche Abgrenzung: Dieser Beitrag beschreibt den regulatorischen Rahmen. Die Einordnung eines konkreten Vertrags und bestehender Vergütungs- oder Mängelansprüche erfordert eine rechtliche Einzelfallprüfung.
Quellen
[1] Europäisches Parlament und Rat. Verordnung (EU) 2022/2554 vom 14. Dezember 2022 über die digitale operationale Resilienz im Finanzsektor, ABl. L 333 vom 27.12.2022, S. 1–79, insb. Art. 28–35 und 42. https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32022R2554.
[2] Europäische Kommission. Delegierte Verordnung (EU) 2025/532 vom 24. März 2025 zu Unterauftragsvergaben für kritische oder wichtige Funktionen. https://eur-lex.europa.eu/eli/reg_del/2025/532/oj/deu.
[3] European Supervisory Authorities. European Supervisory Authorities designate critical ICT third-party providers under DORA. 18.11.2025. https://www.eba.europa.eu/publications-and-media/press-releases/european-supervisory-authorities-designate-critical-ict-third-party-providers-under-digital (abgerufen am 11.07.2026).
[4] Bundesanstalt für Finanzdienstleistungsaufsicht. DORA für IKT-Drittdienstleister. Präsentation vom 21.02.2024. https://www.bafin.de/SharedDocs/Downloads/DE/Anlage/dl_Praesentation_DORA_IKT_Drittdienstleister.pdf?__blob=publicationFile&v=1.
[5] Bundesanstalt für Finanzdienstleistungsaufsicht. Mindestvertragsinhalte nach DORA, Fassung Juli 2025. https://www.bafin.de/SharedDocs/Downloads/DE/Anlage/dl_Mindestvertragsinhalte_DORA_DE_EN.html (abgerufen am 11.07.2026).