Text Link

DORA-Verordnung der EU: Was Schweizer Soft-ware-Unternehmen wissen müssen

Vanessa
Written by
Vanessa
16.4.2025

Ihr seid ein IT- oder Software-Unternehmen und stellt Informations- und Kommunikationstechnologiedienste für EU-Finanzunternehmen zur Verfügung? Dann stellt ihr mit grosser Wahrscheinlichkeit IKT-Drittdienstleister im Sinne der «DORA-Verordnung» dar.

Die sogenannte «DORA-Verordnung» der Europäischen Union ist am 17. Januar 2025 in Kraft getreten und stellt neue Anforderungen an Finanzunternehmen sowie an euch als IKT-Drittdienstleister. DORA steht für Digital Operational Resilience Act – also Verordnung zur digitalen operationalen Resilienz. Zweck der Verordnung ist die digitale operationelle Resilienz von Finanzmarktakteuren in der EU zu stärken, indem sie Anforderungen an die IT-Sicherheit und das Risikomanagement im Hinblick auf digitale Risiken festlegt.

Doch was genau sind IKT-Dienstleistungen im Sinne von DORA und was sind die tatsächlichen Anforderungen der DORA?

IKT-Dienstleistungen umfassen alle digitalen und Datendienste, die über IT-Systeme bereitgestellt werden – von Cloud- und Hosting-Services über Softwarelösungen bis hin zu Hardware-Diensten inklusive technischer Wartung und Updates.

Finanzunternehmen müssen sicherstellen, dass ihre IKT-Dienstleister bestimmte Standards in Bezug auf Betriebssicherheit und Resilienz erfüllen. IKT-Drittdienstleister werden in der DORA zwar nur indirekt adressiert, doch solltet ihr auf die DORA-Mindestanforderungen vorbereitet sein, wenn Finanzinstitute mit Vertragsanforderungen auf euch zukommen.

Die zentrale Frage lautet: Wie könnt ihr als IT resp. Software-Unternehmen mit Kunden im Finanzsektor den neuen Anforderungen gerecht werden, ohne von übermässigem Compliance Aufwand erdrücken zu werden? Es gilt, vorbereitet in Diskussion und Verhandlungen mit Kunden zu gehen und genau zu wissen, wo Spielraum besteht.

DORA- Mindestanforderungen: Flexibilität bewahren und Risiken minimieren

DORA schreibt vor, dass Finanzunternehmen klare vertragliche Vereinbarungen mit ihren IKT-Dienstleistern treffen. Die Mindestanforderungen unterscheiden sich je nachdem, ob eure Dienstleistungen als wichtige oder kritische Funktionen eingestuft werden oder nicht.

Was bedeutet «wichtige oder kritische Funktion»?

Eine Dienstleistung gilt als kritisch oder wichtig, wenn ihr Ausfall oder eine Störung erhebliche negative Auswirkungen auf die Fähigkeit eines Finanzunternehmens hat, seine Kernleistungen zu erbringen.

Sind eure Dienstleistungen nicht als kritisch oder wichtig eingestuft, gelten die Mindestanforderungen aus Art. 30 Abs. 2 DORA. Andernfalls greifen zusätzliche Verpflichtungen gemäss Art. 30 Abs. 3 DORA.

Die vertraglichen Mindestanforderungen für alle IKT-Drittdienstleister umfassen:

  • Detaillierte Leistungsbeschreibung aller bereitgestellten IKT-Dienste.
  • Standortangaben für Dienstleistungserbringung, Datenverarbeitung und -speicherung – inklusive Mitteilungspflicht bei Änderungen.
  • Sicherheits- und Datenschutzbestimmungen zu Verfügbarkeit, Authentizität, Integrität, Vertraulichkeit und zum Schutz personenbezogener Daten.
  • Datenzugang und -rückgabe im Krisenfall, insbesondere bei Insolvenz oder Geschäftsaufgabe.
  • Leistungsqualität, einschliesslich Updates und Überarbeitungen.
  • Unterstützung bei Vorfällen, entweder kostenfrei oder zu festgelegten Preisen.
  • Zusammenarbeit mit Behörden.
  • Kündigungsrechte gemäss den Anforderungen der Aufsichtsbehörden.
  • Verpflichtende Schulungen und Sensibilisierung zur digitalen Resilienz.

IKT-Dienstleister, die kritische oder wichtige Funktionen erbringen, müssen darüber hinaus:

  • Detailliertere Leistungsstandards mit quantitativen und qualitativen Zielvorgaben vereinbaren.
  • Festlegen unter welchen Bedingungen Subcontracting zulässig ist – eine Genehmigungs- oder Mitteilungspflicht besteht explizit nicht.
  • Längere Kündigungsfristen und Berichtspflichten einhalten.
  • Notfallpläne und Sicherheitsmassnahmen implementieren und regelmässig testen.
  • An TLPT-Tests (Technology and Operations Testing) der Finanzunternehmen teilnehmen.
  • Überwachungsrechte der Finanzunternehmen akzeptieren, inklusive Inspektionen und Audits.
  • Ausstiegsstrategien definieren, um einen reibungslosen Übergang zu gewährleisten.

Achtung bei Unterauftragsvergabe und Standortwahl

Auch wenn Finanzunternehmen oft am längeren Hebel sitzen, müsst ihr euch nicht jede Forderung gefallen lassen. Lasst euch insbesondere keine über die Mindestanforderungen hinausgehenden Klauseln aufzwingen.

Zu weitgehende Verpflichtungen können enormen Mehraufwand verursachen. Insbesondere Zustimmungserfordernisse oder Mitteilungspflichten geraten im Geschäftsalltag leicht in Vergessenheit – im schlimmsten Fall drohen dann Vertragsstrafen oder sogar die Kündigung. Deshalb solltet ihr als IKT-Drittdienstleister darauf achten, euch vertraglich nicht stärker zu binden als nötig.

Zwei zentrale Themen solltet ihr dabei besonders prüfen:

Unterauftragnehmer (Subcontractors)

Noch nicht endgültig geklärt ist, ob Regelungen zur Unterauftragsvergabe für alle IKT-Drittdienstleister verpflichtend sind oder nur für Anbieter kritischer bzw. wichtiger Funktionen. Der Wortlaut von Art. 30 Abs. 2 lit. a DORA spricht eher für Letzteres. Allerdings wurde dieses Erfordernis im Gesetz an derjenigen Stelle verortet, wo es grundsätzlich um die Pflichten aller IKT-Drittdienstleister geht.

Viele Finanzunternehmen bestehen entsprechend auf einer Regelung für alle, um regulatorische Risiken zu vermeiden. Falls dein Unternehmen keine kritischen oder wichtigen Funktionen erbringt, solltet ihr in Verhandlungen darauf hinweisen, dass die Pflicht zur Regelung der Unterauftragsvergabe keine explizite Mindestanforderung ist.

Achtung: Jegliche Pflicht zur vorherigen Genehmigung oder Mitteilung von Subcontractor-Wechseln geht über DORA’s Mindestanforderung hinaus – ob ihr nun kritische/wichtige Funktionen erfüllt oder nicht – hier lohnt es sich ohnehin, zu verhandeln.

Standort der Dienstleistungen (Locations)

DORA verlangt lediglich eine Mitteilungspflicht bei Änderungen der Länder oder Regionen, in denen IKT-Dienstleistungen und Datenverarbeitung stattfinden. Ein vorgängiges Genehmigungsverfahren ist nicht vorgesehen. Falls Finanzunternehmen dennoch darauf bestehen, bietet dieser Punkt ebenfalls Verhandlungsspielraum.

Fazit und Take Away

Ihr als IT- und Softwareunternehmen, das Banken und Versicherungen mit Tätigkeitsgebiet in der EU als Kunden hat, solltet euch darauf vorbereiten mit entsprechenden Verträgen gemäss den DORA-Anforderungen konfrontiert zu werden. Auch wenn ihr als IKT-Drittdienstleister nur indirekt reguliert sind, müsst ihr wissen, welche vertraglichen Verpflichtungen Finanzunternehmen verlangen dürfen – und wo ihr euch gegen überzogene Anforderungen wehren könnt.

Die beiden kritischen Punkte Unterauftragsvergabe und Standortwahl erfordern besondere Aufmerksamkeit, um unnötige Verpflichtungen zu vermeiden. Eine gut vorbereitete Verhandlungsstrategie hilft, Compliance-Belastungen zu minimieren und gleichzeitig langfristige Geschäftsbeziehungen mit Finanzunternehmen abzusichern.

Wenn ihr IT-Services für Finanzunternehmen mit Tätigkeitsgebiet in der EU anbietet, werdet ihr mit grosser Wahrscheinlichkeit als IKT-Drittdienstleister unter der neuen DORA-Verordnung eingestuft. Seit dem 17. Januar 2025 gelten strenge Vorgaben für digitale Resilienz – auch für euch. Eure Kunden müssen nachweisen, dass ihr diese Standards erfüllt. Die Frage ist also: Wie erfüllt ihr die neuen Anforderungen, ohne im Compliance-Aufwand zu versinken? Jetzt heisst es: vorbereitet sein – und genau wissen, wo Spielraum besteht.
Buche einen Termin mit einem Mitglied des Lex Futura Teams
Zurück zur Übersicht
PDF herunterladen

Wo wir sind

Büro Luzern
Platz 4
6039 Root D4
Schweiz
Büro Zürich
Schützengasse 4
8001 Zürich
Schweiz

Let's get in touch

+41 41 541 92 20
info@lexfutura.ch

Über Lex Futura

Services
Join us
Kunden
Blog
Preise
Vlog
Team
Kontakt
Impressum
Datenschutzerklärung
AGB