Contents
Ausstiegspläne (Art. 28 Abs. 8 DORA; Art. 10 RTS TPPol)
Im Rahmen der DORA-Verordnung müssen Finanzunternehmen verbindliche Ausstiegsstrategien für kritische IKT-Dienstleistungen etablieren. Diese sollen gewährleisten, dass bei Vertragsende, Leistungsstörungen oder Drittdienstleister-Ausfall die Geschäftskontinuität gewahrt bleibt. Grundlage dafür sind Art. 28 Abs. 8 DORA und die technischen Anforderungen aus Art. 10 RTS TPPol.
Kernaussage der Norm
Finanzunternehmen müssen für IKT-Dienstleistungen, die kritische oder wichtige Funktionen unterstützen, umfassende, getestete und dokumentierte Ausstiegspläne etablieren (Art. 28 Abs. 8 DORA).
Diese müssen regelmäßig überprüft, mit Übergangsstrategien kombiniert und so realistisch sein, dass sie in Notfallszenarien ohne Geschäftsausfall aktiviert werden können (Art. 10 RTS TPPol).
Was ein DORA-konformer Ausstiegsplan beinhalten muss
| Anforderung | Beschreibung |
|---|---|
| Dokumentierter Plan | Konkreter Ausstiegsplan für jede relevante IKT-Vereinbarung |
| Regelmäßige Tests & Reviews | Simulation & Überprüfung mindestens 1x jährlich |
| Exit ohne Unterbrechung | Geschäftstätigkeit, Compliance und Servicequalität bleiben intakt |
| Szenarienbezug | Fehlerhafte Leistung, plötzliche Vertragsbeendigung, Notfallbetrieb |
| Übergangsstrategie | Sicherer Wechsel zu alternativen Anbietern oder Rückführung |
| Notfallmaßnahmen | Kontinuität im Falle von Leistungsversagen des Providers |
Typische Elemente eines Exit-Plans nach DORA
| Inhalt | Beispiel |
|---|---|
| Exit-Kriterien | SLA-Verstoß, regulatorisches Risiko, Cybervorfall |
| Transition Plan | Migration zu Backup-Anbieter innerhalb 14 Tagen |
| Datenentzug | Reversibler Datenzugang, Verschlüsselung, Exit-API |
| Kontrollpunkte | Exit-Test mit Protokollierung & Schwachstellenanalyse |
| Vertragliche Regelungen | Vertragsklauseln für Exit-Szenarien & Unterstützungspflichten |