Der Digital Operational Resilience Act (DORA) legt einheitliche Vorschriften für die digitale Widerstandsfähigkeit im Finanzsektor fest — was bedeutet das für Anbieter von E-Rechnungen?
EU-Verordnung 2022/2554 ist am 17. Januar 2025 in Kraft getreten. Ein IT-Dienstleister kann für einen Kunden kritisch sein, für einen anderen jedoch nicht — die Bewertung obliegt dem Finanzinstitut selbst.
DORA legt einheitliche Vorschriften für die digitale Widerstandsfähigkeit im Finanzsektor fest. Finanzunternehmen müssen IKT-Risiken managen und spezifische Verpflichtungen in Verträgen mit ihren IT-Dienstleistern abbilden.
DORA unterscheidet zwischen standardmäßigen IKT-Dienstleistungen und Dienstleistungen, die kritische oder wichtige Funktionen unterstützen: Wenn der Ausfall einer Dienstleistung die finanzielle Leistung oder die regulatorische Compliance eines Unternehmens erheblich beeinträchtigen würde, löst dies zusätzliche vertragliche Verpflichtungen aus.
Müssen in jedem Vertrag zwischen einem Finanzunternehmen und einem IT-Dienstleister enthalten sein:
Zusätzliche Anforderungen, wenn eine Dienstleistung eine kritische oder wichtige Funktion unterstützt:
Im Fallbeispiel CAL&F wird E-Rechnung allgemein als unterstützender Prozess betrachtet:
Beeinflusst Kreditvergabe oder Factoring nicht direkt
Kann vorübergehend durch Papierrechnungen ersetzt werden
Viele alternative Anbieter verfügbar
Viele Finanzunternehmen stufen E-Rechnung als nicht-kritisch ein und wenden nur die grundlegenden Anforderungen gemäß Artikel 30 Absatz 2 an. Die endgültige Einstufung liegt jedoch stets bei der Bank oder dem Factoring-Unternehmen.
Wenn ein Dienstleister seine Dienstleistung als nicht-kritisch einstuft, sendet er eine Negativerklärung — eine Aussage, die:
Auch wenn eine Funktion als nicht-kritisch eingestuft wird, muss der Vertrag die obligatorischen Elemente gemäß Artikel 30 Absatz 2 enthalten:
Der Anbieter verpflichtet sich, Zugang zu Daten zu gewähren und mit den Aufsichtsbehörden zusammenzuarbeiten.
Der Anbieter hilft bei der Untersuchung und Lösung von IKT-Vorfällen ohne zusätzliche Kosten.
Regelungen für den Abruf von Daten bei Vertragsende oder Insolvenz des Anbieters.
Der Anbieter nimmt an Schulungs- und Testaktivitäten des Kunden teil.
Die Logs und Daten von Invoice-Portal ermöglichen es Kunden, ihre Überwachungs- und Berichtspflichten zu erfüllen: jedes Ereignis wird aufgezeichnet, Dokumente werden in ihrer Originalform aufbewahrt und Berichte können auf Anfrage erstellt werden.
Peppol Message Response – ACK, MLR, BLR
/in E-Rechnungs-NewsPeppol-Netzwerk
/in E-Rechnungs-NewsNeue Funktionen in Invoice-Portal
/in E-Rechnungs-NewsInvoice-Portal auf E-Rechnungs-Gipfel in Düsseldorf
/in E-Rechnungs-NewsPräsentation Elektronische Rechnung Bremen – 05.12.2019
/in E-Rechnungs-News