DORA-Anforderungen im Microsoft 365 Tenant

Mit Inkrafttreten der EU-Verordnung DORA (EU 2022/2554) am 17. Januar 2025 stehen Finanzunternehmen vor neuen regulatorischen Pflichten zur digitalen Resilienz. Microsoft 365 bietet mit Entra ID, Purview, Defender und Sentinel zentrale Werkzeuge zur technischen Umsetzung – doch die Verantwortung für die DORA-Compliance liegt bei den Unternehmen selbst.

DORA (Digital Operational Resilience Act) ist eine EU-Verordnung zur Erhöhung der digitalen Betriebsstabilität im Finanzsektor. Betroffen sind Banken, Versicherungen, Zahlungsdienstleister und ihre IKT-Dienstleister.

Die Verordnung verpflichtet zu umfassendem Risikomanagement, Meldepflichten und der Resilienzprüfung digitaler Systeme. Angesichts zunehmender Abhängigkeit von Cloud-Diensten wie Microsoft 365 besteht unmittelbarer Handlungsbedarf – nicht zuletzt wegen der strengen Prüfvorgaben der Aufsichtsbehörde.

Zu den zentralen DORA-Anforderungen zählen:

• Etablierung eines IKT-Risikomanagements
• Meldung schwerwiegender Vorfälle
• Durchführung regelmäßiger Resilienztests
• Kontrolle von Drittdienstleistern
• Austausch über Cyberbedrohungen

Weitere Details und eine umfassende Übersicht finden Sie direkt bei der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin): Zur Übersicht bei der BaFin

Microsoft hat auf die regulatorischen Anforderungen reagiert und einen DORA-spezifischen Vertragsnachtrag für Finanzunternehmen veröffentlicht. Dieser ergänzt bestehende Verträge wie das Enterprise Agreement oder die Datenschutzvereinbarung (DPA) um einen DORA-konformen Zusatz, der unter anderem folgende Punkte regelt:

1. Transparenz beim Einsatz von Sub- und Drittdienstleistern
2. Erweiterte Kündigungsrechte bei kritischen Änderungen
3. Verpflichtung zur DORA-konformen Datenverarbeitung
4. Berichtspflichten und Kontrollmöglichkeiten

Der Vertragsnachtrag ist im Microsoft Service Trust Portal verfügbar und sollte Teil jedes Microsoft-365-Vertrags im Finanzsektor sein. 

Die Umsetzung der DORA-Anforderungen im Microsoft 365 Tenant ist komplex. Besonders wichtig ist die klare Verantwortungsabgrenzung zwischen dem Finanzunternehmen als Auftraggeber und Microsoft als Dienstleister. Microsoft stellt zahlreiche technische Voraussetzungen bereit, die regulatorische Verantwortung verbleibt jedoch beim Unternehmen.

Ein Praxisbeispiel zeigt: Dienstleister müssen regulatorische Anforderungen vertraglich verankern, sind jedoch nicht selbst für die Einhaltung der DORA-Vorgaben verantwortlich. Gleichzeitig müssen Unternehmen ihre betrieblichen und technischen Risiken regelmäßig analysieren und dokumentieren – auch im Hinblick auf die von Microsoft bereitgestellten Cloud-Dienste.

Auf Basis interner Projekte und Microsoft-Dokumentationen empfehlen wir:

• Vertragliche Absicherung prüfen: Stellen Sie sicher, dass der DORA-Vertragsnachtrag Teil Ihres Microsoft-Vertrags ist.
• Tenant-Architektur überprüfen: Konsolidieren Sie Ihre Microsoft 365 Tenants und etablieren Sie ein zentrales Governance-Modell.
• Compliance-Tools aktivieren: Nutzen Sie Microsoft Purview, Entra ID P2 und Defender-Produkte umfassend.
• IKT-Vorfälle simulieren: Entwickeln Sie einen Incident-Response-Plan und testen Sie diesen regelmäßig.
• Dokumentation & Reporting: Dokumentieren und auditieren Sie alle Maßnahmen nachvollziehbar.

Arvato Systems begleitet Finanzunternehmen von der Vertragsprüfung über technische Konfigurationen bis zur Umsetzung eines DORA-konformen Microsoft-365Tenants.

Vertrauen Sie auf unsere Expertise und Erfahrung bei der sicheren Umsetzung der DORA-Anforderungen. Kontaktieren Sie uns noch heute, um Ihre digitale Resilienz zu stärken und regulatorische Vorgaben souverän zu erfüllen.