Contract Lifecycle Management: DORA-Vorgaben für Verträge effizient steuern

Contract Lifecycle Management: DORA-Vorgaben für Verträge effizient steuern

Wie ein digitales Vertragsmanagement die Compliance in Finanzunternehmen unterstützt

veröffentlicht am 07.03.2025 | Lesezeit: ca. 5 Minuten
Florian Göltl
Florian Göltl
Julien Irmen
Julien Irmen

Keyfacts:

  • Der Digital Operational Resilience Act (DORA) fordert von Finanzunternehmen, ihre Verträge mit IKT-Drittdienstleistern nach bestimmten Vorgaben der Verordnung zu gestalten.
  • In vielen Banken, Versicherungen und bei Kapitalverwaltern sind mehrere Hundert Vertragswerke zu aktualisieren.
  • Ein Contract Lifecycle Management erleichtert es Finanzunternehmen, zahlreiche Drittanbieter-Verträge effizient anzupassen und für die Zukunft eine nachhaltige Vertragssteuerung zu etablieren.

Nach dem Ende der Umsetzungsfrist für den Digital Operational Resilience Act (DORA) bleibt in Finanzunternehmen weiter eine Menge zu tun. In vielen Instituten müssen zum Beispiel nach wie vor Hunderte Verträge mit Dienstleistern aktualisiert werden, damit sie DORA-konform gestaltet sind. Das ist ohne technische Unterstützung kaum sinnvoll zu schaffen, denkt man an die Arbeitsstunden, die bei händischer individueller Erneuerung aller Verträge anfallen würden.

Und wir möchten sogar die These vertreten: Ohne ein strukturiertes und nachhaltiges Contract Lifecycle Management können die Institute keine Compliance erzeugen. Denn sie hätten mit großer Wahrscheinlichkeit keinen vollständigen Überblick über ihre Verträge und würden keinen lückenlosen Blick auf ihre Risiken erhalten.

Der Grund: DORA definiert Anforderungen an Verträge mit IKT-Drittparteien (Informations- und Kommunikationstechnologie). Unter anderem müssen Banken und andere Finanzunternehmen Drittparteienrisiken managen und sich im Zuge dessen einen Überblick über Bestandsverträge mit ihren IKT-Dienstleistern und über die Vertragsinhalte verschaffen.

DORA-Benchmark für den Finanzsektor

Wie Finanzinstitute ihre digitale Resilienz stärken und regulatorische Anforderungen erfüllen können. DORA-Benchmark jetzt sichern.

Studie herunterladen

In einem zweiten Schritt gilt es, die Vertragsinhalte gemäß der DORA-Verordnung nachzubessern. Wie können die Inventarisierung, Prüfung und Weiterentwicklung einer derart großen Zahl von Tausenden Klauseln gelingen? Hier kommt das Contract Lifecycle Management (CLM) ins Spiel, das die Steuerung von Dienstleisterverträgen dazu noch zukunftsfähig gestaltet.

Effiziente Verwaltung von Verträgen mit Contract Lifecycle Management

Ein Contract Lifecycle Management (CLM) oder digitales Vertragsmanagement ist das systematische und effiziente Management von Verträgen über deren gesamten Lebenszyklus – also von der Erstellung über die intelligente Unterstützung in der Verhandlung bis zur Bewirtschaftung über die Laufzeit hinweg. Das CLM wird unterstützt durch vorab definierte Rollen, klare Verantwortlichkeiten und relevante IT-Anwendungen.

Um den Erfolg des Vertragsmanagements und damit die Einhaltung der DORA-Anforderungen zu gewährleisten, ist es entscheidend, die drei Phasen des Vertragslebenszyklus präzise zu durchlaufen. Jede Phase trägt zur effizienten Umsetzung der vertraglichen Vereinbarungen bei:

1. Vorlagenmanagement: Das Vorlagenmanagement umfasst das Erstellen, Überprüfen, Genehmigen sowie das Ablegen und Veröffentlichen von Vertragsschablonen mit standardisierten Klauseln. Das schließt das Definieren von für das Unternehmen akzeptablen Klausel-Varianten ein.

2. Vertragserstellung: Die zweite Phase des Contract Lifecycle Management beginnt mit der Initiierung und Erstellung von Verträgen. Sie dient der Unterstützung in der Zusammenarbeit und Verhandlung zwischen den Vertragspartnern und endet mit der Genehmigung und Unterzeichnung.

3. Vertragserfüllung und -verwaltung: In dieser Phase stehen die vertraglichen Leistungen, das Controlling und Reporting sowie die Entscheidung über Beendigung oder Verlängerung eines Vertrags im Mittelpunkt. Die Verträge werden in einem zentralen Repository verwaltet und überwacht und können bei Bedarf erneuert oder beendet werden.

Wer Verträge über alle drei Phasen hinweg effizient bearbeitet und steuert, spart Kosten, unterstützt Verantwortliche bei der Entscheidungsfindung und stellt sicher, dass beide Parteien die vereinbarten Bedingungen einhalten. Und das hat auch große Vorteile für das Erfüllen der regulatorischen Anforderungen von DORA. Blicken wir noch einmal im Detail auf die Vorgaben.

Digital Operational Resilience Act (DORA)

Unternehmen müssen auch während eines IKT-Vorfalls stabil weiterarbeiten. Wie Sie die Anforderungen umsetzen und KPMG dabei unterstützen kann.

Jetzt informieren

Ein CLM als Schlüssel zum Erfüllen der DORA-Vorgaben

Die DORA-Verordnung definiert für die Vertragserstellung in Artikel 30 strikte Vorgaben. Durch den Einsatz von Vertragsmanagement-Software kann ihre Einhaltung überprüft werden. Die Rechte und Pflichten des Finanzunternehmens und des IKT-Drittdienstleisters müssen eindeutig zugewiesen und schriftlich dargelegt werden. Der vollständige Vertrag umfasst dabei die Vereinbarung über die Dienstleistungsgüte und wird in einem Dokument festgehalten, das den Parteien in Papierform oder in einem anderen dauerhaft zugänglichen, herunterladbaren Format zur Verfügung steht.

Zudem können Verträge im Rahmen von DORA per Software nach Risikograd, Dienstleistertyp oder anderen relevanten Kriterien kategorisiert werden, um eine bessere Übersicht und Kontrolle zu gewährleisten. Durch die Bewirtschaftung eines digitalen Vertrags eröffnen sich neue Möglichkeiten der Automatisierung und Auswertbarkeit. Das macht das Einhalten der DORA-Anforderungen deutlich einfacher und kann zu einem echten Wettbewerbsvorteil werden.

Automatische Compliance-Checks und Fristenverwaltung durch das CLM

Ein weiteres Beispiel ist das Drittparteienrisikomanagement: Bestehende Verträge zum Beispiel mit technischen Dienstleistern müssen im Zuge des IKT-Drittparteienrisikomanagements vollständig analysiert und gegebenenfalls neu verhandelt werden. Denn im Zuge von DORA steigen die Anforderungen: Zum Beispiel müssen Verträge über einen sogenannten kritischen Leistungsgegenstand neue, zusätzliche Mindestvertragsinhalte enthalten, zum Beispiel konkrete Leistungsziele und Kündigungs- sowie Meldefristen.

Ein CLM unterstützt das von DORA geforderte Management von IKT-Drittanbietern, indem es die systematische Erfassung und Bewertung von Risiken in Zusammenhang mit Drittanbietern ermöglicht. Zudem werden Vertragsänderungen effizient durchgeführt, um diese an die DORA-Anforderungen anzupassen.

Auch die kontinuierliche Überprüfung der Einhaltung vereinbarter Service-Levels und Sicherheitsstandards sowie der Verpflichtungen von IKT-Dienstleistern werden durch ein CLM unterstützt. Durch den Einsatz einer CLM-Lösung kann regelmäßig geprüft werden, ob die mit Drittparteien geschlossenen Verträge die regulatorischen Anforderungen erfüllen und die Steuerung durch die Drittparteien erfolgt.

Vorteile eines CLM für Vorfallmanagement, Meldepflichten und Informationsregister

Auch für das IKT-Vorfallmanagement bietet das CLM große Vorteile im DORA-Kontext. DORA legt fest, dass IKT-bezogene Vorfälle sowie Cyberbedrohungen im Rahmen eines expliziten Vorfallmanagements durch das Finanzinstitut klassifiziert, protokolliert und im Zuge der Meldepflichten an die Behörden kommuniziert werden müssen. Eine CLM-Lösung kann diese Vorgänge beschleunigen, indem es den Abruf relevanter Vertragsinformationen automatisiert.

Die Tools können auch die Dokumentation vertragsbezogener Vorgänge im Zusammenhang mit erkannten Vorfällen beschleunigen. Außerdem lassen sich Meldepflichten durch vorkonfigurierte Berichtsvorlagen erleichtern. Denn ein CLM bietet die Möglichkeit, intelligente Workflows zur Erfassung, Verfolgung und Verwaltung von Vorfällen bereitzustellen.

Und auch das Informationsregister ist ein Anwendungsfall für das CLM: Eine zentrale Vertragsverwaltung erhöht die Übersicht und kann auch das laut Artikel 28, Absatz 3 in DORA geforderte Informationsregister abdecken. Im Informationsregister müssen alle vertraglichen Vereinbarungen über die Nutzung von IKT-Dienstleitungen festgehalten werden.

Außerdem ist es möglich, die notwendige Übertragung des Registers an die Behörden durch den Einsatz der CLM-Software zu planen und automatisierte Benachrichtigungen an Verantwortliche zu übermitteln.

Dieser Artikel wurde in Zusammenarbeit mit Luci Hilbert und Sven-Niclas Granzow erstellt.

Live-Veranstaltung: Cyber-Sicherheitskompass 2025

Die Anforderungen an Cybersicherheit steigen – vor allem mit DORA. Wie meistern Banken und Versicherungen den Balanceakt zwischen Regulierung und Resilienz?

Jetzt Platz sichern

Das könnte Sie auch interessieren

CMDB DORA Frauen Meeting Computer
Cloud und Cyber Security

DORA-Umsetzung: Unterschätzte Bedeutung der Konfigurationsdatenbank CMDB

DORA-Umsetzung: Unterschätzte Bedeutung der Konfigurationsdatenbank CMDB

14.02.2025 | ca. 4 Minuten Lesezeit

Eine gut gepflegte CMDB ist ein unverzichtbares Werkzeug für die DORA-Konformität.

Axel Luckhardt
Axel Luckhardt
Lars Laakmann
Lars Laakmann
Anna-Maria von Darl
Anna-Maria von Darl
DORA Cyber Schild mit Schloss
Regulatorik und Compliance

DORA – auch nach dem Stichtag bleibt 2025 viel zu tun

DORA – auch nach dem Stichtag bleibt 2025 viel zu tun

07.02.2025 | ca. 4 Minuten Lesezeit

Eine KPMG-Untersuchung zeigt, wo die Umsetzung in Finanzunternehmen noch Lücken hat.

Nadine Schmitz
Nadine Schmitz
Frank Püttgen
Frank Püttgen
Caroline Sieveritz
Caroline Sieveritz
DORA: So gelingt die Umsetzung
Regulatorik und Compliance

DORA: So gelingt die Umsetzung

DORA: So gelingt die Umsetzung

21.04.2023 | ca. 1 Minute Lesezeit

So halten Finanzdienstleister Kurs auf die komplexen Anforderungen der Verordnung

Marian Bernhard
Marian Bernhard
Caroline Sieveritz
Caroline Sieveritz
Suche
Schliessen
© 2025 KPMG AG Wirtschaftsprüfungsgesellschaft, eine Aktiengesellschaft nach deutschem Recht und ein Mitglied der globalen KPMG-Organisation unabhängiger Mitgliedsfirmen, die KPMG International Limited, einer Private English Company Limited by Guarantee, angeschlossen sind. Alle Rechte vorbehalten. Für weitere Einzelheiten über die Struktur der globalen Organisation von KPMG besuchen Sie bitte https://home.kpmg/governance.