DORA: Technische Regulierungsstandards für die Untervergabe von IKT-Dienstleistungen: Präzisierung der Anforderungen für Finanzunternehmen

Delegierte Verordnung (EU) 2025/532 der Kommission vom 24. März 2025 zur Ergänzung der Verordnung (EU) 2022/2554 durch technische Regulierungsstandards zur Präzisierung der Aspekte, die ein Finanzunternehmen bei der Untervergabe von IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen bestimmen und bewerten muss.

Offizieller Link zur Verordnung

Die finale und rechtsverbindliche Fassung finden Sie im EUR-Lex-Portal unter folgender Adresse:

• Delegierte Verordnung (EU) 2025/532 im Amtsblatt (OJ L, 2025/532, 2.7.2025)

Hinweise:

• Die Verordnung ist in allen EU-Amtssprachen verfügbar.
• Das Inkrafttreten erfolgt am zwanzigsten Tag nach der Veröffentlichung im Amtsblatt, also ab dem 22. Juli 2025.
• Die Verordnung ist unmittelbar in allen Mitgliedstaaten anwendbar.

Zusammenfassung der wichtigsten Inhalte

• Gegenstand: Präzisierung der Anforderungen an Finanzunternehmen bei der Untervergabe von IKT-Dienstleistungen, die kritische oder wichtige Funktionen betreffen.
• Rechtsgrundlage: Artikel 30 Absatz 5 der Verordnung (EU) 2022/2554 (DORA).
• Geltungsbereich: Alle Finanzunternehmen, die unter DORA fallen und IKT-Dienstleistungen an Dritte auslagern.
• Kernpunkte: Sorgfaltspflichten, Risikobewertung, Vertragsgestaltung, Überwachung, Kündigungsrechte und Meldepflichten bei wesentlichen Änderungen.

Dieser Artikel erläutert die Hintergründe, Ziele und konkreten Anforderungen der Verordnung und bietet praxisnahe Übersichten für die Umsetzung in Finanzunternehmen.

1. Hintergrund und Zielsetzung der Verordnung

1.1. Ausgangslage

Mit der Verordnung (EU) 2022/2554 („DORA“) wurde ein einheitlicher Rahmen für die digitale operationale Resilienz im Finanzsektor geschaffen. Die neue delegierte Verordnung konkretisiert nun, wie Finanzunternehmen bei der Untervergabe von IKT-Dienstleistungen vorgehen müssen, um Risiken zu erkennen, zu bewerten und zu steuern.

1.2. Ziel der technischen Regulierungsstandards

• Stärkung der Resilienz: Sicherstellung, dass kritische oder wichtige Funktionen auch bei Auslagerung an Unterauftragnehmer geschützt bleiben.
• Risikominimierung: Präzise Vorgaben zur Identifikation, Bewertung und Steuerung von Risiken entlang der gesamten Auslagerungskette.
• Transparenz und Kontrolle: Klare Dokumentations- und Überwachungspflichten für Finanzunternehmen.

2. Anwendungsbereich und Grundprinzipien

2.1. Geltungsbereich

Die Verordnung gilt für alle Finanzunternehmen, die unter DORA fallen und IKT-Dienstleistungen an Dritte auslagern, sofern diese Dienstleistungen kritische oder wichtige Funktionen betreffen.

2.2. Grundprinzipien

• Verhältnismäßigkeit: Anforderungen sind abhängig von Größe, Risikoprofil und Komplexität des Unternehmens.
• Letztverantwortung: Die Verantwortung für das Risikomanagement verbleibt stets beim auslagernden Finanzunternehmen, auch bei Untervergabe.

3. Zentrale Anforderungen der Verordnung

3.1. Bestimmung und Bewertung der Untervergabe

Finanzunternehmen müssen systematisch prüfen, ob und unter welchen Bedingungen eine Untervergabe zulässig ist. Dabei sind insbesondere folgende Aspekte zu berücksichtigen:

Aspekt                                  Beschreibung

Kritikalität der Funktion           Ist die ausgelagerte Dienstleistung für die Geschäftsfortführung wesentlich?

Komplexität der Auslagerung   Wie lang und komplex ist die Kette der Unterauftragnehmer?

Standort der Dienstleister        Wo befinden sich die Unterauftragnehmer und werden Daten im EU-Ausland verarbeitet?

Datenverarbeitung                  Welche Art von Daten wird weitergegeben und wie ist deren Schutz gewährleistet?

Abhängigkeiten                       Bestehen Konzentrationsrisiken durch wenige oder einzelne Unterauftragnehmer?

Übertragbarkeit                       Ist ein Wechsel des Dienstleisters im Notfall möglich?

Auswirkungen von Störungen   Wie wirken sich Ausfälle auf die Kontinuität und Verfügbarkeit der
                                              Dienstleistung aus?

3.2. Sorgfaltspflichten und Risikobewertung

Vor Abschluss einer Vereinbarung mit einem IKT-Drittdienstleister, der Unterauftragnehmer einsetzt, sind umfassende Prüfungen und Bewertungen durchzuführen.

Prüfaspekt                             Anforderungen an das Finanzunternehmen

Auswahlverfahren                    Sicherstellung, dass der Drittdienstleister geeignete
                                              Unterauftragnehmer auswählt und deren Fähigkeiten prüft

Informationspflichten               Drittdienstleister muss alle relevanten Informationen zu
                                              Unterauftragnehmern bereitstellen

Vertragsgestaltung                   Verträge müssen Zugangs-, Prüf- und Kontrollrechte für das
                                              Finanzunternehmen und die Aufsicht enthalten

Ressourcen und Kompetenzen   Finanzunternehmen und Drittdienstleister müssen über
                                              ausreichende Ressourcen und Fachkenntnisse verfügen

Standortbewertung                   Risiken durch den Standort der Unterauftragnehmer sind zu
                                               bewerten

Konzentrationsrisiken                Bewertung der Abhängigkeit von einzelnen Unterauftragnehmern
                                               gemäß Art. 29 DORA

Prüfungsrechte                         Sicherstellung, dass keine Hindernisse für Prüfungs- und
                                               Zugangsrechte bestehen

3.3. Vertragsgestaltung und Überwachung

Die Verordnung verlangt detaillierte Regelungen in den Verträgen mit Drittdienstleistern:

Vertragsbestandteil                      Inhalt

Verantwortlichkeit                           Drittdienstleister bleibt für die Erfüllung der Leistungen durch
                                                     Unterauftragnehmer verantwortlich

Überwachungspflichten                    Drittdienstleister muss alle Unterauftragnehmer und deren
                                                     Leistungen überwachen

Berichtspflichten                             Regelmäßige Berichte über Unterauftragnehmer und deren
                                                     Leistungen an das Finanzunternehmen

Standort und Datenverarbeitung       Festlegung, wo Daten verarbeitet und gespeichert werden

Kontinuität und Notfallmanagement  Sicherstellung der Dienstleistungskontinuität entlang der
                                                     gesamten Unterauftragskette

Sicherheitsstandards                       Verpflichtung zur Einhaltung von IKT-Sicherheitsstandards und
                                                     zusätzlichen Anforderungen nach DORA

Kündigungsrechte                            Finanzunternehmen kann Vertrag bei wesentlichen Änderungen
                                                      oder Verstößen kündigen

3.4. Umgang mit wesentlichen Änderungen

Wesentliche Änderungen an Unterauftragsvereinbarungen müssen dem Finanzunternehmen rechtzeitig mitgeteilt werden. Das Unternehmen hat das Recht, Änderungen zu genehmigen oder abzulehnen.

Schritt                              Beschreibung

Mitteilungspflicht               Drittdienstleister informiert über geplante wesentliche Änderungen

Bewertungsfrist                 Finanzunternehmen hat eine angemessene Frist zur Bewertung und
                                        Entscheidung

Ablehnung und Anpassung  Bei Überschreitung der Risikotoleranz kann das Unternehmen
                                        Änderungen ablehnen und Anpassungen verlangen

Umsetzung                        Änderungen dürfen erst nach Zustimmung oder Nichtbeanstandung
                                        umgesetzt werden

3.5. Kündigungsrechte

Das Finanzunternehmen hat das Recht, den Vertrag mit dem Drittdienstleister zu kündigen, wenn:

• Wesentliche Änderungen ohne Zustimmung umgesetzt werden
• Unteraufträge ohne ausdrückliche Genehmigung vergeben werden
• Der Drittdienstleister gegen vertragliche Pflichten verstößt

4. Praktische Umsetzung: Schritt-für-Schritt-Anleitung

4.1. Vorbereitungsphase

• Bestandsaufnahme: Identifikation aller ausgelagerten IKT-Dienstleistungen und deren Kritikalität
• Risikoprofil: Analyse des eigenen Gesamtrisikoprofils und der Komplexität der Auslagerungen
• Vertragsprüfung: Überprüfung bestehender Verträge auf Konformität mit den neuen Anforderungen

4.2. Auswahl und Bewertung von Drittdienstleistern

• Due Diligence: Sorgfältige Auswahl und Bewertung der Drittdienstleister und deren Unterauftragnehmer
• Standortanalyse: Bewertung der Standorte und der damit verbundenen Risiken (z. B. Drittland, Datenschutz)
• Konzentrationsrisiken: Analyse der Abhängigkeit von einzelnen Dienstleistern

4.3. Vertragsgestaltung

• Vertragsklauseln: Aufnahme aller geforderten Regelungen zu Verantwortlichkeiten, Überwachung, Berichtspflichten, Sicherheitsstandards und Kündigungsrechten
• Notfallmanagement: Sicherstellung von Ausstiegsstrategien und Notfallplänen

4.4. Laufende Überwachung und Dokumentation

• Monitoring: Kontinuierliche Überwachung der Leistungen und Risiken entlang der gesamten Unterauftragskette
• Berichtswesen: Regelmäßige Berichte an die Geschäftsleitung und die Aufsicht
• Dokumentation: Lückenlose Dokumentation aller Entscheidungen, Bewertungen und Maßnahmen

5. Tabellarische Übersichten: Umsetzung der RTS in der Praxis

Übersicht: Pflichten des Finanzunternehmens bei der Untervergabe

Pflichtbereich              Konkrete Maßnahmen

Risikoanalyse                Identifikation und Bewertung aller Risiken entlang der Unterauftragskette

Auswahlverfahren          Sorgfältige Auswahl und laufende Überprüfung der Drittdienstleister und
                                    Unterauftragnehmer

Vertragsgestaltung        Aufnahme aller geforderten Klauseln zu Kontrolle, Überwachung,
                                   Kündigung und Sicherheitsstandards

Überwachung                Kontinuierliches Monitoring und regelmäßige Berichterstattung

Dokumentation              Vollständige und nachvollziehbare Dokumentation aller Prozesse und
                                    Entscheidungen

Notfallmanagement        Entwicklung und Pflege von Ausstiegs- und Notfallstrategien

Übersicht: Anforderungen an Verträge mit Drittdienstleistern

Vertragsanforderung      Beschreibung

Verantwortlichkeit              Drittdienstleister bleibt für Unterauftragnehmer verantwortlich

Überwachungspflichten       Drittdienstleister muss Leistungen der Unterauftragnehmer
                                        überwachen

Berichtspflichten                 Regelmäßige Information des Finanzunternehmens über
                                         Unterauftragnehmer

Sicherheitsstandards           Einhaltung von IKT-Sicherheitsstandards und zusätzlichen
                                         Anforderungen nach DORA

Kündigungsrechte               Vertragliche Regelungen für Kündigung bei Verstößen oder unzulässigen
                                         Änderungen

Prüfungsrechte                   Sicherstellung von Zugangs-, Prüf- und Kontrollrechten für das
                                         Finanzunternehmen und die Aufsicht

Übersicht: Risikobewertung bei Untervergabe

Risikofaktor                       Prüffragen

Kritikalität der Funktion        Ist die Dienstleistung für die Geschäftsfortführung wesentlich?

Komplexität der Kette           Wie viele Unterauftragnehmer sind beteiligt? Wie komplex ist die Kette?

Standort                              Wo befinden sich die Unterauftragnehmer? Werden Daten im EU-Ausland
                                           verarbeitet?

Datenverarbeitung                Welche Daten werden weitergegeben? Wie ist deren Schutz
                                           gewährleistet?

Konzentrationsrisiken            Besteht eine Abhängigkeit von wenigen oder einzelnen
                                           Unterauftragnehmern?

Übertragbarkeit                    Ist ein Wechsel des Dienstleisters im Notfall möglich?

Auswirkungen von Störungen Wie wirken sich Ausfälle auf die Kontinuität und Verfügbarkeit der Dienstleistung aus?

6. Herausforderungen und Best Practices

6.1. Herausforderungen

• Komplexität der Auslagerungsketten: Die Identifikation und Überwachung aller Unterauftragnehmer ist aufwendig.
• Daten- und Rechtssicherheit: Unterschiedliche Rechtsräume und Datenschutzanforderungen erschweren die Kontrolle.
• Ressourcenbedarf: Die Umsetzung der Anforderungen erfordert erhebliche personelle und technische Ressourcen.

6.2. Best Practices

• Frühzeitige Einbindung der Rechts- und Compliance-Abteilung
• Etablierung eines zentralen Auslagerungsregisters
• Regelmäßige Schulungen für alle beteiligten Mitarbeiter
• Automatisierung von Monitoring- und Reporting-Prozessen
• Enge Zusammenarbeit mit der Aufsicht und Branchenverbänden

7. Fazit und Ausblick

Die technischen Regulierungsstandards zur Präzisierung der Aspekte bei der Untervergabe von IKT-Dienstleistungen setzen einen neuen Maßstab für die digitale Resilienz im Finanzsektor. Finanzunternehmen sind gefordert, ihre Auslagerungsstrategien und -prozesse umfassend zu überarbeiten und an die neuen Anforderungen anzupassen. Die Verordnung bietet einen klaren Rahmen, um Risiken zu minimieren und die Stabilität des Finanzsystems zu stärken.

Empfehlung: Unternehmen sollten die Umsetzung der RTS als strategische Chance begreifen, ihre digitale Widerstandsfähigkeit zu erhöhen und sich frühzeitig auf die neuen regulatorischen Anforderungen vorzubereiten.